Linee guida per il monitoraggio della strategia di controllo dei bot - AWS Guida prescrittiva
Monitoraggio delle regole principaliMonitoraggio delle etichette e dei namespace principaliCreazione di espressioni matematicheUtilizzo del rilevamento delle anomalieUtilizzo delle metriche CloudWatch Creazione di una dashboard

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Linee guida per il monitoraggio della strategia di controllo dei bot

Per il traffico dei bot e il traffico delle applicazioni web, il monitoraggio e la visibilità sono di grande importanza. Ti aiuta a dare priorità alle attività e alle operazioni di sicurezza. Se la registrazione dettagliata o l'utilizzo di un sistema SIEM non sono possibili, un buon punto di partenza è il monitoraggio delle metriche di base fornite dalla soluzione o dal fornitore selezionato.

Questa visibilità è utile per l'intelligence sulle minacce, il rafforzamento delle regole, la risoluzione dei falsi positivi e la risposta a un incidente. Sono disponibili diverse opzioni di monitoraggio con. AWS WAF Per un monitoraggio di alto livello, AWS WAF fornisce informazioni sulla panoramica del traffico in. AWS Management ConsoleÈ disponibile per tutto il traffico e per una visualizzazione dettagliata per il traffico dei bot, quando il gruppo di regole Bot Control è abilitato nell'ACL web.

AWS WAF offre diverse opzioni per la registrazione dettagliata del traffico ACL web. È inoltre possibile aggiungere etichette alle richieste, che è possibile utilizzare per facilitare l'analisi dei log e configurare le regole di valutazione dei bot. Integrando Amazon CloudWatch Logs Insights, puoi interrogare AWS WAF i log e visualizzare i risultati.

Se attivi la registrazione dettagliata, AWS WAF offre una visibilità aggiuntiva oltre alla dashboard di controllo dei bot preconfigurata. L'utilizzo AWS WAF dei log per visualizzare il traffico, nonché di indagini ad hoc, può fornire una comprensione approfondita dei modelli di traffico e delle opzioni di mitigazione per un'applicazione web.

Puoi integrare i dati di AWS WAF log con Amazon CloudWatch Logs, Amazon Simple Storage Service (Amazon S3) o Amazon Data Firehose. Per ulteriori informazioni, consulta AWS WAF Attivare la registrazione e inviare log a CloudWatch, Amazon S3 o Amazon Data Firehose. Puoi anche inviare log a vari obiettivi per l'analisi, tra cui Amazon OpenSearch Service o una Marketplace AWSsoluzione. Per ulteriori informazioni, vedere Impostazioni di destinazione nella documentazione di Firehose. Se vengono utilizzate più fonti di registro, si consiglia una soluzione di registrazione centralizzata per correlare le fonti. 

Successivamente, questa guida fornisce consigli su come iniziare a monitorare il traffico dei bot e ottenere visibilità utilizzando Amazon CloudWatch.

Monitoraggio delle regole principali

Il monitoraggio delle regole più importanti può evidenziare tendenze e attività potenzialmente anomale. L'aumento delle percentuali relative a una regola specifica potrebbe indicare una potenziale attività mirata o falsa positiva su cui dovresti indagare. La regola più comune per il tracciamento sarebbero Controlli basati su IP le regole di blocco geografico (un picco in questo caso può mostrare traffico proveniente da paesi insoliti, che potrebbe non essere bloccato automaticamente) e. Regole basata sulla frequenza Queste regole avrebbero sempre delle variazioni intrinseche, ma un'anomalia nel modello di traffico può essere indicativa dell'attività dei bot. Tienilo in considerazione se imposti manualmente le soglie.

Monitoraggio delle etichette e dei namespace principali

Utilizzando le CloudWatch metriche per tenere traccia delle etichette principali, puoi vedere quali AWS WAF regole vengono richiamate di frequente. Questo ti aiuta a rilevare anomalie, come un aumento dell'attività dello scraper, il traffico proveniente da fonti sospette o il tentativo di abuso della pagina di accesso dell'applicazione o dell'API.

Di seguito sono riportati alcuni esempi di etichette che potrebbero interessarti:

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

Di seguito sono riportati alcuni esempi di namespace di etichette che potrebbero interessarti:

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

Creazione di espressioni matematiche

In Amazon CloudWatch, puoi creare espressioni matematiche per una o tutte le regole. Se imposti avvisi sulle espressioni matematiche, riceverai notifiche relative alle anomalie nelle tariffe, non nelle quantità, di determinate metriche. Si tratta di uno strumento importante per ridurre l'affaticamento dovuto all'allerta.

Crea una metrica personalizzata basata su un'espressione matematica. Guarda le tariffe relative per le regole, rispetto al numero complessivo di richieste a un'applicazione. Quella che segue è un'espressione matematica comune: 

[ruleX count * 100]/[All allowed requests + All blocked requests]

Questa espressione matematica fornisce una percentuale che consente di tenere traccia di una regola specifica e visualizzarne l'andamento nel tempo.

Utilizzo del rilevamento delle anomalie

L'utilizzo del rilevamento delle CloudWatch anomalie su qualsiasi CloudWatch metrica può fornire avvisi su tendenze anormalmente basse o alte, senza impostare manualmente la soglia effettiva. Questi algoritmi analizzano continuamente le metriche di sistemi e applicazioni, determinano le linee di base normali e le anomalie riscontrate con un intervento minimo da parte dell'utente. CloudWatch applica algoritmi statistici e ML nella sua funzione di rilevamento delle anomalie. 

Utilizzo dei CloudWatch parametri di Amazon

AWS WAF elabora il traffico e aggiunge etichette alle richieste che corrispondono alle regole definite nell'ACL web. Ogni etichetta crea una metrica in. CloudWatch Allo stesso tempo, ogni regola ACL web crea anche metriche per ciascuna delle sue azioni possibili. Utilizza queste metriche di etichette e azioni per acquisire una comprensione di alto livello del traffico dei bot. Si tratta di un approccio conveniente per visualizzare le tendenze. Per ulteriori informazioni, consulta Visualizza le metriche disponibili e le metriche grafiche nella documentazione. CloudWatch

CloudWatch offre la possibilità di inviare dati a un raccoglitore o aggregatore di log, sia esso una soluzione o una Servizio AWS soluzione di terze parti. L'acquisizione di dati da CloudWatch può fornire un'esperienza di osservabilità della sicurezza più consolidata, in cui è possibile correlare i dati provenienti da più fonti. Questo può aiutarti a esaminare, visualizzare o configurare gli avvisi e le automazioni di sicurezza.

Creazione di una dashboard

Dopo aver identificato le metriche importanti da monitorare, crea una dashboard che contenga le metriche più pertinenti. Visualizzarle side-by-side, sotto un unico pannello di vetro, può fornire visibilità e controllo aggiuntivi.

È sempre preferibile configurare avvisi e regole di automazione per valori metrici anomali. Non affidatevi agli esseri umani per identificare le anomalie guardando una dashboard. Tuttavia, i dashboard possono essere utili per scopi di indagine dopo la ricezione di un avviso.