Usa il file JSON del parser di log Lambda - Automazioni di sicurezza per AWS WAF
Usa il file JSON del parser di log Lambda per la protezione da HTTP FloodUsa il file JSON del parser di log Lambda per la protezione di scanner e sonde

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa il file JSON del parser di log Lambda

Usa il file JSON del parser di log Lambda per la protezione da HTTP Flood

Se hai scelto Yes - AWS Lambda log parser il parametro del modello Activate HTTP Flood Protection, questa soluzione crea un file di configurazione denominato <stack_name>-waf_log_conf.json e lo carica nel bucket Amazon S3 utilizzato per archiviare i file di registro AWS WAF. Per trovare il nome del bucket, fai riferimento alla variabile nell'output. WafLogBucket CloudFormation La figura seguente mostra un esempio.

Schermata che mostra una schermata denominata AWSWAFSecurity Automazioni e che elenca quattro uscite

uscite in pila

Se modifichi e sovrascrivi il <stack_name>-waf_log_conf.json file su Amazon S3, la funzione Log Parser Lambda considera i nuovi valori durante l'elaborazione di nuovi file di registro AWS WAF. Di seguito viene illustrato un esempio di file di configurazione:

Schermata di un file di configurazione di esempio

configurazione http flood

I parametri includono quanto segue:

  • Generale:

    • Soglia di richiesta (obbligatoria): il numero massimo di richieste accettabili per cinque minuti, per indirizzo IP. Questa soluzione utilizza il valore definito durante il provisioning o l'aggiornamento dello CloudFormation stack.

    • Periodo di blocco (obbligatorio): il periodo (in minuti) per bloccare gli indirizzi IP applicabili. Questa soluzione utilizza il valore definito durante il provisioning o l'aggiornamento dello CloudFormation stack.

    • Suffissi ignorati: le richieste che accedono a questo tipo di risorsa non vengono conteggiate ai fini della soglia di richiesta. Per impostazione predefinita, questo elenco è vuoto.

  • Elenco URI: utilizzalo per definire una soglia di richiesta e un periodo di blocco personalizzati per specifiche URLs. Per impostazione predefinita, questo elenco è vuoto.

Quando i log WAF arrivano in WafLogBucket, verranno elaborati dalla funzione Lambda log parser utilizzando le configurazioni nel file di configurazione. La soluzione scrive il risultato in un file di output denominato <stack_name>-waf_log_out.json nello stesso bucket. Se il file di output contiene un elenco di indirizzi IP identificati come aggressori, la soluzione li aggiunge all'IP WAF impostato per HTTP Flood e non possono accedere all'applicazione. Se i file di output non hanno indirizzi IP, controlla se il file di configurazione è valido o se il limite di velocità è stato superato in base al file di configurazione.

Usa il file JSON del parser di log Lambda per la protezione di scanner e sonde

Se hai scelto Yes - AWS Lambda log parser il parametro modello Activate Scanner & Probe Protection, questa soluzione crea un file di configurazione denominato <stack_name>-app_log_conf.json e lo carica nel bucket Amazon S3 definito utilizzato per archiviare i file di log di Application CloudFront Load Balancer.

Se modifichi e sovrascrivi <stack_name>-app_log_conf.json su Amazon S3, la funzione Log Parser Lambda considera i nuovi valori durante l'elaborazione di nuovi file di registro AWS WAF. Di seguito viene illustrato un esempio di file di configurazione:

Schermata del file di configurazione

lo scanner sonda il file di configurazione

I parametri includono quanto segue:

  • Generale:

    • Soglia di errore (obbligatoria): il numero massimo di richieste non valide accettabili al minuto, per indirizzo IP. Questa soluzione utilizza il valore definito durante il provisioning o l'aggiornamento dello CloudFormation stack.

    • Periodo di blocco (obbligatorio): il periodo (in minuti) per bloccare gli indirizzi IP applicabili. Questa soluzione utilizza il valore definito durante il provisioning o l'aggiornamento dello CloudFormation stack.

    • Codici di errore: restituisce il codice di stato considerato errore. Per impostazione predefinita, l'elenco considera i seguenti codici di stato HTTP come errori: 400 (Bad Request)401 (Unauthorized),403 (Forbidden),404 (Not Found), e405 (Method Not Allowed).

  • Elenco URI: utilizzalo per definire una soglia di richiesta e un periodo di blocco personalizzati per specifiche. URLs Per impostazione predefinita, questo elenco è vuoto.

Quando i log di accesso alle applicazioni arrivano in AppAccessLogBucket, la funzione Log Parser Lambda li elabora utilizzando le configurazioni nel file di configurazione. La soluzione scrive il risultato in un file di output denominato <stack_name>` -app_log_out.json` nello stesso bucket. Se il file di output contiene un elenco di indirizzi IP identificati come aggressori, la soluzione li aggiunge al set IP WAF per Scanner & Probe e impedisce loro di accedere all'applicazione. Se i file di output non hanno indirizzi IP, controllate se il file di configurazione è valido o se il limite di velocità è stato superato in base al file di configurazione.