ボットコントロール戦略のモニタリングに関するガイドライン - AWS 規範ガイダンス
上位ルールの追跡上位ラベルと名前空間の追跡数式の作成異常検出の使用 CloudWatch メトリクスの使用ダッシュボードの構築

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ボットコントロール戦略のモニタリングに関するガイドライン

ボットトラフィックとウェブアプリケーショントラフィックでは、モニタリングと可視性が非常に重要です。アクティビティとセキュリティオペレーションの優先順位を付けるのに役立ちます。詳細なログ記録や SIEM システムの使用が不可能な場合は、選択したソリューションまたはベンダーが提供する基本的なメトリクスをモニタリングすることをお勧めします。

この可視性は、脅威インテリジェンス、ルールの強化、誤検出のトラブルシューティング、インシデントへの対応に役立ちます。では、複数のモニタリングオプションを使用できます AWS WAF。高レベルモニタリング AWS WAF の場合、 はトラフィックの概要情報を に提供します AWS Management Console。これは、ウェブ ACL で Bot Control ルールグループが有効になっている場合、すべてのトラフィックとボットトラフィックの詳細ビューで使用できます。

AWS WAF は、ウェブ ACL トラフィックの詳細なログ記録にさまざまなオプションを提供します。リクエストにラベルを追加することもできます。これを使用して、ログ分析を容易にし、ボット評価ルールを設定できます。Amazon CloudWatch Logs Insights を統合することで、 AWS WAF ログをクエリして結果を視覚化できます。

詳細ログ記録を有効にすると、 AWS WAF は事前設定された Bot Control ダッシュボード 以外の可視性を提供します。 AWS WAF ログを使用してトラフィックを可視化し、アドホック調査を行うことで、ウェブアプリケーションのトラフィックパターンと緩和策のオプションを詳細に把握できます。

AWS WAF ログデータは、Amazon CloudWatch Logs、Amazon Simple Storage Service (Amazon S3)、または Amazon Data Firehose と統合できます。詳細については、AWS WAF 「ログ記録を有効にして、、Amazon S3 CloudWatch、または Amazon Data Firehose にログを送信する」を参照してください。また、Amazon OpenSearch Service や AWS Marketplaceソリューションなど、分析のためにさまざまなターゲットにログを送信することもできます。詳細については、Firehose ドキュメントの「送信先設定」を参照してください。複数のログソースを使用する場合は、ソースを関連付けるために一元的なログ記録ソリューションが推奨されます。 

次に、このガイドでは、Amazon を使用してボットトラフィックのモニタリングを開始し、可視性を得る方法に関する推奨事項を提供します CloudWatch。

上位ルールの追跡

上位のルールを追跡すると、傾向や異常なアクティビティの可能性が強調されます。特定のルールのレートが上昇すると、調査すべき誤検出またはターゲットを絞ったアクティビティの可能性を示している可能性があります。追跡の最も一般的なルールはIP ベースのコントロール、、ジオブロッキングルール (ここで急増すると、自動的にブロックされない可能性のある異常な国からのトラフィックが表示される可能性があります)、および ですレートベースのルール。これらのルールには常に固有のバリエーションがありますが、トラフィックパターンの異常はボットのアクティビティを示している可能性があります。手動でしきい値を設定する場合は、この点を考慮してください。

上位ラベルと名前空間の追跡

CloudWatch メトリクスを使用して上位ラベル を追跡することで、頻繁に呼び出される AWS WAF ルールを確認できます。これにより、スクレイパーアクティビティの増加、疑わしいソースからのトラフィック、アプリケーションログインページまたは API の悪用の試みなどの異常を検出できます。

以下は、関心のあるラベルの例です。

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

以下は、関心のあるラベル名前空間の例です。

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

数式の作成

Amazon では CloudWatch、任意のルールまたはすべてのルールに対して数式を作成できます。数式にアラートを設定すると、特定のメトリクスの数量ではなくレートの異常に関する通知が届きます。これは、アラートの疲労を軽減するための重要なツールです。

数式から構築されたカスタムメトリクスを作成します。アプリケーションへのリクエストの総数のうち、ルールの相対レートを確認します。以下は一般的な数式です。 

[ruleX count * 100]/[All allowed requests + All blocked requests]

この数式はパーセンテージを提供するため、特定のルールを追跡し、その傾向を経時的に視覚化できます。

異常検出の使用

任意の CloudWatch メトリクスにCloudWatch異常検出を使用すると、実際のしきい値を手動で設定しなくても、異常に低いまたは高い傾向に関するアラートを提供できます。これらのアルゴリズムは、システムやアプリケーションのメトリクスを継続的に分析し、通常のベースラインを決定し、ユーザーの介入を最小限に抑えて異常を検出します。 CloudWatch は、統計アルゴリズムと ML アルゴリズムを異常検出機能に適用します。 

Amazon CloudWatch メトリクスの使用

AWS WAF はトラフィックを処理し、ウェブ ACL で定義されたルールに一致するリクエストにラベルを追加します。各ラベルは にメトリクスを作成します CloudWatch。同時に、各ウェブ ACL ルールは、可能な各アクションのメトリクスも作成します。これらのラベルとアクションのメトリクスを使用して、ボットトラフィックの概要を把握します。これは、トレンドを視覚化するための費用対効果の高いアプローチです。詳細については、 CloudWatch ドキュメントの「使用可能なメトリクスの表示」と「メトリクスのグラフ化」を参照してください。

CloudWatch は、 またはサードパーティーのソリューションのいずれであっても、ログコレクタ AWS のサービス ーまたはアグリゲータにデータを送信するオプションを提供します。からデータを取り込むと、複数のソースからのデータを関連付けることができる、より統合されたセキュリティオブザーバビリティエクスペリエンス CloudWatch を提供できます。これにより、アラートとセキュリティオートメーションの調査、表示、またはセットアップに役立ちます。

ダッシュボードの構築

追跡する重要なメトリクスを特定したら、最も関連性の高いメトリクスを含むダッシュボードを作成します。これらを 1 つのペインの下に表示することで side-by-side、可視性と制御を強化できます。

異常なメトリクス値には、常にアラートと自動化ルールを設定することをお勧めします。ダッシュボードを見て異常を特定する際、人間に依存しないでください。ただし、ダッシュボードは、アラートを受信した後の調査目的に役立ちます。