봇 제어 전략 모니터링 지침

봇 트래픽과 웹 애플리케이션 트래픽의 경우 모니터링과 가시성이 매우 중요합니다. 이는 보안 운영뿐만 아니라 활동의 우선 순위를 정하는 데 도움이 됩니다. 세부 로깅 또는 SIEM 시스템 사용이 불가능한 경우 선택한 솔루션 또는 공급업체에서 제공하는 기본 메트릭을 모니터링하는 것부터 시작하는 것이 좋습니다.

이러한 가시성은 위협 인텔리전스, 규칙 강화, 오탐지 문제 해결, 사고 대응에 유용합니다. 에서 사용할 수 있는 모니터링 옵션은 여러 가지가 있습니다. AWS WAF상위 수준 모니터링의 경우 에서 트래픽 개요 정보를 AWS WAF 제공합니다. AWS Management Console이는 웹 ACL에서 Bot Control 규칙 그룹이 활성화된 경우 모든 트래픽에 대해 사용할 수 있을 뿐만 아니라 봇 트래픽에 대한 세부 정보도 볼 수 있습니다.

AWS WAF 웹 ACL 트래픽의 세부 로깅을 위한 다양한 옵션을 제공합니다. 요청에 레이블을 추가하여 로그 분석을 용이하게 하고 봇 평가 규칙을 구성하는 데 사용할 수도 있습니다. Amazon CloudWatch Logs Insights를 통합하면 AWS WAF 로그를 쿼리하고 결과를 시각화할 수 있습니다.

세부 로깅을 켜면 사전 구성된 봇 AWS WAF 제어 대시보드 외에도 추가적인 가시성을 제공합니다. AWS WAF 로그를 사용하여 트래픽을 시각화하고 임시 조사를 수행하면 트래픽 패턴과 웹 애플리케이션의 완화 옵션을 심층적으로 이해할 수 있습니다.

Amazon CloudWatch Logs, Amazon Simple Storage 서비스 (Amazon S3) 또는 Amazon Data Firehose와 로그 데이터를 AWS WAF 통합할 수 있습니다. 자세한 내용은 AWS WAF 로깅 활성화 및 Amazon S3 또는 Amazon Data Firehose로 CloudWatch 로그 전송을 참조하십시오. Amazon OpenSearch Service 또는 AWS Marketplace솔루션을 비롯한 다양한 분석 대상으로 로그를 전송할 수도 있습니다. 자세한 내용은 Firehose 설명서의 대상 설정을 참조하십시오. 여러 로그 소스를 사용하는 경우 소스의 상관 관계를 파악할 수 있는 중앙 집중식 로깅 솔루션을 사용하는 것이 좋습니다. 

다음으로 이 가이드에서는 Amazon을 사용하여 봇 트래픽 모니터링을 시작하고 가시성을 확보하는 방법에 대한 권장 사항을 제공합니다 CloudWatch.

주요 규칙 추적

가장 많이 사용되는 규칙을 추적하면 추세와 잠재적으로 변칙적인 활동을 파악할 수 있습니다. 특정 규칙의 비율이 증가하면 오탐이 발생하거나 표적 활동이 있을 수 있으므로 조사해야 합니다. 가장 일반적인 추적 규칙은 지역 차단 규칙 (이 규칙이 급증하면 자동으로 차단되지 않을 수 있는 특이한 국가의 트래픽이 표시될 수 있음) 및 입니다. IP 기반 제어 속도 기반 규칙 이러한 규칙에는 항상 변동이 따르지만 트래픽 패턴의 이상은 봇 활동을 의미할 수 있습니다. 임계값을 수동으로 설정하는 경우 이 점을 고려하십시오.

상위 레이블 및 네임스페이스 추적

CloudWatch 지표를 사용하여 상위 레이블을 추적하면 자주 호출되는 AWS WAF 규칙을 확인할 수 있습니다. 이를 통해 스크레이퍼 활동 증가, 의심스러운 소스로부터의 트래픽, 애플리케이션 로그인 페이지 또는 API의 남용 시도와 같은 이상 현상을 탐지할 수 있습니다.

관심을 가질만한 라벨의 예는 다음과 같습니다.

• awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

• awswaf:managed:aws:bot-control:bot:category:http_library

• awswaf:managed:aws:bot-control:bot:name:curl

• awswaf:managed:aws:atp:signal:credential_compromised

• awswaf:managed:aws:core-rule-set:NoUserAgent_Header

• awswaf:managed:token:rejected

관심을 가질만한 레이블 네임스페이스의 예는 다음과 같습니다.

• awswaf:managed:aws:bot-control:

• awswaf:managed:aws:atp:

• awswaf:managed:aws:anonymous-ip-list:

수학 표현식 만들기

CloudWatchAmazon에서는 일부 또는 모든 규칙에 대해 수학 식을 생성할 수 있습니다. 수학 표현식에 알림을 설정하면 특정 지표의 수량이 아닌 비율의 이상 현상에 대한 알림을 받게 됩니다. 이는 알림 피로를 줄이는 데 중요한 도구입니다.

수학 식을 기반으로 사용자 지정 지표를 만드세요. 애플리케이션에 대한 전체 요청 수 중에서 규칙의 상대적 비율을 살펴보세요. 다음은 일반적인 수학 표현식입니다. 

[ruleX count * 100]/[All allowed requests + All blocked requests]

이 수학 식은 백분율을 제공하므로 특정 규칙을 추적하고 시간 경과에 따른 추세를 시각화할 수 있습니다.

이상 탐지 사용

모든 CloudWatch 지표에서 CloudWatch예외 항목 탐지를 사용하면 실제 임계값을 수동으로 설정하지 않고도 비정상적으로 낮거나 높은 추세에 대한 알림을 제공할 수 있습니다. 이러한 알고리즘은 사용자 개입을 최소화하면서 시스템 및 애플리케이션의 메트릭을 지속적으로 분석하고, 정상 기준을 결정하고, 이상 현상을 찾아냅니다. CloudWatch 이상 탐지 기능에 통계 및 ML 알고리즘을 적용합니다. 

아마존 CloudWatch 지표 사용

AWS WAF 트래픽을 처리하고 웹 ACL에 정의된 규칙과 일치하는 요청에 레이블을 추가합니다. 각 레이블은 지표를 생성합니다. CloudWatch 동시에 각 웹 ACL 규칙은 가능한 각 작업에 대한 지표도 생성합니다. 이러한 레이블 및 조치 지표를 사용하여 봇 트래픽을 고도로 이해하십시오. 이는 추세를 시각화하는 비용 효율적인 접근 방식입니다. 자세한 내용은 설명서에서 사용 가능한 지표 보기 및 그래프 지표를 참조하십시오. CloudWatch

CloudWatch 데이터를 로그 수집기 또는 집계자에게 보낼 수 있는 옵션을 제공합니다 (해당 AWS 서비스 솔루션이든 타사 솔루션이든). 에서 데이터를 수집하면 여러 소스의 데이터를 상호 CloudWatch 연관시킬 수 있는 보다 통합된 보안 관찰 경험을 제공할 수 있습니다. 이를 통해 알림 및 보안 자동화를 조사, 확인 또는 설정할 수 있습니다.

대시보드 구축

추적해야 할 중요한 지표를 식별한 후 가장 관련성이 높은 지표가 포함된 대시보드를 만드세요. 단일 창 아래에 side-by-side 표시하면 가시성과 제어력을 높일 수 있습니다.

비정상적인 지표 값에 대한 경고 및 자동화 규칙을 구성하는 것이 항상 좋습니다. 사람이 대시보드를 보고 이상 징후를 식별할 것이라고 기대하지 마십시오. 하지만 대시보드는 알림을 받은 후 조사 목적으로 유용할 수 있습니다.