구성 요소 세부 정보 - AWS WAF의 보안 자동화
로그 구문 분석기 - 애플리케이션로그 구문 분석기 - AWS WAF로그 구문 분석기 - 잘못된 봇IP 목록 구문 분석기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

구성 요소 세부 정보

아키텍처 다이어그램에 설명된 대로이 솔루션의 구성 요소 중 4개는 자동화를 사용하여 IP 주소를 검사하고 이를 AWS WAF 블록 목록에 추가합니다. 다음 섹션에서는 이러한 각 구성 요소에 대해 자세히 설명합니다.

로그 구문 분석기 - 애플리케이션

애플리케이션 로그 구문 분석기는 스캐너 및 프로브로부터 보호하는 데 도움이 됩니다.

애플리케이션 로그 구문 분석기 흐름.

앱 로그 구문 분석기 흐름

  1. CloudFront 또는 ALB는 웹 애플리케이션을 대신하여 요청을 수신하면 액세스 로그를 Amazon S3 버킷으로 전송합니다.

    1. (선택 사항) 템플릿 파라미터에 Yes - Amazon Athena log parser 대해 HTTP 서비스 장애 방지 활성화스캐너 및 프로브 보호 활성화를 선택하면 Lambda 함수는 Amazon S3에 도착하면 액세스 로그를 원래 폴더 <customer-bucket>에서 /AWSLogs 새로 분할된 폴더 <customer-bucket> /AWSLogs-partitioned/ <optional-prefix> /year= <YYYY> /month= <MM> /day= <DD> /hour= <HH>/로 이동합니다.

    2. (선택 사항) 원본 S3에 데이터 보관 위치 템플릿 파라미터yes로를 선택하면 로그가 원본 위치에 남아 분할된 폴더에 복사되어 로그 스토리지가 복제됩니다.

      참고

      Athena 로그 구문 분석기의 경우이 솔루션은이 솔루션을 배포한 후 Amazon S3 버킷에 도착하는 새 로그만 분할합니다. 분할하려는 기존 로그가 있는 경우이 솔루션을 배포한 후 해당 로그를 Amazon S3에 수동으로 업로드해야 합니다.

  2. 템플릿 파라미터 대한 선택에 따라 이 솔루션은 다음 중 하나를 사용하여 로그를 처리합니다.

    1. Lambda - 새 액세스 로그가 Amazon S3 버킷에 저장될 때마다 Log Parser Lambda 함수가 시작됩니다.

    2. Athena - 기본적으로 5분마다 스캐너 및 프로브 보호 Athena 쿼리가 실행되고 출력이 AWS WAF로 푸시됩니다. 이 프로세스는 Athena 쿼리 실행을 담당하는 Lambda 함수를 시작하고 결과를 AWS WAF로 푸시하는 CloudWatch 이벤트에 의해 시작됩니다.

  3. 이 솔루션은 로그 데이터를 분석하여 정의된 할당량보다 더 많은 오류를 생성한 IP 주소를 식별합니다. 그런 다음 솔루션은 AWS WAF IP 세트 조건을 업데이트하여 고객이 정의한 기간 동안 해당 IP 주소를 차단합니다.

로그 구문 분석기 - AWS WAF

HTTP Flood 보호 활성화yes - Amazon Athena log parser에서 yes - AWS Lambda log parser 또는를 선택하면이 솔루션은 AWS WAF 로그를 구문 분석하여 정의한 할당량보다 큰 요청 속도로 엔드포인트를 플러딩하는 오리진을 식별하고 차단하는 다음 구성 요소를 프로비저닝합니다.

AWS WAF 로그 구문 분석기 흐름.

waf 로그 구문 분석기 흐름

  1. AWS WAF는 액세스 로그를 수신하면 Firehose 엔드포인트로 로그를 전송합니다. 그런 다음 Firehose는 <customer-bucket> <optional-prefix> /AWSLogs/ <YYYY> /year= <MM> /month= </day=DD> /hour= <HH>라는 Amazon S3의 분할된 버킷에 로그를 전송합니다. /

  2. 템플릿 파라미터인 HTTP 서비스 장애 방지 활성화스캐너 및 프로브 보호 활성화에 대한 선택에 따라이 솔루션은 다음 중 하나를 사용하여 로그를 처리합니다.

    1. Lambda: 새 액세스 로그가 Amazon S3 버킷에 저장될 때마다 Log Parser Lambda 함수가 시작됩니다.

    2. Athena: 기본적으로 5분마다 스캐너 및 프로브 Athena 쿼리가 실행되고 출력이 AWS WAF로 푸시됩니다. 이 프로세스는 Amazon CloudWatch 이벤트에 의해 시작되며, Amazon Athena 쿼리 실행을 담당하는 Lambda 함수를 시작하고 결과를 AWS WAF로 푸시합니다.

  3. 이 솔루션은 로그 데이터를 분석하여 정의된 할당량보다 많은 요청을 보낸 IP 주소를 식별합니다. 그런 다음 솔루션은 AWS WAF IP 세트 조건을 업데이트하여 고객이 정의한 기간 동안 해당 IP 주소를 차단합니다.

로그 구문 분석기 - 잘못된 봇

잘못된 봇 로그 구문 분석기는 허니팟 엔드포인트에 대한 요청을 검사하여 소스 IP 주소를 추출합니다.

봇 로그 구문 분석기 흐름이 잘못되었습니다.

badbot 로그 구문 분석기 흐름

  1. Bad Bot Protection가 활성화되고 HTTP Flood Protection 및 스캐너 및 프로브 보호 기능이 모두 비활성화된 경우: 시스템은 WAF 레이블 필터를 기반으로 잘못된 봇 요청만 로깅하는 로그 Lambda 구문 분석기를 사용합니다.

  2. Lambda 함수는 요청 헤더를 가로채고 검사하여 트랩 엔드포인트에 액세스한 소스의 IP 주소를 추출합니다.

  3. 이 솔루션은 로그 데이터를 분석하여 정의된 할당량보다 많은 요청을 보낸 IP 주소를 식별합니다. 그런 다음 솔루션은 AWS WAF IP 세트 조건을 업데이트하여 고객이 정의한 기간 동안 해당 IP 주소를 차단합니다.

IP 목록 구문 분석기

IP Lists Parser Lambda 함수는 타사 IP 평판 목록에서 식별된 알려진 공격자로부터 보호하는 데 도움이 됩니다.

IP 평가에는 구문 분석기 흐름이 나열됩니다.

IP 평판 목록 흐름

  1. 시간당 Amazon CloudWatch 이벤트는 IP Lists Parser Lambda 함수를 호출합니다.

  2. Lambda 함수는 다음 세 가지 소스에서 데이터를 수집하고 구문 분석합니다.

    • Spamhaus DROP 및 EDROP 목록

    • Proofpoint 새로운 위협 IP 목록

    • Tor 종료 노드 목록

  3. Lambda 함수는 AWS WAF 블록 목록을 현재 IP 주소로 업데이트합니다.