Diretrizes para monitorar sua estratégia de controle de bots - AWS Orientação prescritiva
Rastreando as principais regrasRastreando os principais rótulos e namespacesCriação de expressões matemáticasUsar a detecção de anomaliasUsando CloudWatch métricasCriando um painel

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Diretrizes para monitorar sua estratégia de controle de bots

Para tráfego de bots e tráfego de aplicativos da web, o monitoramento e a visibilidade são de grande importância. Ele ajuda você a priorizar atividades e operações de segurança. Se o registro detalhado ou o uso de um sistema SIEM não forem possíveis, um bom ponto de partida é monitorar as métricas básicas fornecidas pela solução ou pelo fornecedor selecionado.

Essa visibilidade é útil para inteligência de ameaças, fortalecimento de regras, solução de falsos positivos e resposta a um incidente. Há várias opções de monitoramento disponíveis com AWS WAF. Para monitoramento de alto nível, AWS WAF fornece informações gerais do tráfego no AWS Management Console. Isso está disponível para todo o tráfego, bem como para uma visualização detalhada do tráfego de bots, quando o grupo de regras de controle de bots está ativado em sua ACL da web.

AWS WAF fornece opções diferentes para registro detalhado do tráfego de ACL da web. Você também pode adicionar rótulos às solicitações, que podem ser usados para facilitar a análise de registros e configurar as regras de avaliação de bots. Ao integrar o Amazon CloudWatch Logs Insights, você pode consultar os AWS WAF registros e visualizar os resultados.

Se você ativar o registro detalhado, AWS WAF fornece visibilidade adicional além do painel de controle de bots pré-configurado. O uso de AWS WAF registros para visualizar o tráfego, bem como investigações ad hoc, pode fornecer uma compreensão aprofundada dos padrões de tráfego e das opções de mitigação para um aplicativo web.

Você pode integrar dados de AWS WAF log com o Amazon CloudWatch Logs, o Amazon Simple Storage Service (Amazon S3) ou o Amazon Data Firehose. Para obter mais informações, consulte Ativar o AWS WAF registro e enviar registros para o CloudWatch Amazon S3 ou o Amazon Data Firehose. Você também pode enviar registros para vários destinos para análise, inclusive para o Amazon OpenSearch Service ou uma AWS Marketplacesolução. Para obter mais informações, consulte Configurações de destino na documentação do Firehose. Se várias fontes de registro forem usadas, uma solução de registro centralizada é recomendada para correlacionar as fontes. 

A seguir, este guia fornece recomendações sobre como começar a monitorar o tráfego de bots e obter visibilidade usando a Amazon CloudWatch.

Rastreando as principais regras

O rastreamento das regras mais usadas pode destacar tendências e atividades potencialmente anômalas. O aumento das taxas de uma regra específica pode indicar um potencial falso positivo ou uma atividade direcionada que você deve investigar. A regra mais comum para rastreamento seriaControles baseados em IP: regras de bloqueio geográfico (um pico aqui pode mostrar tráfego de países incomuns, que podem não ser bloqueados automaticamente) e. Regras com base em taxa Essas regras sempre teriam variações inerentes, mas uma anomalia no padrão de tráfego pode ser indicativa da atividade do bot. Leve isso em consideração se você estiver definindo manualmente os limites.

Rastreando os principais rótulos e namespaces

Ao usar CloudWatch métricas para rastrear os principais rótulos, você pode ver quais AWS WAF regras são invocadas com frequência. Isso ajuda a detectar anomalias, como um aumento na atividade do scraper, tráfego de fontes suspeitas ou tentativa de abuso da página de login do aplicativo ou da API.

Veja a seguir exemplos de rótulos que podem ser interessantes:

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

Veja a seguir exemplos de namespaces de rótulos que podem ser interessantes:

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

Criação de expressões matemáticas

Na Amazon CloudWatch, você pode criar expressões matemáticas para qualquer uma ou todas as regras. Se você definir alertas em expressões matemáticas, você será notificado sobre anomalias nas taxas, não nas quantidades, de determinadas métricas. Essa é uma ferramenta importante para reduzir a fadiga do alerta.

Crie uma métrica personalizada baseada em uma expressão matemática. Veja as taxas relativas das regras, com base no número total de solicitações para um aplicativo. A seguir está uma expressão matemática comum: 

[ruleX count * 100]/[All allowed requests + All blocked requests]

Essa expressão matemática fornece uma porcentagem para que você possa rastrear uma regra específica e visualizar sua tendência ao longo do tempo.

Usar a detecção de anomalias

O uso da detecção de CloudWatch anomalias em qualquer CloudWatch métrica pode fornecer alertas sobre tendências anormalmente baixas ou altas, sem configurar manualmente o limite real. Esses algoritmos analisam continuamente métricas de sistemas e aplicativos, determinam linhas de base normais e anomalias superficiais com o mínimo de intervenção do usuário. CloudWatch aplica algoritmos estatísticos e de ML em seu recurso de detecção de anomalias. 

Usando CloudWatch métricas da Amazon

AWS WAF processa o tráfego e adiciona rótulos às solicitações que correspondem às regras definidas na ACL da web. Cada rótulo cria uma métrica em CloudWatch. Ao mesmo tempo, cada regra de ACL da web também cria métricas para cada uma de suas ações possíveis. Use essas métricas de rótulos e ações para obter uma compreensão de alto nível do tráfego de bots. Essa é uma abordagem econômica para visualizar tendências. Para obter mais informações, consulte Exibir métricas disponíveis e Representar gráficos de métricas na CloudWatch documentação.

CloudWatch fornece a opção de enviar dados para um coletor ou agregador de registros, seja uma solução de terceiros AWS service (Serviço da AWS) ou uma solução de terceiros. A ingestão de dados CloudWatch pode fornecer uma experiência de observabilidade de segurança mais consolidada, na qual você pode correlacionar dados de várias fontes. Isso pode ajudá-lo a investigar, visualizar ou configurar seus alertas e automações de segurança.

Criando um painel

Depois de identificar as métricas importantes a serem monitoradas, crie um painel que contenha as métricas mais relevantes. Exibi-los side-by-side sob um único painel de vidro pode fornecer visibilidade e controle adicionais.

É sempre preferível configurar alertas e regras de automação para valores métricos anômalos. Não confie em humanos para identificar anomalias olhando para um painel. No entanto, os painéis podem ser úteis para fins de investigação após o recebimento de um alerta.