Detalhes do componente

Conforme descrito no diagrama de arquitetura, quatro dos componentes dessa solução usam automações para inspecionar endereços IP e adicioná-los à lista de bloqueios do AWS WAF. As seções a seguir explicam cada um desses componentes com mais detalhes.

Analisador de log - Aplicação

O analisador de log do aplicativo ajuda a proteger contra scanners e sondas.

Fluxo do analisador de log do aplicativo.

1. Quando CloudFront ou um ALB recebe solicitações em nome do seu aplicativo web, ele envia os registros de acesso para um bucket do Amazon S3.

   1. (Opcional) Se você selecionar Yes - Amazon Athena log parser os parâmetros do modelo Ativar proteção contra inundação HTTP e Ativar proteção de scanner e sonda, uma função Lambda moverá os registros de acesso de sua pasta original <customer-bucket> /AWSLogs para uma pasta recém-particionada <customer-bucket> /AWSLogs-partitioned/ <optional-prefix> /year= <YYYY> /month= <MM> /day= <DD> /hour=<HH>/após sua chegada ao Amazon S3.

   2. (Opcional) Se você selecionar yes o parâmetro Manter dados no modelo de localização original do S3, os registros permanecerão no local original e serão copiados para a pasta particionada, duplicando seu armazenamento de registros.

      nota

      Para o analisador de log Athena, essa solução particiona somente os novos registros que chegam ao seu bucket do Amazon S3 após a implantação dessa solução. Se você tem registros existentes que deseja particionar, você deve carregá-los manualmente para o Amazon S3 depois de implantar essa solução.

2. Com base na sua seleção dos parâmetros do modelo Ativar proteção contra inundação HTTP e Ativar proteção de scanner e sonda, essa solução processa os registros usando uma das seguintes opções:

   1. Lambda — Sempre que um novo log de acesso é armazenado no bucket do Amazon S3, a função Log Parser Lambda é iniciada.

   2. Athena — Por padrão, a cada cinco minutos, a consulta Athena do Scanner & Probe Protection é executada e a saída é enviada para o AWS WAF. Esse processo é iniciado por um CloudWatch evento, que inicia a função Lambda responsável por executar a consulta do Athena e envia o resultado para o AWS WAF.

3. A solução analisa os dados de registro para identificar endereços IP que geraram mais erros do que a cota definida. Em seguida, a solução atualiza uma condição de conjunto de IP do AWS WAF para bloquear esses endereços IP por um período de tempo definido pelo cliente.

Analisador de registros - AWS WAF

Se você selecionar yes - AWS Lambda log parser ou yes - Amazon Athena log parser ativar a proteção contra inundação HTTP, essa solução provisiona os seguintes componentes, que analisam os registros do AWS WAF para identificar e bloquear as origens que inundam o endpoint com uma taxa de solicitação maior do que a cota que você definiu.

Fluxo do analisador de log do AWS WAF.

1. Quando o AWS WAF recebe registros de acesso, ele os envia para um endpoint Firehose. O Firehose então entrega os registros em um bucket particionado no Amazon S3 chamado <customer-bucket> /AWSLogs/ <optional-prefix> /year= <YYYY> /month= <MM> /day= <DD> /hour= <HH> /

2. Com base na sua seleção dos parâmetros do modelo Ativar proteção contra inundação HTTP e Ativar proteção de scanner e sonda, essa solução processa os registros usando uma das seguintes opções:

   1. Lambda: sempre que um novo log de acesso é armazenado no bucket do Amazon S3, a função Log Parser Lambda é iniciada.

   2. Athena: Por padrão, a cada cinco minutos, a consulta do scanner e da sonda Athena é executada e a saída é enviada para o AWS WAF. Esse processo é iniciado por um CloudWatch evento da Amazon, que então inicia a função Lambda responsável pela execução da consulta do Amazon Athena e envia o resultado para o AWS WAF.

3. A solução analisa os dados de registro para identificar endereços IP que enviaram mais solicitações do que a cota definida. Em seguida, a solução atualiza uma condição de conjunto de IP do AWS WAF para bloquear esses endereços IP por um período de tempo definido pelo cliente.

Analisador de registros - Bad bot

O analisador de log do Bad bot inspeciona as solicitações para o endpoint do honeypot para extrair o endereço IP de origem.

Fluxo incorreto do analisador de log de bots.

1. Se Bad Bot Protection estiver ativado e os recursos HTTP Flood Protection e Scanner & Probe Protection estiverem desativados: o sistema usará o analisador Log Lambda, que registra somente solicitações de bots incorretas com base nos filtros de rótulos WAF.

2. A função Lambda intercepta e inspeciona os cabeçalhos da solicitação para extrair o endereço IP da fonte que acessou o endpoint da armadilha.

3. A solução analisa os dados de registro para identificar endereços IP que enviaram mais solicitações do que a cota definida. Em seguida, a solução atualiza uma condição de conjunto de IP do AWS WAF para bloquear esses endereços IP por um período de tempo definido pelo cliente.

Analisador de listas IP

A função IP Lists Parser Lambda ajuda a proteger contra invasores conhecidos identificados em listas de reputação de IP de terceiros.

A reputação do IP lista o fluxo do analisador.

1. Um CloudWatch evento de hora em hora da Amazon invoca a função LambdaIP Lists Parser.

2. A função Lambda reúne e analisa dados de três fontes:

   • Listas DROP e EDROP do Spamhaus

   • Lista de IPs de ameaças emergentes da Proofpoint

   • Lista de modos de saída do Tor

3. A função Lambda atualiza a lista de bloqueios do AWS WAF com os endereços IP atuais.