Use o arquivo JSON do analisador de log Lambda - Automações de segurança para AWS WAF
Use o arquivo JSON do analisador de log Lambda para proteção contra inundação HTTPUse o arquivo JSON do analisador de log Lambda para proteção de scanner e sonda

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o arquivo JSON do analisador de log Lambda

Use o arquivo JSON do analisador de log Lambda para proteção contra inundação HTTP

Se você escolher o parâmetro Yes - AWS Lambda log parser de modelo Activate HTTP Flood Protection, essa solução cria um arquivo de configuração chamado <stack_name>-waf_log_conf.json e o carrega no bucket do Amazon S3 usado para armazenar os arquivos de log do AWS WAF. Para encontrar o nome do bucket, consulte a WafLogBucketvariável na CloudFormation saída. A figura a seguir mostra um exemplo.

Captura de tela mostrando uma tela chamada AWSWAFSecurity Automações e listando quatro saídas

saídas de pilha

Se você editar e sobrescrever o <stack_name>-waf_log_conf.json arquivo no Amazon S3, a função Log Parser Lambda considera os novos valores ao processar novos arquivos de log do AWS WAF. O exemplo a seguir é um arquivo de configuração de amostra:

Captura de tela de um arquivo de configuração de amostra

configuração de inundação http

Os parâmetros incluem o seguinte:

  • Geral:

    • Limite de solicitação (obrigatório) - O máximo aceitável de solicitações por cinco minutos, por endereço IP. Essa solução usa o valor que você define ao provisionar ou atualizar a CloudFormation pilha.

    • Período de bloqueio (obrigatório) - O período (em minutos) para bloquear os endereços IP aplicáveis. Essa solução usa o valor que você define ao provisionar ou atualizar a CloudFormation pilha.

    • Sufixos ignorados - as solicitações que acessam esse tipo de recurso não contam para o limite da solicitação. Por padrão, essa lista está vazia.

  • Lista de URI - use isso para definir um limite de solicitação personalizado e um período de bloqueio para informações específicas. URLs Por padrão, essa lista está vazia.

Quando os registros do WAF chegarem ao WafLogBucket, eles serão processados pela função do analisador de registros do Lambda usando as configurações em seu arquivo de configuração. A solução grava o resultado em um arquivo de saída nomeado <stack_name>-waf_log_out.json no mesmo bucket. Se o arquivo de saída contiver uma lista dos endereços IP identificados como atacantes, a solução os adicionará ao conjunto de IP do WAF para HTTP Flood e eles serão impedidos de acessar seu aplicativo. Se os arquivos de saída não tiverem endereços IP, verifique se o arquivo de configuração é válido ou se o limite de taxa foi excedido de acordo com o arquivo de configuração.

Use o arquivo JSON do analisador de log Lambda para proteção de scanner e sonda

Se você escolher o parâmetro Yes - AWS Lambda log parser de modelo Activate Scanner & Probe Protection, essa solução cria um arquivo de configuração chamado <stack_name>-app_log_conf.json e o carrega no bucket definido do Amazon S3 usado para CloudFront armazenar os arquivos de log do Application Load Balancer.

Se você editar e sobrescrever <stack_name>-app_log_conf.json no Amazon S3, a função Log Parser Lambda considera os novos valores ao processar novos arquivos de log do AWS WAF. O exemplo a seguir é um arquivo de configuração de amostra:

Captura de tela do arquivo de configuração

arquivo de configuração das sondas do scanner

Os parâmetros incluem o seguinte:

  • Geral:

    • Limite de erro (obrigatório) - O máximo aceitável de solicitações inválidas por minuto, por endereço IP. Essa solução usa o valor que você definiu ao provisionar ou atualizar a CloudFormation pilha.

    • Período de bloqueio (obrigatório) - O período (em minutos) para bloquear os endereços IP aplicáveis. Essa solução usa o valor que você definiu ao provisionar ou atualizar a CloudFormation pilha.

    • Códigos de erro - Retorne o código de status considerado erro. Por padrão, a lista considera os seguintes códigos de status HTTP como erros: 400 (Bad Request) 401 (Unauthorized)403 (Forbidden),404 (Not Found),, 405 (Method Not Allowed) e.

  • Lista de URI - Use isso para definir um limite de solicitação personalizado e um período de bloqueio para detalhes específicos URLs. Por padrão, essa lista está vazia.

Quando os registros de acesso ao aplicativo chegam ao AppAccessLogBucket, a função Log Parser Lambda os processa usando as configurações em seu arquivo de configuração. A solução grava o resultado em um arquivo de saída chamado <stack_name>` -app_log_out.json` no mesmo bucket. Se o arquivo de saída contiver uma lista dos endereços IP identificados como atacantes, a solução os adicionará ao conjunto de IP do WAF para Scanner & Probe e os impedirá de acessar seu aplicativo. Se os arquivos de saída não tiverem endereços IP, verifique se o arquivo de configuração é válido ou se o limite de taxa foi excedido de acordo com o arquivo de configuração.