AWS Shield Advanced métricas

Modo de foco

AWS Shield Advanced métricas - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Métricas de detecção Métricas de mitigação Métricas dos principais colaboradores

A Shield Advanced publica as métricas de CloudWatch detecção, mitigação e principais colaboradores da Amazon para todos os recursos que protege. Essas métricas melhoram sua capacidade de monitorar seus recursos, possibilitando a criação e configuração de CloudWatch painéis e alarmes para eles.

O console do Shield Advanced apresenta resumos de muitas das métricas que ele registra. Para ter mais informações, consulte Visibilidade DDo dos eventos S com o Shield Advanced.

Se você habilitar a mitigação automática da camada DDo S do aplicativo para uma proteção da camada de aplicativo, o Shield Advanced adicionará um grupo de regras à sua ACL da web que ele usa para gerenciar proteções automatizadas. Esse grupo de regras gera AWS WAF métricas, mas elas não estão disponíveis para visualização. Isso é o mesmo que para qualquer outro grupo de regras que você usa em sua ACL da web, mas não possui, como grupos de regras de regras AWS gerenciadas. Para obter mais informações sobre AWS WAF métricas, consulteAWS WAF métricas e dimensões. Para obter informações sobre essa opção de proteção do Shield Advanced, consulte Automatizando a mitigação da camada DDo S do aplicativo com o Shield Advanced .

Localizações de relatórios de métricas

O Shield Advanced relata métricas na região Leste dos EUA (Norte da Virgínia), us-east-1 para o seguinte:

Os serviços globais Amazon CloudFront e Amazon Route 53.
Grupos de proteção. Para mais informações sobre a proteção de dados nos grupos, acesse Agrupando suas proteções AWS Shield Advanced.

Para outros tipos de recursos, o Shield Advanced relata métricas na região do recurso.

Cronometragem de relatórios de métricas

O Shield Advanced reporta métricas para a Amazon CloudWatch sobre um AWS recurso com mais frequência durante DDo os eventos S do que quando nenhum evento está em andamento. O Shield Advanced relata métricas uma vez por minuto durante um evento e, em seguida, uma vez logo após o término do evento.

Enquanto não há nenhum ataque em andamento, o Shield Advanced relata métricas uma vez ao dia, no horário atribuído ao recurso. Esse relatório periódico mantém as métricas ativas e disponíveis para uso em CloudWatch alarmes e painéis personalizados.

Recomendações de alarme

Recomendamos que você crie alarmes para notificá-lo sobre circunstâncias que exijam atenção. Como ponto de partida, você pode criar um alarme para cada recurso protegido que informa quando a métrica de detecção DDoSDetected for diferente de zero. Um valor diferente de zero nessa métrica não significa necessariamente que um ataque DDo S esteja em andamento, mas recomendamos examinar mais de perto o status do recurso quando a métrica estiver nesse estado.

Para floods de solicitações, recomendamos que você crie alarmes para verificações compostas que também considerem fatores como integridade do aplicativo e volume de solicitações da web. Você pode optar por alertar sobre as outras três métricas que relatam o volume de tráfego para várias dimensões do vetor de ataque. Ao considerar a capacidade do seu aplicativo e alertar quando o tráfego estiver se aproximando das limitações do seu aplicativo, você pode criar um conjunto de regras que o notificam conforme necessário, sem muitos ruídos indesejados.

Métricas de detecção

O Shield Advanced fornece as métricas e dimensões no namespace AWS/DDoSProtection.

Métricas de detecção
Métrica	Descrição
`DDoSDetected`	Indica se um evento DDo S está em andamento para um determinado Amazon Resource Name (ARN). Essa métrica tem um valor diferente de zero durante um evento.
`DDoSAttackBitsPerSecond`	O número de bits observados durante um evento DDo S para um determinado Amazon Resource Name (ARN). Essa métrica está disponível somente para eventos da camada de rede e transporte (camada 3 e camada 4) DDo S. Essa métrica tem um valor diferente de zero durante um evento. Unidades: bits
`DDoSAttackPacketsPerSecond`	O número de pacotes observados durante um evento DDo S para um determinado Amazon Resource Name (ARN). Essa métrica está disponível somente para eventos da camada de rede e transporte (camada 3 e camada 4) DDo S. Essa métrica tem um valor diferente de zero durante um evento. Unidades: pacotes
`DDoSAttackRequestsPerSecond`	O número de solicitações observadas durante um evento DDo S para um determinado Amazon Resource Name (ARN). Essa métrica está disponível somente para eventos da camada 7 DDo S. A métrica é relatada apenas para eventos de camada 7 mais significativos. Essa métrica tem um valor diferente de zero durante um evento. Unidades: solicitações

O Shield Advanced publica a métrica DDoSDetected sem nenhuma outra dimensão. As métricas de detecção restantes incluem as dimensões AttackVector que correspondem ao tipo de ataque da lista a seguir:

ACKFlood
ChargenReflection
DNSReflection
GenericUDPReflection
MemcachedReflection
MSSQLReflection
NetBIOSReflection
NTPReflection
PortMapper
RequestFlood
RIPReflection
SNMPReflection
SSDPReflection
SYNFlood
UDPFragment
UDPTraffic
UDPReflection

Métricas de mitigação

O Shield Advanced fornece métricas e dimensões no namespace AWS/DDoSProtection.

Métricas de mitigação
Métrica	Descrição
`VolumePacketsPerSecond`	O número de pacotes por segundo que foram descartados ou aprovados por uma mitigação implantada em resposta a um evento detectado. Unidades: pacotes

Dimensões de mitigação
Dimensão	Descrição
`ResourceArn`	Nome do recurso da Amazon (ARN)
`MitigationAction`	O resultado de uma mitigação aplicada. Os valores possíveis são `Pass` ou `Drop`.

Métricas dos principais colaboradores

O Shield Advanced fornece métricas no namespace AWS/DDoSProtection.

Métricas dos principais colaboradores
Métrica	Descrição
`VolumePacketsPerSecond`	O número de pacotes por segundo de um colaborador principal. Unidades: pacotes
`VolumeBitsPerSecond`	O número de pacotes por segundo de um colaborador principal. Unidades: bits

O Shield Advanced publica as métricas dos principais colaboradores por combinações de dimensões que caracterizam os colaboradores do evento. Você pode usar qualquer uma das combinações de dimensões a seguir para qualquer uma das métricas dos principais contribuidores:

ResourceArn, Protocol
ResourceArn, Protocol, SourcePort
ResourceArn, Protocol, DestinationPort
ResourceArn, Protocol, SourceIp
ResourceArn, Protocol, SourceAsn
ResourceArn, TcpFlags

Dimensões dos principais contribuidores
Dimensão	Descrição
`ResourceArn`	Nome do recurso da Amazon (ARN).
`Protocol`	Nome do protocolo IP, `TCP` ou `UDP`.
`SourcePort`	Porta TCP ou UDP de origem.
`DestinationPort`	Porta TCP ou UDP de destino.
`SourceIp`	Endereço IP de origem.
`SourceAsn`	Número de sistema autônomo (ASN) da origem.
`TcpFlags`	Uma combinação de sinalizadores presentes em um pacote TCP, separados por um traço (`-`). Os sinalizadores monitorados são `ACK`, `FIN`, `RST` e `SYN`. Esse valor de dimensão sempre aparece classificado em ordem alfabética. Por exemplo, `ACK-FIN-RST-SYN`, `ACK-SYN` e `FIN-RST`.