AWS Shield Advanced 事件 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Shield Advanced 事件

当您订阅 Shield Advanced 并保护您的资源时,您就可以访问资源的其他可见性功能。其中包括对 Shield Advanced 检测到的事件的近实时通知,以及有关检测到的事件和缓解措施的其他信息。

注意

你在 Shield Advanced 控制台中的事件信息基于 Shield Advanced 的指标。有关 Shield 高级指标的信息,请参阅 AWS Shield Advanced 指标

AWS Shield 从多个维度评估流向受保护资源的流量。当检测到异常时,Shield Advanced 会为每个受影响的资源创建一个单独的事件。

您可以通过 Shield 控制台的事件页面访问事件摘要和详细信息。顶级事件页面概述了当前和过去的事件。

以下屏幕截图显示了一个事件页面示例,其中有一个正在进行的事件。左侧导航窗格中也会标记此活跃事件。

AWS Shield 控制台左侧导航窗格的 “事件” 选项以红色突出显示,旁边有一个数字 1,位于红色圆圈内。事件页面已打开,并在事件列表中显示一行。该行列出了 CloudFront 分布类型的 AWS 资源。当前状态字段在正在进行缓解字样旁边包含一个三角形的红色图标。攻击向量状态字段包含 UDP 流量。开始时间字段包含 2020 年 9 月 16 日美国东部标准时间下午 2:43:00。持续时间字段包含 6 分钟。

Shield Advanced 还可能自动缓解攻击,具体取决于流量类型和您配置的保护措施。这些缓解措施可以保护您的资源免于承受超额流量或与已知 DDoS 攻击特征相匹配的流量。

以下屏幕截图显示了一个事件列表示例,其中所有事件均已由 Shield Advanced 缓解或自行消退。

名为 “事件” 的 AWS Shield 控制台页面列出了最近检测到的事件及其当前状态。
在活动开始前保护您的资源

在资源遭受 DDoS 攻击之前,使用 Shield Advanced 在接收正常预期流量时对其进行保护,从而提高事件检测的准确性。

为了准确报告受保护资源的事件,Shield Advanced 必须首先为其建立预期流量模式的基准。

  • Shield Advanced 会在资源受到保护至少 15 分钟后报告基础设施层事件。

  • Shield Advanced 会在资源受到保护至少 24 小时后报告资源的 Web 应用程序层事件。在 Shield Advanced 观察到预期流量 30 天后,应用程序层事件的检测精度最高。

在 AWS Shield 控制台中访问事件信息

  1. 登录 AWS Management Console 并打开 AWS WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在 AWS Shield 导航窗格中,选择事件。控制台显示事件页面。

  3. 事件页面中,您可以选择列表中的任何事件,以查看该事件的其他摘要信息和详细信息。

主题