監控機器人控制策略的準則 - AWS 方案指引
追蹤熱門規則追蹤頂端標籤和命名空間建立數學運算式使用異常偵測使用 CloudWatch 指標建立儀表板

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控機器人控制策略的準則

對於機器人流量和 Web 應用程序流量而言,監控和可見性非常重要。它可協助您排定活動的優先順序以及安全性作業。如果無法進行詳細記錄或使用 SIEM 系統,那麼一個很好的起點就是監視您選取的解決方案或廠商提供的基本指標。

此可見性對於威脅情報、強化規則、疑難排解誤報以及回應事件非常有用。有多個可用的監視選項 AWS WAF。若要進行高階監控,請在中 AWS WAF 提供流量概觀資訊 AWS Management Console。當您的 Web ACL 中啟用了機器人控制規則群組時,此功能可用於所有流量以及機器人流量的詳細檢視。

AWS WAF 提供不同的選項來詳細記錄 Web ACL 流量。您也可以將標籤新增至請求,以便進行記錄分析和設定機器人評估規則。透過整合 Amazon CloudWatch 日誌洞見,您可以查詢 AWS WAF 日誌並將結果視覺化。

如果您開啟詳細記錄,則會 AWS WAF 提供預先設定的機器人控制儀表板以外的其他可見性。使用 AWS WAF 記錄檔將流量視覺化以及臨機操作調查,可深入瞭解 Web 應用程式的流量模式和緩解選項。

您可以將日 AWS WAF 誌數據與 Amazon CloudWatch 日誌,Amazon Simple Storage Service (Amazon S3) 或 Amazon 數據 Firehose 集成。如需詳細資訊,請參閱開啟 AWS WAF 記錄功能並將日誌傳送到 CloudWatch Amazon S3 或 Amazon 資料 Firehose。您也可以將日誌傳送到各種目標進行分析,包括到 Amazon OpenSearch 服務或AWS Marketplace解決方案。如需詳細資訊,請參閱 Firehose 文件中的目的地設定。如果使用多個記錄來源,建議使用集中式記錄解決方案來關聯來源。 

接下來,本指南提供有關如何使用 Amazon 開始監控機器人流量並獲得可見度的建議 CloudWatch。

追蹤熱門規則

跟踪命中最高的規則可以突出趨勢和潛在的異常活動。提高特定規則的比率可能表示您應該調查的潛在誤判或鎖定目標活動。最常見的追蹤規則是基於 IP 的控制地理封鎖規則 (這裡的尖峰可以顯示來自不尋常國家/地區的流量,這可能不會自動封鎖),以及速率為基礎的規則。這些規則將始終具有固有的變化,但流量模式的異常可能表示機器人活動。如果您要手動設定閾值,請考慮這一點。

追蹤頂端標籤和命名空間

透過使用 CloudWatch 指標追蹤最常用的標籤,您可以查看經常叫用哪些 AWS WAF 規則。這有助於您檢測異常情況,例如抓取活動增加,來自可疑來源的流量,或嘗試濫用應用程序登錄頁面或 API。

以下是可能感興趣的範例標籤:

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

以下是可能感興趣的範例標籤命名空間:

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

建立數學運算式

在 Amazon 中 CloudWatch,您可以為任何或所有規則建立數學運算式。如果您在數學運算式上設定警示,系統會通知您有關特定量度的比率 (而非數量) 異常。這是減少警報疲勞的重要工具。

建立以數學運算式建置的自訂量度。查看規則的相對費率,從對應用程序的請求的總數。以下是常見的數學運算式: 

[ruleX count * 100]/[All allowed requests + All blocked requests]

此數學運算式提供百分比,讓您可以追蹤特定規則並視覺化其隨時間變化的趨勢。

使用異常偵測

在任何 CloudWatch 量度上使用CloudWatch異常偵測可以針對異常低或高趨勢提供警示,而無需手動設定實際閾值。 這些演算法會持續分析系統和應用程式的指標、判斷一般基準線,並以最少的使用者介入來顯示異常情況。 CloudWatch 在其異常偵測功能中套用統計和 ML 演算法。 

使用 Amazon CloudWatch 指標

AWS WAF 處理流量並將標籤新增至符合 Web ACL 中定義的規則的請求。每個標籤都會在中建立一個度量 CloudWatch。同時,每個 Web ACL 規則也會為每個可能的動作建立量度。使用這些標籤和動作指標,深入瞭解機器人流量。這是一種具有成本效益的方法來視覺化趨勢。如需詳細資訊,請參閱 CloudWatch 文件中的檢視可用量度和繪製圖形化指標

CloudWatch 提供將資料傳送至記錄收集器或彙總工具的選項,無論是第三方解決方案 AWS 服務 還是協力廠商解決方案。從中擷取資料 CloudWatch 可提供更整合的安全觀察性體驗,您可以在其中將來自多個來源的資料建立關聯。這可協助您調查、檢視或設定警示和安全自動化。

建立儀表板

確定要跟踪的重要指標後,創建一個包含最相關指標的儀表板。在單個玻璃窗格下顯示它們 side-by-side可以提供額外的可見性和控制。

最好為異常量度值設定警示和自動化規則。不要依賴人類通過查看儀表板來識別異常情況。但是,在收到警示之後,儀表板可用於調查目的。