在 Shield Advanced 中檢視應用程式層 (第 7 層) 事件詳細資訊 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Shield Advanced 中檢視應用程式層 (第 7 層) 事件詳細資訊

您可以在 主控台頁面底部區段中,查看應用程式層事件偵測、緩解和最大貢獻者的詳細資訊。本節可能包含合法和可能不需要的流量組合,並可能代表傳遞給您受保護資源的流量,以及 Shield Advanced 緩解措施封鎖的流量。

緩解詳細資訊適用於 Web 中與資源ACL相關聯的任何規則,包括專門為回應 Web 中定義的攻擊和速率型規則而部署的規則ACL。如果您為應用程式啟用自動應用程式層DDoS緩解,緩解指標會包含這些額外規則的指標。如需這些應用程式層保護的相關資訊,請參閱 使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF

偵測和緩解

對於應用程式層 (第 7 層) 事件,偵測和緩解索引標籤會顯示以從 AWS WAF 日誌取得的資訊為基礎的偵測指標。緩解指標是根據相關聯 Web 中的規則ACL,這些 AWS WAF 規則設定為封鎖不需要的流量。

對於 Amazon CloudFront 分佈,您可以設定 Shield Advanced 來套用自動緩解。在任何應用程式層資源中,您可以選擇在 Web 中定義自己的緩解規則,ACL並請求 Shield Response Team () 的協助SRT。如需這些選項的資訊,請參閱 回應 中的DDoS事件 AWS

下列螢幕擷取畫面顯示應用程式層事件的偵測指標範例,這些指標會在數小時後消失。

偵測指標圖表顯示從 11:30 到 16:00 下滑的請求洪水流量偵測。

緩解規則生效之前所隱藏的事件流量不會在緩解指標中表示。這可能會導致偵測圖表中顯示的 Web 請求流量與緩解圖表中顯示的允許和封鎖指標之間的差異。

最大貢獻者

應用程式層事件的前 5 個貢獻者索引標籤會根據 Shield 擷取的 AWS WAF 日誌,顯示 Shield 為事件識別的前 5 個貢獻者。Shield 會依來源 IP、來源國家/地區和目的地 等維度分類主要貢獻者資訊URL。

注意

如需導致應用程式層事件之流量的最準確資訊,請使用 AWS WAF 日誌。

使用 Shield 應用程式層主要貢獻者資訊,僅是為了取得攻擊性質的一般概念,並且不會根據其做出安全決策。對於應用程式層事件, AWS WAF 日誌是了解攻擊貢獻者和制定緩解策略的最佳資訊來源。

Shield 最大貢獻者資訊不一定完全反映 AWS WAF 日誌中的資料。擷取日誌時,Shield 會優先減少對系統效能的影響,而不是從日誌中擷取完整的資料集。這可能會導致 Shield 可用於分析的資料精細度損失。在大多數情況下,大多數資訊都是可用的,但主要貢獻者資料可能會偏移到某種程度,以進行任何攻擊。

下列螢幕擷取畫面顯示應用程式層事件的 Top contributors 索引標籤範例。

應用程式層事件的前 5 個貢獻者索引標籤說明了許多 Web 請求特徵的前 5 個貢獻者。畫面顯示前 5 個來源 IP 地址、前 5 個目的地 URLs、前 5 個來源國家,以及前 5 個使用者代理。

貢獻者資訊是根據對合法和潛在不需要流量的請求。較大的磁碟區事件,以及請求來源未高度分佈的事件,更有可能具有可識別的主要貢獻者。顯著分佈的攻擊可能具有任意數量的來源,因此很難識別攻擊的主要原因。如果 Shield Advanced 無法識別特定類別的重要貢獻者,則會將資料顯示為無法使用。