Directives pour le suivi de votre stratégie de contrôle des bots - AWS Conseils prescriptifs
Règles de suivi les plus importantesSuivi des principaux labels et espaces de nomsCréation d'expressions mathématiquesUtilisation de la détection d'anomaliesUtilisation de CloudWatch métriquesCréation d'un tableau de bord

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Directives pour le suivi de votre stratégie de contrôle des bots

Pour le trafic des bots et le trafic des applications Web, la surveillance et la visibilité revêtent une grande importance. Il vous aide à hiérarchiser les activités ainsi que les opérations de sécurité. Si la journalisation détaillée ou l'utilisation d'un système SIEM ne sont pas possibles, un bon point de départ consiste à surveiller les indicateurs de base fournis par la solution ou le fournisseur que vous avez sélectionné.

Cette visibilité est utile pour les informations sur les menaces, le renforcement des règles, le dépannage des faux positifs et la réponse à un incident. Plusieurs options de surveillance sont disponibles avec AWS WAF. Pour une surveillance de haut niveau, AWS WAF fournit des informations générales sur le trafic dans le AWS Management Console. Ceci est disponible pour l'ensemble du trafic ainsi qu'une vue détaillée pour le trafic des bots, lorsque le groupe de règles Bot Control est activé dans votre ACL Web.

AWS WAF fournit différentes options pour la journalisation détaillée du trafic ACL Web. Vous pouvez également ajouter des étiquettes aux demandes, que vous pouvez utiliser pour faciliter l'analyse des journaux et configurer les règles d'évaluation des robots. En intégrant Amazon CloudWatch Logs Insights, vous pouvez interroger les AWS WAF journaux et visualiser les résultats.

Si vous activez la journalisation détaillée, cela AWS WAF fournit une visibilité supplémentaire au-delà du tableau de bord de contrôle des bots préconfiguré. L'utilisation de AWS WAF journaux pour visualiser le trafic, ainsi que d'enquêtes ad hoc, peut fournir une compréhension approfondie des modèles de trafic et des options d'atténuation pour une application Web.

Vous pouvez intégrer les données des AWS WAF CloudWatch journaux à Amazon Logs, Amazon Simple Storage Service (Amazon S3) ou Amazon Data Firehose. Pour plus d'informations, consultez Activer la AWS WAF journalisation et envoyer des journaux à CloudWatch Amazon S3 ou Amazon Data Firehose. Vous pouvez également envoyer des journaux à différentes cibles à des fins d'analyse, notamment à Amazon OpenSearch Service ou à une AWS Marketplacesolution. Pour plus d'informations, consultez la section Paramètres de destination dans la documentation de Firehose. Si plusieurs sources de journaux sont utilisées, une solution de journalisation centralisée est recommandée pour corréler les sources. 

Ensuite, ce guide fournit des recommandations sur la manière de commencer à surveiller le trafic des bots et de gagner en visibilité en utilisant Amazon CloudWatch.

Règles de suivi les plus importantes

Le suivi des règles les plus utilisées peut mettre en évidence les tendances et les activités potentiellement anormales. L'augmentation des taux pour une règle spécifique peut indiquer un faux positif potentiel ou une activité ciblée que vous devriez étudier. La règle de suivi la plus courante serait Contrôles basés sur IP les règles de blocage géographique (un pic ici peut indiquer du trafic provenant de pays inhabituels, qui ne sont peut-être pas automatiquement bloqués), et. Règles basées sur un débit Ces règles présentent toujours des variations inhérentes, mais une anomalie dans le schéma de trafic peut indiquer l'activité d'un bot. Tenez-en compte si vous définissez les seuils manuellement.

Suivi des principaux labels et espaces de noms

En utilisant CloudWatch des métriques pour suivre les principaux labels, vous pouvez voir quelles AWS WAF règles sont fréquemment invoquées. Cela vous permet de détecter les anomalies, telles qu'une augmentation de l'activité des scraper, du trafic provenant de sources suspectes ou une tentative d'utilisation abusive de la page de connexion ou de l'API de l'application.

Voici des exemples d'étiquettes susceptibles de vous intéresser :

  • awswaf:managed:aws:bot-control:signal:non_browser_user_agent 

  • awswaf:managed:aws:bot-control:bot:category:http_library

  • awswaf:managed:aws:bot-control:bot:name:curl

  • awswaf:managed:aws:atp:signal:credential_compromised

  • awswaf:managed:aws:core-rule-set:NoUserAgent_Header

  • awswaf:managed:token:rejected

Voici des exemples d'espaces de noms d'étiquettes susceptibles de vous intéresser :

  • awswaf:managed:aws:bot-control:

  • awswaf:managed:aws:atp:

  • awswaf:managed:aws:anonymous-ip-list:

Création d'expressions mathématiques

Dans Amazon CloudWatch, vous pouvez créer des expressions mathématiques pour une ou toutes les règles. Si vous définissez des alertes sur des expressions mathématiques, vous serez averti des anomalies des taux, et non des quantités, de certaines mesures. Il s'agit d'un outil important pour réduire la fatigue liée aux alertes.

Créez une métrique personnalisée basée sur une expression mathématique. Examinez les taux relatifs des règles par rapport au nombre total de demandes adressées à une application. Voici une expression mathématique courante : 

[ruleX count * 100]/[All allowed requests + All blocked requests]

Cette expression mathématique fournit un pourcentage qui vous permet de suivre une règle spécifique et de visualiser son évolution dans le temps.

Utilisation de la détection d'anomalies

L'utilisation de la détection des CloudWatch anomalies sur n'importe quel CloudWatch indicateur peut fournir des alertes sur des tendances anormalement basses ou élevées, sans définir manuellement le seuil réel. Ces algorithmes analysent en permanence les métriques des systèmes et des applications, déterminent les bases de référence normales et détectent les anomalies avec une intervention minimale de l'utilisateur. CloudWatch applique des algorithmes statistiques et ML dans sa fonction de détection des anomalies. 

Utilisation des CloudWatch métriques Amazon

AWS WAF traite le trafic et ajoute des étiquettes aux demandes qui correspondent aux règles définies dans l'ACL Web. Chaque étiquette crée une métrique dans CloudWatch. Dans le même temps, chaque règle ACL Web crée également des métriques pour chacune de ses actions possibles. Utilisez ces indicateurs d'étiquette et d'action pour mieux comprendre le trafic des bots. Il s'agit d'une approche rentable pour visualiser les tendances. Pour plus d'informations, voir Afficher les métriques disponibles et Représentation graphique des métriques dans la CloudWatch documentation.

CloudWatch offre la possibilité d'envoyer des données à un collecteur de journaux ou à un agrégateur, qu'il s'agisse d'une solution tierce Service AWS ou d'une solution tierce. L'ingestion de données provenant de CloudWatch peut fournir une expérience d'observabilité de sécurité plus consolidée, grâce à laquelle vous pouvez corréler des données provenant de plusieurs sources. Cela peut vous aider à étudier, visualiser ou configurer vos alertes et vos automatisations de sécurité.

Création d'un tableau de bord

Après avoir identifié les indicateurs importants à suivre, créez un tableau de bord contenant les indicateurs les plus pertinents. Les afficher sous une seule vitre peut apporter une visibilité et un contrôle supplémentaires. side-by-side

Il est toujours préférable de configurer des alertes et des règles d'automatisation pour les valeurs métriques anormales. Ne vous fiez pas aux humains pour identifier les anomalies en consultant un tableau de bord. Cependant, les tableaux de bord peuvent être utiles à des fins d'enquête après réception d'une alerte.