**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Afficher les détails de AWS Shield Advanced l'événement
<a name="ddos-event-details"></a>

Vous pouvez consulter les détails relatifs à la détection, à l'atténuation et aux principaux contributeurs d'un événement dans la section inférieure de la page de console de l'événement. Cette section peut inclure un mélange de trafic légitime et potentiellement indésirable, et peut représenter à la fois le trafic transmis à votre ressource protégée et le trafic bloqué par les mesures d'atténuation du Shield.
+ **Détection et atténuation** : fournit des informations sur l'événement observé et les mesures d'atténuation appliquées pour le contrer. Pour plus d'informations sur l'atténuation des événements, consultez[Réagir aux événements DDo S dans AWS](ddos-responding.md).
+ **Principaux contributeurs** : classe le trafic impliqué dans l'événement et répertorie les principales sources de trafic identifiées par Shield pour chaque catégorie. Pour les événements de la couche application, utilisez les informations des principaux contributeurs pour avoir une idée générale de la nature d'un événement, mais utilisez les AWS WAF journaux pour vos décisions en matière de sécurité. Pour plus d'informations, consultez les sections suivantes.

Les informations relatives à vos événements dans la console Shield Advanced sont basées sur les métriques de Shield Advanced. Pour plus d'informations sur les métriques Shield Advanced, voir [AWS Shield Advanced métriques](shield-metrics.md) 

Les mesures d'atténuation ne sont pas incluses pour les ressources Amazon CloudFront ou Amazon Route 53, car ces services sont protégés par un système d'atténuation toujours activé et ne nécessitant pas de mesures d'atténuation pour les ressources individuelles. 

Les sections détaillées varient selon que les informations concernent une couche d'infrastructure ou un événement de couche d'application. 

**Topics**
+ [Affichage des détails des événements de la couche d'application (couche 7) dans Shield Advanced](ddos-event-details-application-layer.md)
+ [Affichage des détails des événements de la couche d'infrastructure (couche 3 ou 4) dans Shield Advanced](ddos-event-details-infrastructure-layer.md)

# Affichage des détails des événements de la couche d'application (couche 7) dans Shield Advanced
<a name="ddos-event-details-application-layer"></a>

Vous pouvez consulter les détails relatifs à la détection, à l'atténuation et aux principaux contributeurs d'un événement de couche application dans la section inférieure de la page de console de l'événement. Cette section peut inclure un mélange de trafic légitime et potentiellement indésirable, et peut représenter à la fois le trafic transmis à votre ressource protégée et le trafic bloqué par les mesures d'atténuation de Shield Advanced. 

Les détails de l'atténuation concernent toutes les règles de l'ACL Web associées à la ressource, y compris les règles déployées spécifiquement en réponse à une attaque et les règles basées sur le taux définies dans l'ACL Web. Si vous activez l'atténuation automatique de la couche DDo S de l'application pour une application, les mesures d'atténuation incluent des mesures pour ces règles supplémentaires. Pour plus d'informations sur ces protections de la couche d'application, consultez[Protection de la couche applicative (couche 7) avec AWS Shield Advanced et AWS WAF](ddos-app-layer-protections.md).

## Détection et atténuation
<a name="ddos-event-details-application-layer-detection-mitigation"></a>

Pour un événement de couche d'application (couche 7), l'onglet **Détection et atténuation** affiche les mesures de détection basées sur les informations obtenues à partir des AWS WAF journaux. Les mesures d'atténuation sont basées sur AWS WAF les règles de l'ACL Web associée qui sont configurées pour bloquer le trafic indésirable. 

Pour les CloudFront distributions Amazon, vous pouvez configurer Shield Advanced pour appliquer des mesures d'atténuation automatiques à votre place. Quelles que soient les ressources de la couche application, vous pouvez choisir de définir vos propres règles d'atténuation dans votre ACL Web et demander de l'aide à la Shield Response Team (SRT). Pour de plus amples informations sur ces options, consultez [Réagir aux événements DDo S dans AWS](ddos-responding.md).

La capture d'écran suivante montre un exemple de mesures de détection pour un événement de couche application qui s'est atténué après un certain nombre d'heures. 

![\[Un graphique des mesures de détection montre la détection du trafic de demandes inondé entre 11 h 30 et 16 h 00.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/shield-app-detection-metrics.png)


Le trafic d'événements qui s'atténue avant l'entrée en vigueur d'une règle d'atténuation n'est pas représenté dans les mesures d'atténuation. Cela peut entraîner une différence entre le trafic de requêtes Web indiqué dans les graphiques de détection et les mesures d'autorisation et de blocage indiquées dans les graphiques d'atténuation. 

## Principaux contributeurs
<a name="ddos-event-details-application-layer-top-contributors"></a>

L'onglet **Principaux contributeurs** pour les événements de la couche application affiche les 5 principaux contributeurs identifiés par Shield pour l'événement, sur la base AWS WAF des journaux qu'il a récupérés. Shield classe les informations des principaux contributeurs par des dimensions telles que l'adresse IP source, le pays source et l'URL de destination.

**Note**  
Pour obtenir les informations les plus précises sur le trafic qui contribue à un événement de couche application, utilisez les AWS WAF journaux. 

Utilisez les informations sur les principaux contributeurs de la couche d'application Shield uniquement pour avoir une idée générale de la nature d'une attaque, et ne basez pas vos décisions en matière de sécurité sur ces informations. En ce qui concerne les événements liés à la couche application, les AWS WAF journaux constituent la meilleure source d'informations pour comprendre les facteurs à l'origine d'une attaque et pour concevoir vos stratégies d'atténuation. 

Les informations sur les principaux contributeurs du Shield ne reflètent pas toujours complètement les données contenues dans les AWS WAF journaux. Lorsqu'il ingère les journaux, Shield donne la priorité à la réduction de l'impact sur les performances du système plutôt qu'à la récupération de l'ensemble complet des données des journaux. Cela peut entraîner une perte de granularité des données mises à la disposition de Shield pour analyse. Dans la plupart des cas, la majorité des informations sont disponibles, mais il est possible que les données des principaux contributeurs soient faussées dans une certaine mesure en cas d'attaque. 

La capture d'écran suivante montre un exemple d'onglet **Principaux contributeurs** pour un événement de couche application. 

![\[L'onglet « Principaux contributeurs » d'un événement de couche d'application décrit les 5 principaux contributeurs pour un certain nombre de caractéristiques de requête Web. L'écran affiche les 5 principales adresses IP sources, les 5 principales destinations URLs, les 5 principaux pays sources et les 5 meilleurs agents utilisateurs.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/shield-app-event-top-contributors.png)


Les informations des contributeurs sont basées sur les demandes de trafic légitime et potentiellement indésirable. Les événements de plus grand volume et les événements dont les sources de requêtes ne sont pas très distribuées sont plus susceptibles d'avoir des contributeurs de premier plan identifiables. Une attaque distribuée de manière significative peut avoir plusieurs sources, ce qui complique l'identification des principaux contributeurs à l'attaque. Si Shield Advanced n'identifie pas les contributeurs importants pour une catégorie spécifique, il affiche les données comme non disponibles. 

# Affichage des détails des événements de la couche d'infrastructure (couche 3 ou 4) dans Shield Advanced
<a name="ddos-event-details-infrastructure-layer"></a>

Vous pouvez consulter les détails relatifs à la détection, à l'atténuation et aux principaux contributeurs d'un événement au niveau de la couche d'infrastructure dans la section inférieure de la page de console de l'événement. Cette section peut inclure un mélange de trafic légitime et potentiellement indésirable, et peut représenter à la fois le trafic transmis à votre ressource protégée et le trafic bloqué par les mesures d'atténuation du Shield. 

## Détection et atténuation
<a name="ddos-event-details-infrastructure-layer-detection-mitigation"></a>

Pour un événement de couche d'infrastructure (couche 3 ou 4), l'onglet **Détection et atténuation** affiche les mesures de détection basées sur des flux réseau échantillonnés et les mesures d'atténuation basées sur le trafic observé par les systèmes d'atténuation. Les mesures d'atténuation sont une mesure plus précise du trafic vers votre ressource. 

Shield crée automatiquement une atténuation pour les types de ressources protégés Elastic IP (EIP), Classic Load Balancer (CLB), Application Load Balancer (ALB) et accélérateur standard. AWS Global Accelerator Les mesures d'atténuation pour les adresses EIP et les accélérateurs AWS Global Accelerator standard indiquent le nombre de paquets transmis et abandonnés. 

La capture d'écran suivante montre un exemple d'onglet **Détection et atténuation** pour un événement de couche d'infrastructure. 

![\[Les graphiques de détection et d'atténuation d'un événement réseau montrent une augmentation du trafic SYN flood et du trafic de paquets dans les métriques de détection, associée à une augmentation des mesures d'atténuation entraînant une baisse du trafic quelques secondes plus tard, dans les métriques d'atténuation. Après une trentaine de secondes de mesures d'atténuation accrues, les inondations de circulation cessent.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)


Le trafic d'événements qui s'atténue avant que Shield ne mette en place une mesure d'atténuation n'est pas représenté dans les mesures d'atténuation. Cela peut entraîner une différence entre le trafic indiqué dans les graphiques de détection et les mesures de réussite et de baisse indiquées dans les graphiques d'atténuation. 

## Principaux contributeurs
<a name="ddos-event-details-infrastructure-layer-top-contributors"></a>

L'onglet **Principaux contributeurs** pour les événements de la couche infrastructure répertorie les mesures relatives à un maximum de 100 principaux contributeurs sur plusieurs dimensions du trafic. Les détails incluent les propriétés de la couche réseau pour toutes les dimensions dans lesquelles au moins cinq sources importantes de trafic peuvent être identifiées. L'adresse IP source et l'ASN source sont des exemples de sources de trafic. 

La capture d'écran suivante montre un exemple d'onglet **Principaux contributeurs** pour un événement de couche d'infrastructure. 

![\[L'onglet « Principaux contributeurs » d'un événement réseau indique les catégories de trafic qui ont le plus contribué à l'événement. Dans ce cas, les catégories incluent le volume par protocole, le volume par protocole et le port de destination, le volume par protocole et l'ASN source, et le volume par indicateurs TCP.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/shield-network-event-top-contributors.png)


Les indicateurs des contributeurs sont basés sur des échantillons de flux réseau pour le trafic légitime et potentiellement indésirable. Les événements de plus grand volume et les événements dont les sources de trafic ne sont pas très distribuées sont plus susceptibles d'avoir des contributeurs de premier plan identifiables. Une attaque distribuée de manière significative peut avoir plusieurs sources, ce qui complique l'identification des principaux contributeurs à l'attaque. Si Shield n'identifie aucun contributeur significatif pour une métrique ou une catégorie spécifique, il affiche les données comme non disponibles. 

Lors d'une attaque de couche DDo S de l'infrastructure, les sources de trafic peuvent être falsifiées ou reflétées. Une source falsifiée est forgée intentionnellement par l'attaquant. Une source réfléchie est la véritable source du trafic détecté, mais elle ne participe pas volontairement à l'attaque. Par exemple, un attaquant peut générer un flux important et amplifié de trafic vers une cible en reflétant l'attaque dirigée contre des services sur Internet qui sont généralement légitimes. Dans ce cas, les informations de source peuvent être valides alors qu'elles ne sont pas la véritable source de l'attaque. Ces facteurs peuvent limiter la viabilité des techniques d'atténuation qui bloquent les sources en fonction des en-têtes de paquets.