**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Visualizzazione AWS Shield Advanced degli eventi
Questa pagina fornisce istruzioni per accedere alle informazioni sugli eventi in Shield Advanced.
Quando ti abboni a Shield Advanced e proteggi le tue risorse, accedi a funzionalità di visibilità aggiuntive per le risorse. Questi includono la notifica quasi in tempo reale degli eventi rilevati da Shield Advanced e informazioni aggiuntive sugli eventi rilevati e sulle mitigazioni.
**Nota**
Le informazioni sugli eventi nella console Shield Advanced si basano sulle metriche di Shield Advanced. Per informazioni sulle metriche Shield Advanced, consulta [AWS Shield Advanced metriche](shield-metrics.md)
AWS Shield valuta il traffico verso la risorsa protetta secondo più dimensioni. Quando viene rilevata un'anomalia, Shield Advanced crea un evento separato per ogni risorsa interessata.
Puoi accedere ai riepiloghi e ai dettagli degli eventi tramite la pagina **Eventi** della console Shield. La pagina **Eventi** di primo livello fornisce una panoramica degli eventi attuali e passati.
La schermata seguente mostra un esempio di pagina **Eventi** con un singolo evento in corso. Questo evento attivo è contrassegnato anche nel riquadro di navigazione a sinistra.
![\[Nel riquadro di navigazione a sinistra della AWS Shield console la selezione Eventi è evidenziata in rosso, accanto al numero 1, all'interno di un cerchio rosso. La pagina Eventi è aperta e mostra una singola riga nell'elenco degli eventi. La riga elenca una AWS risorsa di tipo CloudFront distribuito. Il campo Stato attuale contiene un'icona triangolare rossa accanto alle parole Attenuazione in corso. Il campo Attack vectors status contiene traffico UDP. Il campo Ora di inizio contiene il 16 settembre 2020, 14:43:00 SAST. Il campo Durata contiene 6 minuti.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-event-summary1.png)
Shield Advanced potrebbe anche adottare automaticamente misure di mitigazione contro gli attacchi, a seconda del tipo di traffico e delle protezioni configurate. Queste mitigazioni possono proteggere la tua risorsa dalla ricezione di traffico in eccesso o di traffico che corrisponde a una firma di attacco DDo S nota.
La schermata seguente mostra un esempio di elenco **degli eventi** in cui tutti gli eventi sono stati mitigati da Shield Advanced o si sono attenuati da soli.
![\[Una pagina della AWS Shield console intitolata Eventi elenca gli eventi che sono stati rilevati di recente e il loro stato attuale.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-events.png)
**Proteggi le tue risorse prima di un evento**
Migliora la precisione del rilevamento degli eventi proteggendo le risorse con Shield Advanced mentre ricevono il normale traffico previsto, prima che siano soggette a un attacco DDo S.
Per segnalare con precisione gli eventi relativi a una risorsa protetta, Shield Advanced deve innanzitutto stabilire una linea di base dei modelli di traffico previsti per tale risorsa.
+ Shield Advanced segnala gli eventi a livello di infrastruttura per le risorse dopo che sono state protette per almeno 15 minuti.
+ Shield Advanced segnala gli eventi a livello di applicazione Web per le risorse dopo che sono state protette per almeno 24 ore. La precisione del rilevamento degli eventi a livello di applicazione è ottimale dopo che Shield Advanced ha osservato il traffico previsto per 30 giorni.
**Per accedere alle informazioni sugli eventi nella AWS Shield console**
1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/).
1. Nel riquadro AWS Shield di navigazione, scegli **Eventi**. La console mostra la pagina **Eventi**.
1. Dalla pagina **Eventi**, puoi selezionare qualsiasi evento nell'elenco per visualizzare ulteriori informazioni di riepilogo e dettagli sull'evento.
**Topics**
+ [Elenco dei campi nei riepiloghi AWS Shield Advanced degli eventi](ddos-event-summaries.md)
+ [Visualizzazione dei dettagli AWS Shield Advanced dell'evento](ddos-event-details.md)
# Elenco dei campi nei riepiloghi AWS Shield Advanced degli eventi
Questa pagina elenca e definisce i campi nei riepiloghi degli eventi Shield Advanced.
È possibile visualizzare informazioni di riepilogo e dettagli per un evento nella pagina della console dell'evento. Per aprire la pagina di un evento, selezionate il nome della AWS risorsa dall'elenco delle pagine **Eventi**.
La schermata seguente mostra un esempio di riepilogo di un evento a livello di rete.
![\[Il riquadro di riepilogo della pagina degli eventi della AWS Shield console elenca le informazioni relative a un evento e include la AWS risorsa interessata, i vettori di attacco, gli orari di inizio e di fine e le informazioni sulla mitigazione e sullo stato.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-event-summary2.png)
Le informazioni di riepilogo della pagina dell'evento includono quanto segue.
+ **Stato attuale**: valori che indicano lo stato dell'evento e le azioni intraprese da Shield Advanced sull'evento. I valori di stato si applicano agli eventi a livello di infrastruttura (livello 3 o 4) e a livello di applicazione (livello 7).
+ **Identificato (in corso)** e **Identificato (attenuato)**: indicano che Shield Advanced ha rilevato un evento, ma finora non ha intrapreso alcuna azione al riguardo. **Identificato (attenuato)** indica che il traffico sospetto rilevato da Shield si è interrotto senza intervento.
+ **Attenuazione in corso** e **mitigata**: indicano che Shield Advanced ha rilevato un evento e ha preso provvedimenti in merito. **Mitigated** viene utilizzato anche quando la risorsa di destinazione è una CloudFront distribuzione Amazon o una zona ospitata di Amazon Route 53, che dispongono di mitigazioni automatiche in linea.
+ Vettori di **attacco: vettori** di attacco DDo S come TCP SYN flood ed euristiche di rilevamento Shield Advanced come request flood. Questi possono essere indicatori di un attacco S. DDo
+ **Ora di inizio**: la data e l'ora in cui è stato rilevato il primo punto dati anomalo sul traffico.
+ **Durata o ora di fine**: indica il tempo trascorso tra l'ora di inizio dell'evento e l'ultimo punto dati anomalo osservato da Shield Advanced. Mentre un evento è in corso, questi valori continueranno ad aumentare.
+ **Protezione**: assegna un nome alla protezione Shield Advanced associata alla risorsa e fornisce un collegamento alla relativa pagina di protezione. È disponibile nella pagina del singolo evento.
+ **Mitigazione automatica del livello di applicazione DDo S**: utilizzata per la protezione a livello di applicazione, per indicare se la mitigazione automatica del livello di applicazione DDo S di Shield Advanced è abilitata per la risorsa. Se è abilitata, fornisce un collegamento per accedere e gestire la configurazione. È disponibile nella pagina del singolo evento.
+ **Attenuazione automatica a livello di rete**: indica se la risorsa dispone di una mitigazione automatica a livello di rete. Se una risorsa ha un componente a livello di rete, lo avrà abilitato. Queste informazioni sono disponibili nella pagina del singolo evento.
Per le risorse che vengono spesso prese di mira, Shield può lasciare in atto delle mitigazioni dopo che il traffico in eccesso si è attenuato, per prevenire ulteriori eventi ricorrenti.
**Nota**
Puoi anche accedere ai riepiloghi degli eventi per le risorse protette tramite l'operazione API. AWS Shield [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)
# Visualizzazione dei dettagli AWS Shield Advanced dell'evento
Puoi visualizzare i dettagli sul rilevamento e la mitigazione di un evento e sui principali contributori nella sezione inferiore della pagina della console relativa all'evento. Questa sezione può includere una combinazione di traffico legittimo e potenzialmente indesiderato e può rappresentare sia il traffico passato alla risorsa protetta sia il traffico bloccato dalle mitigazioni Shield.
+ **Rilevamento e mitigazione**: fornisce informazioni sull'evento osservato e sulle eventuali misure di mitigazione applicate a tale evento. Per informazioni sulla mitigazione degli eventi, vedere. [Risposta agli eventi DDo S in AWS](ddos-responding.md)
+ **Collaboratori principali**: classifica il traffico coinvolto nell'evento ed elenca le fonti di traffico principali che Shield ha identificato per ciascuna categoria. Per gli eventi a livello di applicazione, utilizza le informazioni dei principali contributori per avere un'idea generale della natura di un evento, ma usa AWS WAF i log per le tue decisioni di sicurezza. Per ulteriori informazioni, consultate le sezioni seguenti.
Le informazioni sugli eventi nella console Shield Advanced si basano sulle metriche di Shield Advanced. Per informazioni sulle metriche Shield Advanced, consulta [AWS Shield Advanced metriche](shield-metrics.md)
I parametri di mitigazione non sono inclusi per le risorse CloudFront Amazon o Amazon Route 53, poiché questi servizi sono protetti da un sistema di mitigazione che è sempre abilitato e non richiede mitigazioni per singole risorse.
Le sezioni dei dettagli variano a seconda che le informazioni si riferiscano a un evento a livello di infrastruttura o a livello applicativo.
**Topics**
+ [Visualizzazione dei dettagli degli eventi a livello di applicazione (livello 7) in Shield Advanced](ddos-event-details-application-layer.md)
+ [Visualizzazione dei dettagli degli eventi a livello di infrastruttura (livello 3 o 4) in Shield Advanced](ddos-event-details-infrastructure-layer.md)
# Visualizzazione dei dettagli degli eventi a livello di applicazione (livello 7) in Shield Advanced
Puoi visualizzare i dettagli sul rilevamento e la mitigazione di un evento a livello applicativo e sui principali contributori nella sezione inferiore della pagina della console relativa all'evento. Questa sezione può includere una combinazione di traffico legittimo e potenzialmente indesiderato e può rappresentare sia il traffico passato alla risorsa protetta sia il traffico bloccato dalle mitigazioni Shield Advanced.
I dettagli di mitigazione riguardano tutte le regole dell'ACL Web associate alla risorsa, comprese le regole implementate specificamente in risposta a un attacco e le regole basate sulla frequenza definite nell'ACL Web. Se abiliti la mitigazione automatica del livello di applicazione DDo S per un'applicazione, le metriche di mitigazione includono le metriche per tali regole aggiuntive. Per informazioni su queste protezioni a livello di applicazione, consulta. [Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md)
## Rilevamento e mitigazione
Per un evento a livello applicativo (livello 7), la scheda **Rilevamento e mitigazione** mostra le metriche di rilevamento basate sulle informazioni ottenute dai log. AWS WAF Le metriche di mitigazione si basano su AWS WAF regole dell'ACL Web associato configurate per bloccare il traffico indesiderato.
Per CloudFront le distribuzioni Amazon, puoi configurare Shield Advanced per applicare mitigazioni automatiche al posto tuo. Con qualsiasi risorsa a livello di applicazione, puoi scegliere di definire le tue regole di mitigazione nell'ACL web e puoi richiedere assistenza allo Shield Response Team (SRT). Per informazioni su queste opzioni, consulta [Risposta agli eventi DDo S in AWS](ddos-responding.md).
La schermata seguente mostra un esempio delle metriche di rilevamento per un evento a livello applicativo che si è attenuato dopo alcune ore.
![\[Un grafico delle metriche di rilevamento mostra il rilevamento dell'inondazione del traffico delle richieste dalle 11:30 fino alla sua cessazione alle 16:00.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-app-detection-metrics.png)
Il traffico degli eventi che diminuisce prima che una regola di mitigazione abbia effetto non è rappresentato nelle metriche di mitigazione. Ciò può comportare una differenza tra il traffico delle richieste Web mostrato nei grafici di rilevamento e le metriche di autorizzazione e blocco mostrate nei grafici di mitigazione.
## Collaboratori principali
La scheda **Collaboratori principali** per gli eventi a livello di applicazione mostra i primi 5 contributori identificati da Shield per l'evento, in base AWS WAF ai log recuperati. Shield classifica le informazioni dei principali contributori in base a dimensioni quali IP di origine, paese di origine e URL di destinazione.
**Nota**
Per informazioni più accurate sul traffico che contribuisce a un evento a livello di applicazione, utilizzate i AWS WAF log.
Utilizzate le informazioni sui principali contributori del livello di applicazione Shield solo per avere un'idea generale della natura di un attacco e non basate le vostre decisioni di sicurezza su di esso. Per gli eventi a livello di applicazione, AWS WAF i log sono la migliore fonte di informazioni per comprendere chi ha contribuito a un attacco e per elaborare strategie di mitigazione.
Le informazioni sui principali contributori di Shield non sempre riflettono completamente i dati nei AWS WAF log. Quando inserisce i log, Shield dà priorità alla riduzione dell'impatto sulle prestazioni del sistema rispetto al recupero del set completo di dati dai log. Ciò può comportare una perdita di granularità nei dati disponibili per l'analisi in Shield. Nella maggior parte dei casi, la maggior parte delle informazioni è disponibile, ma è possibile che i dati dei principali contributori vengano in qualche misura distorti a causa di qualsiasi attacco.
La schermata seguente mostra un esempio della scheda **Top contributors** per un evento a livello di applicazione.
![\[La scheda Collaboratori principali di un evento a livello di applicazione descrive i primi 5 contributori per una serie di caratteristiche delle richieste Web. La schermata mostra i primi 5 indirizzi IP di origine, le 5 principali destinazioni URLs, i 5 principali paesi di origine e i 5 migliori agenti utente.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-app-event-top-contributors.png)
Le informazioni sui contributori si basano sulle richieste di traffico legittimo e potenzialmente indesiderato. È più probabile che gli eventi con volume maggiore e gli eventi in cui le fonti delle richieste non sono distribuite in modo uniforme abbiano contributori principali identificabili. Un attacco distribuito in modo significativo può avere un numero qualsiasi di fonti, il che rende difficile identificare i principali contributori all'attacco. Se Shield Advanced non identifica i contributori significativi per una categoria specifica, visualizza i dati come non disponibili.
# Visualizzazione dei dettagli degli eventi a livello di infrastruttura (livello 3 o 4) in Shield Advanced
Puoi visualizzare i dettagli sul rilevamento e la mitigazione di un evento a livello di infrastruttura e sui principali contributori nella sezione inferiore della pagina della console relativa all'evento. Questa sezione può includere una combinazione di traffico legittimo e potenzialmente indesiderato e può rappresentare sia il traffico passato alla risorsa protetta sia il traffico bloccato dalle mitigazioni Shield.
## Rilevamento e mitigazione
Per un evento a livello di infrastruttura (livello 3 o 4), la scheda **Rilevamento e mitigazione** mostra le metriche di rilevamento basate su flussi di rete campionati e le metriche di mitigazione basate sul traffico osservato dai sistemi di mitigazione. Le metriche di mitigazione sono una misurazione più precisa del traffico verso la risorsa.
Shield crea automaticamente una mitigazione per i tipi di risorse protette Elastic IP (EIP), Classic Load Balancer (CLB), Application Load Balancer (ALB) e acceleratore standard. AWS Global Accelerator Le metriche di mitigazione per gli indirizzi EIP e gli acceleratori AWS Global Accelerator standard indicano il numero di pacchetti passati e rilasciati.
La schermata seguente mostra un esempio di scheda **Rilevamento e mitigazione** per un evento a livello di infrastruttura.
![\[I grafici di rilevamento e mitigazione per un evento di rete mostrano un aumento del traffico SYN flood e packet flood nelle metriche di rilevamento, accompagnato da un aumento delle mitigazioni che riducono il traffico pochi secondi dopo, nelle metriche di mitigazione. Dopo circa trenta secondi di maggiori mitigazioni, le alluvioni di traffico si fermano.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)
Il traffico degli eventi che si interrompe prima che Shield effettui una mitigazione non è rappresentato nelle metriche di mitigazione. Ciò può comportare una differenza tra il traffico mostrato nei grafici di rilevamento e le metriche relative al passaggio e alla caduta mostrate nei grafici di mitigazione.
## Collaboratori principali
La scheda **Collaboratori principali** per gli eventi a livello di infrastruttura elenca le metriche relative a un massimo di 100 contributori principali in diverse dimensioni del traffico. I dettagli includono le proprietà del livello di rete per qualsiasi dimensione in cui è possibile identificare almeno cinque fonti di traffico significative. Esempi di fonti di traffico sono l'IP di origine e l'ASN di origine.
La schermata seguente mostra un esempio della scheda **Top contributors** per un evento a livello di infrastruttura.
![\[La scheda Collaboratori principali di un evento di rete mostra le categorie di traffico che hanno contribuito maggiormente all'evento. Le categorie in questo caso includono volume per protocollo, volume per protocollo e porta di destinazione, volume per protocollo e ASN di origine e volume per flag TCP.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-network-event-top-contributors.png)
Le metriche dei contributori si basano su flussi di rete campionati per il traffico legittimo e potenzialmente indesiderato. È più probabile che gli eventi con un volume maggiore e gli eventi in cui le fonti di traffico non sono distribuite in modo elevato abbiano contributori principali identificabili. Un attacco distribuito in modo significativo può avere un numero qualsiasi di fonti, il che rende difficile identificare i principali responsabili dell'attacco. Se Shield non identifica alcun contributore significativo per una metrica o una categoria specifica, visualizza i dati come non disponibili.
In un attacco di livello DDo S dell'infrastruttura, le sorgenti di traffico potrebbero essere falsificate o riflesse. Una fonte contraffatta viene falsificata intenzionalmente dall'aggressore. Una fonte riflessa è la vera fonte del traffico rilevato, ma non partecipa volontariamente all'attacco. Ad esempio, un utente malintenzionato potrebbe generare un flusso di traffico ampio e amplificato verso un bersaglio, riflettendo l'attacco su servizi su Internet che di solito sono legittimi. In questo caso, le informazioni sulla fonte potrebbero essere valide mentre non sono la fonte effettiva dell'attacco. Questi fattori possono limitare la fattibilità delle tecniche di mitigazione che bloccano le sorgenti in base alle intestazioni dei pacchetti.