Shield Advanced でのアプリケーションレイヤー (レイヤー 7) イベントの詳細の表示 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
検出と緩和上位の寄稿者

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

Shield Advanced でのアプリケーションレイヤー (レイヤー 7) イベントの詳細の表示

イベントの検出、緩和策、および上位の寄稿者に関する詳細は、イベントのコンソールページの下部のセクションで確認できます。このセクションには、正当なトラフィックと潜在的に望ましくないトラフィックの両方が含まれる可能性があり、保護対象のリソースに渡されたトラフィックと、Shield Advanced の緩和措置によってブロックされたトラフィックの両方を表す場合があります。

緩和策の詳細は、ウェブ ACL で定義されている攻撃やレートベースのルールに応じて特にデプロイされるルールなど、リソースに関連付けられているウェブ ACL 内のすべてのルールに関するものです。アプリケーションのアプリケーションレイヤー DDoS の自動緩和を有効にすると、緩和メトリクスにはこれらの追加ルールのメトリクスが含まれます。これらのアプリケーションレイヤー保護の詳細については、AWS Shield Advanced および AWS WAF によるアプリケーションレイヤー (レイヤー 7) の保護 を参照してください。

検出と緩和

アプリケーションレイヤー (レイヤー 7) イベントの場合、[Detection and mitigation] (検出と緩和) タブには、AWS WAF ログから取得した情報に基づく検出メトリクスが表示されます。緩和メトリクスは、望ましくないトラフィックをブロックするように設定された、関連付けられたウェブ ACL の AWS WAF ルールに基づいています。

Amazon CloudFront ディストリビューションでは、自動緩和を適用するように Shield Advanced を設定できます。任意のアプリケーションレイヤーリソースを使用して、ウェブ ACL で独自の緩和ルールを定義することを選択したり、Shield レスポンスチーム (SRT、Shield Response Team) にサポートをリクエストしたりできます。これらのオプションについては、「AWS でのDDoS イベントへの対応」を参照してください。

次のスクリーンショットは、数時間後に沈静化したアプリケーションレイヤーイベントの検出メトリクスの例を示しています。

検出メトリクスグラフには、11:30 から 16:00 に沈静化するまでのリクエストフラッドトラフィックの検出が示されています。

緩和ルールが有効になる前に沈静化するイベントトラフィックは、緩和メトリクスに表れません。これにより、検出グラフに表示されるウェブリクエストのトラフィックと、緩和グラフに表示される許可およびブロックメトリクスが異なることがあります。

上位の寄稿者

アプリケーションレイヤーイベントの [上位の寄稿者] タブには、取得した AWS WAF ログに基づいて Shield がイベントについて特定した上位 5 つの寄稿者が表示されます。Shield は、上位の寄稿者情報をソースIP、送信元国、送信先 URLなどのディメンションで分類します。

注記

アプリケーションレイヤーイベントの原因となっているトラフィックに関する最も正確な情報については、AWS WAF ログを使用してください。

Shield アプリケーションレイヤーの上位の寄稿者情報は、攻撃の性質を大まかに把握するためにのみ使用し、それに基づいてセキュリティ上の決定を行うべきではありません。アプリケーションレイヤーのイベントの場合、AWS WAF ログは攻撃の原因を理解し、緩和戦略を考案するための最適な情報源です。

Shield の上位の寄稿者情報は、AWS WAF ログのデータを必ずしも完全に反映しているわけではありません。Shield は、ログを取り込む際に、ログから完全なデータを取得することよりも、システムパフォーマンスへの影響を減らすことを優先します。その結果、Shield で分析に使用できるデータの粒度が失われる可能性があります。ほとんどの場合、情報の大部分は入手可能ですが、上位の寄稿者のデータは、攻撃によってはある程度偏る可能性があります。

次のスクリーンショットは、アプリケーションレイヤーイベントの [上位の寄稿者] タブの例を示しています。

アプリケーションレイヤーイベントの [上位の寄稿者] タブには、多くのウェブリクエスト特性の上位 5 位の寄稿者が表示されます。画面には、上位 5 位の送信元 IP アドレス、上位 5 位の送信先 URL、上位 5 位の送信元国、上位 5 位のユーザーエージェントが表示されます。

コントリビューターに関する情報は、正当なトラフィックと望ましくない可能性があるトラフィックの両方に対するリクエストに基づいています。大量のイベントやリクエストソースが高度に分散されていないイベントは、識別可能な上位の寄稿者を持っている可能性が比較的高いです。大幅に分散した攻撃では、任意の数のソースが存在する可能性があり、攻撃の上位の寄稿者を特定することが困難です。Shield Advanced が特定のカテゴリの重要な寄稿者を特定しない場合、データは利用不可として表示されます。