AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS Shield Advanced のメトリクス
Shield Advanced は、保護するすべてのリソースの Amazon CloudWatch 検出、緩和とトップコントリビューターのメトリクスを発行します。これらのメトリクスにより、リソースに関する CloudWatch ダッシュボードとアラームを作成および設定できるようになるため、それらのリソースをより良くモニタリングできます。
Shield Advanced コンソールには、記録する多くのメトリクスの概要が表示されます。詳細については、「Shield Advanced による DDoS イベントの可視性」を参照してください。
アプリケーションレイヤー保護の自動アプリケーションレイヤー DDoS 緩和を有効にすると、Shield Advanced は自動保護の管理に使用するルールグループを保護パック (ウェブ ACL) に追加します。このルールグループは AWS WAF メトリクスを生成しますが、表示することはできません。これは、保護パック (ウェブ ACL) で使用しているが、AWS マネージドルールのルールグループなど、所有していない他のルールグループと同じです。AWS WAF メトリクスの詳細については、「AWS WAF のメトリクスとディメンション」を参照してください。Shield Advanced 保護オプションの機能については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 を参照してください。
メトリクスレポートの位置
Shield Advanced は、次のように、米国東部 (バージニア北部) (us-east-1) リージョンのメトリクスをレポートします。
グローバルサービスの Amazon CloudFront と Amazon Route 53。
-
保護グループ 保護グループについては、「AWS Shield Advanced 保護のグループ化」を参照してください。
他のリソースタイプについては、Shield Advanced がリソースのリージョンのメトリクスをレポートします。
メトリクスレポートの時点
Shield Advanced は、AWS リソースに関するメトリクスを、進行中のイベントがないときと比較して、DDoS イベント中により頻繁に Amazon CloudWatch にレポートします。Shield Advanced は、イベント中は 1 分ごとに、およびイベント終了直後に 1 回、メトリクスをレポートします。
イベントが発生していない間、Shield Advanced は 1 日に 1 回、リソースに割り当てられた時間にメトリクスを報告します。この定期的なレポートにより、メトリクスをアクティブに保ち、カスタム CloudWatch アラームとダッシュボードで使用できるようにします。
アラームの推奨
注意が必要な状況を通知するアラームを作成することをお勧めします。開始点として、DDoSDetected 検出メトリクスがゼロ以外の場合にレポートする保護されたリソースごとにアラームを作成できます。このメトリクスのゼロ以外の値は、DDoS 攻撃が進行中であることを必ずしも意味するわけではありませんが、メトリクスがこの状態にある場合は、リソースのステータスを詳しく調べることをお勧めします。
リクエストフラッドについては、アプリケーションのヘルスやウェブリクエストの量などの要素も考慮する複合チェックのアラームを作成することをお勧めします。さまざまな攻撃ベクトルディメンションのトラフィック量について報告する他の 3 つのメトリクスでアラームを設定できます。アプリケーションの容量を考慮し、トラフィックがアプリケーションの制限に近づいたときにアラームを発信することで、望ましくないノイズを過剰に発生させることなく、必要に応じて通知する一連のルールを作成できます。
検出メトリクス
Shield Advanced は、AWS/DDoSProtection ネームスペースで次の検出メトリクスとディメンションを提供します。
| メトリクス | 説明 |
|---|---|
DDoSDetected |
特定の Amazon リソースネーム (ARN) に対して DDoS イベントが進行中かどうかを示します。 このメトリクスは、イベント中はゼロ以外の値を持ちます。 |
DDoSAttackBitsPerSecond |
特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたビット数。このメトリクスは、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) の DDoS イベントにのみ使用できます。 このメトリクスは、イベント中はゼロ以外の値を持ちます。 単位: ビット |
DDoSAttackPacketsPerSecond |
特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたパケット数。このメトリクスは、ネットワークおよびトランスポートレイヤー (レイヤー 3 およびレイヤー 4) の DDoS イベントにのみ使用できます。 このメトリクスは、イベント中はゼロ以外の値を持ちます。 単位: パケット |
DDoSAttackRequestsPerSecond |
特定の Amazon リソースネーム (ARN) の DDoS イベント中に認められたリクエスト数。このメトリクスは、レイヤー 7 の DDoS イベントのみで使用できます。メトリクスは、特に重要なレイヤー 7 イベントのみについて報告されます。 このメトリクスは、イベント中はゼロ以外の値を持ちます。 単位: リクエスト |
Shield Advanced は、他のディメンションなしで DDoSDetected メトリクスを投稿します。残りの検出メトリクスには、次のリストから、攻撃のタイプに対応する AttackVector ディメンションが含まれます。
-
ACKFlood -
ChargenReflection -
DNSReflection -
GenericUDPReflection -
MemcachedReflection -
MSSQLReflection -
NetBIOSReflection -
NTPReflection -
PortMapper -
RequestFlood -
RIPReflection -
SNMPReflection -
SSDPReflection -
SYNFlood -
UDPFragment -
UDPTraffic -
UDPReflection
緩和のメトリクス
Shield Advanced は、AWS/DDoSProtection ネームスペースで次の検出メトリクスとディメンションを提供します。
| メトリクス | 説明 |
|---|---|
VolumePacketsPerSecond |
検出されたイベントに対応してデプロイされた緩和策によってドロップされたか、または渡された 1 秒あたりのパケット数。 単位: パケット |
| ディメンション | 説明 |
|---|---|
|
|
Amazon リソースネーム (ARN) |
|
|
適用された緩和策の結果。想定される値は、 |
上位の寄稿者のメトリクス
Shield Advanced は、AWS/DDoSProtection ネームスペースにメトリクスを提供します。
| メトリクス | 説明 |
|---|---|
VolumePacketsPerSecond |
上位のコントリビューターの 1 秒あたりのパケット数。 単位: パケット |
VolumeBitsPerSecond |
上位のコントリビューターの 1 秒あたりのビット数。 単位: ビット |
Shield Advanced は、イベントの寄稿者を特徴づけるディメンションの組み合わせによって、上位の寄稿者のメトリクスを投稿します 上位の寄稿者のあらゆるメトリクスについて、次のいずれかのディメンションの組み合わせを使用できます。
-
ResourceArn,Protocol -
ResourceArn,Protocol,SourcePort -
ResourceArn,Protocol,DestinationPort -
ResourceArn,Protocol,SourceIp -
ResourceArn,Protocol,SourceAsn -
ResourceArn,TcpFlags
| ディメンション | 説明 |
|---|---|
|
|
Amazon リソースネーム (ARN)。 |
|
|
|
|
|
ソース TCP または UDP ポート。 |
|
|
宛先 TCP または UDP ポート。 |
|
|
送信元 IP アドレス。 |
|
|
ソース Autonomous System number (ASN)。 |
|
|
ダッシュ |
