AWS Shield Advanced métricas - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Métricas de detecçãoMétricas de mitigaçãoMétricas dos principais colaboradores

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

AWS Shield Advanced métricas

O Shield Advanced publica métricas de detecção, mitigação e métricas do contribuidor principal do Amazon CloudWatch para todos os recursos que ele protege. Essas métricas melhoram sua capacidade de monitorar seus recursos, possibilitando a criação e a configuração de painéis e alarmes do CloudWatch para eles.

O console do Shield Advanced apresenta resumos de muitas das métricas que ele registra. Para mais informações, consulte Visibilidade de eventos de DDoS com o Shield Advanced.

Se você habilitar a mitigação automática de DDoS da camada da aplicação para uma proteção da camada de aplicação, o Shield Advanced adicionará um grupo de regras ao pacote de proteção (ACL da Web) que ele usa para gerenciar proteções automatizadas. O grupo de regras gera métricas do AWS WAF, mas elas não estão disponíveis para visualização. Isso é o mesmo que para qualquer outro grupo de regras que você usa em um pacote de proteção (ACL da Web) mas não possui, como grupos de regras das Regras Gerenciadas da AWS. Para obter mais informações sobre métricas do AWS WAF, consulte AWS WAFMétricas e dimensões do . Para obter informações sobre essa opção de proteção do Shield Advanced, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

Localizações de relatórios de métricas

O Shield Advanced relata métricas na região Leste dos EUA (Norte da Virgínia), us-east-1 para o seguinte:

Para outros tipos de recursos, o Shield Advanced relata métricas na região do recurso.

Cronometragem de relatórios de métricas

O Shield Advanced reporta métricas para o Amazon CloudWatch sobre um recurso da AWS com mais frequência durante eventos de DDoS do que quando nenhum evento está em andamento. O Shield Advanced relata métricas uma vez por minuto durante um evento e, em seguida, uma vez logo após o término do evento.

Enquanto não há nenhum ataque em andamento, o Shield Advanced relata métricas uma vez ao dia, no horário atribuído ao recurso. Esse relatório periódico mantém as métricas ativas e disponíveis para uso em alarmes e painéis do CloudWatch personalizados.

Recomendações de alarme

Recomendamos que você crie alarmes para notificá-lo sobre circunstâncias que exijam atenção. Como ponto de partida, você pode criar um alarme para cada recurso protegido que informa quando a métrica de detecção DDoSDetected for diferente de zero. Um valor diferente de zero nessa métrica não significa necessariamente que um ataque de DDoS esteja em andamento, mas recomendamos examinar mais de perto o status do recurso quando a métrica estiver nesse estado.

Para floods de solicitações, recomendamos que você crie alarmes para verificações compostas que também considerem fatores como integridade do aplicativo e volume de solicitações da web. Você pode optar por alertar sobre as outras três métricas que relatam o volume de tráfego para várias dimensões do vetor de ataque. Ao considerar a capacidade do seu aplicativo e alertar quando o tráfego estiver se aproximando das limitações do seu aplicativo, você pode criar um conjunto de regras que o notificam conforme necessário, sem muitos ruídos indesejados.

Métricas de detecção

O Shield Advanced fornece as métricas e dimensões no namespace AWS/DDoSProtection.

Métricas de detecção
Métrica Descrição
DDoSDetected Indica se um evento de DDoS está em andamento para um determinado nome do recurso da Amazon (ARN).

Essa métrica tem um valor diferente de zero durante um evento.

DDoSAttackBitsPerSecond O número de bits observados durante um evento de DDoS para um determinado nome do recurso da Amazon (ARN). Esta métrica está disponível apenas para eventos DDoS de camada de rede e transporte (camada 3 e camada 4).

Essa métrica tem um valor diferente de zero durante um evento.

Unidades: bits
DDoSAttackPacketsPerSecond O número de pacotes observados durante um evento de DDoS para um determinado nome de recurso da Amazon (ARN). Esta métrica está disponível apenas para eventos DDoS de camada de rede e transporte (camada 3 e camada 4).

Essa métrica tem um valor diferente de zero durante um evento.

Unidades: pacotes
DDoSAttackRequestsPerSecond O número de solicitações observadas durante um evento de DDoS para um determinado nome de recurso da Amazon (ARN). Esta métrica está disponível apenas para eventos de DDoS da camada 7. A métrica é relatada apenas para eventos de camada 7 mais significativos.

Essa métrica tem um valor diferente de zero durante um evento.

Unidades: solicitações

O Shield Advanced publica a métrica DDoSDetected sem nenhuma outra dimensão. As métricas de detecção restantes incluem as dimensões AttackVector que correspondem ao tipo de ataque da lista a seguir:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

Métricas de mitigação

O Shield Advanced fornece métricas e dimensões no namespace AWS/DDoSProtection.

Métricas de mitigação
Métrica Descrição
VolumePacketsPerSecond O número de pacotes por segundo que foram descartados ou aprovados por uma mitigação implantada em resposta a um evento detectado.

Unidades: pacotes

Dimensões de mitigação
Dimensão Descrição

ResourceArn

Nome de recurso da Amazon (ARN)

MitigationAction

O resultado de uma mitigação aplicada. Os valores possíveis são Pass ou Drop.

Métricas dos principais colaboradores

O Shield Advanced fornece métricas no namespace AWS/DDoSProtection.

Métricas dos principais colaboradores
Métrica Descrição
VolumePacketsPerSecond O número de pacotes por segundo de um colaborador principal.

Unidades: pacotes

VolumeBitsPerSecond O número de pacotes por segundo de um colaborador principal.

Unidades: bits

O Shield Advanced publica as métricas dos principais colaboradores por combinações de dimensões que caracterizam os colaboradores do evento. Você pode usar qualquer uma das combinações de dimensões a seguir para qualquer uma das métricas dos principais contribuidores:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

Dimensões dos principais contribuidores
Dimensão Descrição

ResourceArn

Nome do recurso da Amazon (ARN).

Protocol

Nome do protocolo IP, TCP ou UDP.

SourcePort

Porta TCP ou UDP de origem.

DestinationPort

Porta TCP ou UDP de destino.

SourceIp

Endereço IP de origem.

SourceAsn

Número de sistema autônomo (ASN) da origem.

TcpFlags

Uma combinação de sinalizadores presentes em um pacote TCP, separados por um traço (-). Os sinalizadores monitorados são ACK, FIN, RST e SYN. Esse valor de dimensão sempre aparece classificado em ordem alfabética. Por exemplo, ACK-FIN-RST-SYN, ACK-SYN e FIN-RST.