AWS Shield Advanced Metriken - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
ErkennungsmetrikenKennzahlen zur SchadensbegrenzungKennzahlen der wichtigsten Mitwirkenden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Shield Advanced Metriken

Shield Advanced veröffentlicht Statistiken zur CloudWatch Erkennung und Abwehr von Amazon und zu den wichtigsten Mitwirkenden für alle Ressourcen, die es schützt. Diese Kennzahlen verbessern Ihre Fähigkeit, Ihre Ressourcen zu überwachen, indem sie es ermöglichen, CloudWatch Dashboards und Alarme für sie zu erstellen und zu konfigurieren.

Die Shield Advanced-Konsole präsentiert Zusammenfassungen vieler der von ihr aufgezeichneten Metriken. Weitere Informationen finden Sie unter Einblick in DDo S-Ereignisse mit Shield Advanced.

Wenn Sie die automatische Abwehr von Anwendungsschicht DDo S für den Schutz auf Anwendungsebene aktivieren, fügt Shield Advanced Ihrer Web-ACL eine Regelgruppe hinzu, die zur Verwaltung automatisierter Schutzmaßnahmen verwendet wird. Diese Regelgruppe generiert AWS WAF Metriken, die jedoch nicht angezeigt werden können. Das Gleiche gilt für alle anderen Regelgruppen, die Sie in Ihrer Web-ACL verwenden, die Sie aber nicht besitzen, wie z. B. Regelgruppen mit AWS verwalteten Regeln. Weitere Informationen zu AWS WAF Metriken finden Sie unterAWS WAF Metriken und Dimensionen. Informationen zu dieser Shield Advanced-Schutzoption finden Sie unterAutomatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced .

Standorte für metrische Berichte

Shield Advanced meldet Kennzahlen für die Region USA Ost (Nord-Virginia) us-east-1 für Folgendes:

Für andere Ressourcentypen meldet Shield Advanced Metriken in der Region der Ressource.

Zeitpunkt der Metrikberichterstattung

Shield Advanced meldet Amazon CloudWatch bei S-Ereignissen häufiger Kennzahlen zu einer AWS Ressource als zu DDo Zeiten, in denen keine Ereignisse im Gange sind. Shield Advanced meldet Metriken einmal pro Minute während eines Ereignisses und dann einmal direkt nach dem Ende des Ereignisses.

Solange keine Ereignisse im Gange sind, meldet Shield Advanced Metriken einmal täglich zu einer der Ressource zugewiesenen Zeit. Durch diesen regelmäßigen Bericht bleiben die Messwerte aktiv und können in benutzerdefinierten CloudWatch Alarmen und Dashboards verwendet werden.

Empfehlungen für Alarme

Wir empfehlen Ihnen, Alarme einzurichten, um Sie über Umstände zu informieren, die Ihre Aufmerksamkeit erfordern. Als Ausgangspunkt könnten Sie für jede geschützte Ressource einen Alarm erstellen, der meldet, wenn die DDoSDetected Erkennungsmetrik ungleich Null ist. Ein Wert ungleich Null in dieser Metrik bedeutet nicht unbedingt, dass ein DDo S-Angriff im Gange ist. Wir empfehlen jedoch, den Ressourcenstatus genauer zu untersuchen, wenn sich die Metrik in diesem Status befindet.

Bei einer Flut von Anfragen empfehlen wir, Alarme für kombinierte Prüfungen zu erstellen, bei denen auch Faktoren wie der Zustand der Anwendung und das Volumen der Webanfragen berücksichtigt werden. Sie können sich dafür entscheiden, den Alarm anhand der anderen drei Messwerte zu aktivieren, die das Datenverkehrsvolumen für verschiedene Angriffsvektor-Dimensionen angeben. Indem Sie die Kapazität Ihrer Anwendung berücksichtigen und Sie alarmieren, wenn sich der Datenverkehr Ihren Anwendungsbeschränkungen nähert, können Sie eine Reihe von Regeln erstellen, die Sie bei Bedarf benachrichtigen, ohne dass zu viel unerwünschtes Rauschen entsteht.

Erkennungsmetriken

Shield Advanced stellt die Metriken und Dimensionen im AWS/DDoSProtection Namespace bereit.

Erkennungsmetriken
Metrik Beschreibung
DDoSDetected Gibt an, ob ein DDo S-Ereignis für einen bestimmten Amazon-Ressourcennamen (ARN) im Gange ist.

Diese Metrik hat während eines Ereignisses einen Wert ungleich Null.

DDoSAttackBitsPerSecond Die Anzahl der Bits, die während eines DDo S-Ereignisses für einen bestimmten Amazon-Ressourcennamen (ARN) beobachtet wurden. Diese Metrik ist nur für DDo S-Ereignisse der Netzwerk- und Transportschicht (Layer 3 und Layer 4) verfügbar.

Diese Metrik hat während eines Ereignisses einen Wert ungleich Null.

Einheiten: Bits
DDoSAttackPacketsPerSecond Die Anzahl der Pakete, die während eines DDo S-Ereignisses für einen bestimmten Amazon-Ressourcennamen (ARN) beobachtet wurden. Diese Metrik ist nur für DDo S-Ereignisse auf Netzwerk- und Transportschicht (Layer 3 und Layer 4) verfügbar.

Diese Metrik hat während eines Ereignisses einen Wert ungleich Null.

Einheiten: Pakete
DDoSAttackRequestsPerSecond Die Anzahl der Anfragen, die während eines DDo S-Ereignisses für einen bestimmten Amazon-Ressourcennamen (ARN) beobachtet wurden. Diese Metrik ist nur für DDo Layer-7-S-Ereignisse verfügbar. Diese Metrik wird nur für die wichtigsten Layer 7-Ereignisse gemeldet.

Diese Metrik hat während eines Ereignisses einen Wert ungleich Null.

Einheiten: Abfragen

Shield Advanced veröffentlicht die DDoSDetected Metrik ohne andere Dimensionen. Die verbleibenden Erkennungsmetriken umfassen die AttackVector Dimensionen, die der Art des Angriffs entsprechen, aus der folgenden Liste:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

Kennzahlen zur Schadensbegrenzung

Shield Advanced stellt Metriken und Dimensionen im AWS/DDoSProtection Namespace bereit.

Metriken zur Risikominderung
Metrik Beschreibung
VolumePacketsPerSecond Die Anzahl der Pakete pro Sekunde, die im Rahmen einer Schadensbegrenzung, die als Reaktion auf ein erkanntes Ereignis eingesetzt wurde, verworfen oder weitergeleitet wurden.

Einheiten: Pakete

Dimensionen der Schadensbegrenzung
Dimension Beschreibung

ResourceArn

Amazon-Ressourcenname (ARN)

MitigationAction

Das Ergebnis einer angewandten Schadensbegrenzung. Die möglichen Wert sind Pass oder Drop.

Kennzahlen der wichtigsten Mitwirkenden

Shield Advanced stellt Metriken im AWS/DDoSProtection Namespace bereit.

Metriken der wichtigsten Mitwirkenden
Metrik Beschreibung
VolumePacketsPerSecond Die Anzahl der Pakete pro Sekunde für einen Top-Beitragenden.

Einheiten: Pakete

VolumeBitsPerSecond Die Anzahl der Bits pro Sekunde für einen Top-Beitragenden.

Einheiten: Bits

Shield Advanced veröffentlicht Kennzahlen zu den wichtigsten Mitwirkenden nach Dimensionskombinationen, die die Mitwirkenden der Veranstaltung charakterisieren. Sie können jede der folgenden Kombinationen von Dimensionen für alle Kennzahlen der wichtigsten Mitwirkenden verwenden:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

Dimensionen der wichtigsten Mitwirkenden
Dimension Beschreibung

ResourceArn

Amazon-Ressourcenname (ARN).

Protocol

IP-Protokollname, entweder TCP oderUDP.

SourcePort

Quell-TCP- oder UDP-Port.

DestinationPort

TCP- oder UDP-Zielport.

SourceIp

Quell-IP-Adresse.

SourceAsn

Nummer des autonomen Quellsystems (ASN).

TcpFlags

Eine Kombination von Flags in einem TCP-Paket, getrennt durch einen Bindestrich (-). Überwachte Flags sind ACKFIN,,RST,SYN. Dieser Dimensionswert wird immer alphabetisch sortiert angezeigt. Beispiel: ACK-FIN-RST-SYN, ACK-SYN und FIN-RST.