Métriques de détection Mesures d'atténuation Statistiques relatives aux principaux contributeurs

AWS Shield Advanced métriques

Shield Advanced publie les indicateurs CloudWatch de détection et d'atténuation d'Amazon ainsi que les indicateurs relatifs aux principaux contributeurs pour toutes les ressources qu'il protège. Ces indicateurs améliorent votre capacité à surveiller vos ressources en permettant de créer et de configurer des CloudWatch tableaux de bord et des alarmes pour celles-ci.

La console Shield Advanced présente des résumés de nombreux indicateurs qu'elle enregistre. Pour plus d’informations, veuillez consulter Visibilité des DDoS événements avec Shield Advanced.

Si vous activez l'DDoSatténuation automatique de la couche application pour une protection de la couche application, Shield Advanced ajoute un groupe de règles à votre site Web ACL qu'il utilise pour gérer les protections automatisées. Ce groupe de règles génère AWS WAF des métriques, mais elles ne peuvent pas être consultées. Il en va de même pour tous les autres groupes de règles que vous utilisez sur votre site Web ACL mais dont vous n'êtes pas propriétaire, tels que les groupes de règles AWS gérées. Pour plus d'informations sur AWS WAF les métriques, consultezAWS WAF métriques et dimensions. Pour plus d'informations sur cette option de protection Shield Advanced, consultezAutomatiser l'DDoSatténuation de la couche applicative avec Shield Advanced .

Emplacements des rapports métriques

Shield Advanced publie des statistiques dans la région de l'est des États-Unis (Virginie du Nord), us-east-1 pour les domaines suivants :

Les services mondiaux Amazon CloudFront et Amazon Route 53.
Groupes de protection. Pour plus d'informations sur les groupes de protection, consultezRegrouper vos AWS Shield Advanced protections.

Pour les autres types de ressources, Shield Advanced fournit des statistiques dans la région de la ressource.

Calendrier des rapports métriques

Shield Advanced communique les métriques d'une AWS ressource CloudWatch à Amazon plus fréquemment lors d'DDoSévénements que lorsqu'aucun événement n'est en cours. Shield Advanced fournit des statistiques une fois par minute pendant un événement, puis une fois juste après la fin de l'événement.

Tant qu'aucun événement n'est en cours, Shield Advanced fournit des statistiques une fois par jour, à l'heure assignée à la ressource. Ce rapport périodique maintient les métriques actives et disponibles pour une utilisation dans des CloudWatch alarmes et des tableaux de bord personnalisés.

Recommandations relatives aux alarmes

Nous vous recommandons de créer des alarmes pour vous avertir des circonstances nécessitant une attention particulière. Comme point de départ, vous pouvez créer une alarme pour chaque ressource protégée signalant lorsque la métrique DDoSDetected de détection est différente de zéro. Une valeur différente de zéro dans cette métrique ne signifie pas nécessairement qu'une DDoS attaque est en cours, mais nous vous recommandons d'examiner de plus près l'état de la ressource lorsque la métrique est dans cet état.

En cas d'afflux de demandes, nous vous recommandons de créer des alarmes pour les vérifications composites qui tiennent également compte de facteurs tels que l'état de santé des applications et le volume de demandes Web. Vous pouvez choisir de déclencher une alarme sur les trois autres indicateurs qui indiquent le volume de trafic pour différentes dimensions du vecteur d'attaque. En tenant compte de la capacité de votre application et en vous alertant lorsque le trafic approche des limites de votre application, vous pouvez créer un ensemble de règles qui vous avertissent selon vos besoins, sans trop de bruit indésirable.

Rubriques

Métriques de détection
Mesures d'atténuation
Statistiques relatives aux principaux contributeurs

Métriques de détection

Shield Advanced fournit les métriques et les dimensions de l'espace de AWS/DDoSProtection noms.

Métriques de détection
Métrique	Description
`DDoSDetected`	Indique si un DDoS événement est en cours pour un nom de ressource Amazon spécifique (ARN). Cette métrique a une valeur différente de zéro lors d'un événement.
`DDoSAttackBitsPerSecond`	Le nombre de bits observés lors d'un DDoS événement pour un Amazon Resource Name (ARN) donné. Cette métrique n'est disponible que pour les DDoS événements du réseau et des couches de transport (couches 3 et 4). Cette métrique a une valeur différente de zéro lors d'un événement. Unités : octets
`DDoSAttackPacketsPerSecond`	Nombre de paquets observés lors d'un DDoS événement pour un Amazon Resource Name (ARN) donné. Cette métrique n'est disponible que pour les DDoS événements du réseau et des couches de transport (couches 3 et 4). Cette métrique a une valeur différente de zéro lors d'un événement. Unités : paquets
`DDoSAttackRequestsPerSecond`	Le nombre de demandes observées lors d'un DDoS événement pour un nom de ressource Amazon spécifique (ARN). Cette métrique n'est disponible que pour les DDoS événements de couche 7. Cette métrique est présentée uniquement pour les événements de couche 7 les plus significatifs. Cette métrique a une valeur différente de zéro lors d'un événement. Unités : demandes

Shield Advanced publie la DDoSDetected métrique sans aucune autre dimension. Les autres mesures de détection incluent les AttackVector dimensions correspondant au type d'attaque, dans la liste suivante :

ACKFlood
ChargenReflection
DNSReflection
GenericUDPReflection
MemcachedReflection
MSSQLReflection
NetBIOSReflection
NTPReflection
PortMapper
RequestFlood
RIPReflection
SNMPReflection
SSDPReflection
SYNFlood
UDPFragment
UDPTraffic
UDPReflection

Mesures d'atténuation

Shield Advanced fournit des métriques et des dimensions dans l'espace de AWS/DDoSProtection noms.

Mesures d'atténuation
Métrique	Description
`VolumePacketsPerSecond`	Nombre de paquets par seconde qui ont été abandonnés ou transmis par une mesure d'atténuation déployée en réponse à un événement détecté. Unités : Paquets

Dimensions d'atténuation
Dimension	Description
`ResourceArn`	Nom de la ressource Amazon (ARN)
`MitigationAction`	Le résultat d'une atténuation appliquée. Les valeurs possibles sont `Pass` ou `Drop`.

Statistiques relatives aux principaux contributeurs

Shield Advanced fournit des métriques dans l'espace de AWS/DDoSProtection noms.

Statistiques relatives aux principaux contributeurs
Métrique	Description
`VolumePacketsPerSecond`	Le nombre de paquets par seconde pour un contributeur de premier plan. Unités : Paquets
`VolumeBitsPerSecond`	Le nombre de bits par seconde pour le meilleur contributeur. Unités : bits

Shield Advanced publie les statistiques des principaux contributeurs par combinaison de dimensions qui caractérisent les contributeurs à l'événement. Vous pouvez utiliser l'une des combinaisons de dimensions suivantes pour les indicateurs des principaux contributeurs :

ResourceArn, Protocol
ResourceArn, Protocol, SourcePort
ResourceArn, Protocol, DestinationPort
ResourceArn, Protocol, SourceIp
ResourceArn, Protocol, SourceAsn
ResourceArn, TcpFlags

Dimensions des principaux contributeurs
Dimension	Description
`ResourceArn`	Nom de la ressource Amazon (ARN).
`Protocol`	Nom du protocole IP, `TCP` soit`UDP`.
`SourcePort`	Source TCP ou UDP port.
`DestinationPort`	Destination TCP ou UDP port.
`SourceIp`	Adresse IP source.
`SourceAsn`	Numéro du système autonome source (ASN).
`TcpFlags`	Combinaison de drapeaux présents dans un TCP paquet, séparés par un tiret (`-`). Les drapeaux surveillés sont `ACKFIN`,`RST`,`SYN`. Cette valeur de dimension apparaît toujours triée par ordre alphabétique. Par exemple, `ACK-FIN-RST-SYN`, `ACK-SYN` et `FIN-RST`.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS WAF métriques et dimensions

AWS Firewall Manager notifications