Melihat detail acara layer aplikasi (layer 7) di Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Deteksi dan mitigasiKontributor teratas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat detail acara layer aplikasi (layer 7) di Shield Advanced

Anda dapat melihat detail tentang deteksi, mitigasi, dan kontributor teratas peristiwa lapisan aplikasi di bagian bawah halaman konsol untuk acara tersebut. Bagian ini dapat mencakup campuran lalu lintas yang sah dan berpotensi tidak diinginkan, dan dapat mewakili lalu lintas yang diteruskan ke sumber daya yang dilindungi dan lalu lintas yang diblokir oleh mitigasi Shield Advanced.

Detail mitigasi adalah untuk aturan apa pun di web ACL yang terkait dengan sumber daya, termasuk aturan yang diterapkan secara khusus sebagai respons terhadap serangan dan aturan berbasis kecepatan yang didefinisikan di web. ACL Jika Anda mengaktifkan DDoS mitigasi lapisan aplikasi otomatis untuk aplikasi, metrik mitigasi menyertakan metrik untuk aturan tambahan tersebut. Untuk informasi tentang perlindungan lapisan aplikasi ini, lihatMelindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF.

Deteksi dan mitigasi

Untuk peristiwa lapisan aplikasi (lapisan 7), tab Deteksi dan mitigasi menunjukkan metrik deteksi yang didasarkan pada informasi yang diperoleh dari log. AWS WAF Metrik mitigasi didasarkan pada AWS WAF aturan di web terkait yang dikonfigurasi untuk memblokir lalu lintas ACL yang tidak diinginkan.

Untuk CloudFront distribusi Amazon, Anda dapat mengonfigurasi Shield Advanced untuk menerapkan mitigasi otomatis untuk Anda. Dengan sumber daya lapisan aplikasi apa pun, Anda dapat memilih untuk menentukan aturan mitigasi Anda sendiri di web Anda ACL dan Anda dapat meminta bantuan dari Tim Respons Shield (). SRT Untuk informasi tentang opsi ini, lihat Menanggapi DDoS peristiwa di AWS.

Tangkapan layar berikut menunjukkan contoh metrik deteksi untuk peristiwa lapisan aplikasi yang mereda setelah beberapa jam.

Grafik metrik deteksi menunjukkan deteksi lalu lintas banjir permintaan dari pukul 11:30 hingga mereda pada pukul 16:00.

Lalu lintas peristiwa yang mereda sebelum aturan mitigasi berlaku tidak direpresentasikan dalam metrik mitigasi. Hal ini dapat menyebabkan perbedaan antara lalu lintas permintaan web yang ditampilkan dalam grafik deteksi dan metrik izinkan dan blok yang ditunjukkan dalam grafik mitigasi.

Kontributor teratas

Tab kontributor teratas untuk peristiwa lapisan aplikasi menampilkan 5 kontributor teratas yang telah diidentifikasi Shield untuk acara tersebut, berdasarkan log AWS WAF yang telah diambil. Shield mengkategorikan informasi kontributor teratas berdasarkan dimensi seperti IP sumber, negara sumber, dan tujuan. URL

catatan

Untuk informasi paling akurat tentang lalu lintas yang berkontribusi pada peristiwa lapisan aplikasi, gunakan AWS WAF log.

Gunakan informasi kontributor teratas lapisan aplikasi Shield hanya untuk mendapatkan gambaran umum tentang sifat serangan, dan jangan mendasarkan keputusan keamanan Anda padanya. Untuk peristiwa lapisan aplikasi, AWS WAF log adalah sumber informasi terbaik untuk memahami kontributor serangan dan untuk merancang strategi mitigasi Anda.

Informasi kontributor teratas Shield tidak selalu sepenuhnya mencerminkan data dalam log. AWS WAF Saat menyerap log, Shield memprioritaskan pengurangan dampak terhadap kinerja sistem daripada mengambil kumpulan data lengkap dari log. Hal ini dapat mengakibatkan hilangnya granularitas dalam data yang tersedia untuk Shield untuk analisis. Dalam kebanyakan kasus, sebagian besar informasi tersedia, tetapi mungkin saja data kontributor teratas condong ke tingkat tertentu untuk serangan apa pun.

Tangkapan layar berikut menunjukkan contoh tab Kontributor teratas untuk acara lapisan aplikasi.

Tab kontributor teratas untuk peristiwa lapisan aplikasi menjelaskan 5 kontributor teratas untuk sejumlah karakteristik permintaan web. Layar menampilkan 5 alamat IP sumber teratas, 5 tujuan teratasURLs, 5 negara sumber teratas, dan 5 agen pengguna teratas.

Informasi kontributor didasarkan pada permintaan untuk lalu lintas yang sah dan berpotensi tidak diinginkan. Peristiwa volume yang lebih besar dan peristiwa di mana sumber permintaan tidak didistribusikan secara tinggi cenderung memiliki kontributor teratas yang dapat diidentifikasi. Serangan yang didistribusikan secara signifikan dapat memiliki sejumlah sumber, sehingga sulit untuk mengidentifikasi kontributor utama serangan tersebut. Jika Shield Advanced tidak mengidentifikasi kontributor signifikan untuk kategori tertentu, Shield Advanced akan menampilkan data sebagai tidak tersedia.