기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이벤트에 대한 콘솔 페이지 하단 섹션에서 애플리케이션 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield Advanced 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.
완화 세부 정보는 공격에 대응하여 특별히 배포되는 규칙과 웹 ACL에 정의된 속도 기반 규칙을 포함하여 리소스와 연결된 웹 ACL의 모든 규칙에 대한 것입니다. 애플리케이션에 대해 자동 애플리케이션 계층 DDoS 완화를 활성화하는 경우 완화 지표에는 이러한 추가 규칙에 대한 지표가 포함됩니다. 이러한 애플리케이션 계층 보호에 대한 자세한 내용은 AWS Shield Advanced 및 AWS WAF를 사용하여 애플리케이션 계층(계층 7) 보호 섹션을 참조하세요.
감지 및 완화
애플리케이션 계층(계층 7)이벤트의 경우, 감지 및 완화 탭에는 AWS WAF 로그에서 얻은 정보를 기반으로 하는 탐지 지표가 표시됩니다. 완화 지표는 원치 않는 트래픽을 차단하도록 구성된, 연결된 웹 ACL의 AWS WAF 규칙을 기반으로 합니다.
Amazon CloudFront 배포의 경우, 자동 완화 기능을 적용하도록 Shield Advanced를 구성할 수 있습니다. 모든 애플리케이션 계층 리소스를 사용하여 웹 ACL에서 자체 완화 규칙을 정의하도록 선택하고 Shield 대응 팀(SRT)에 도움을 요청할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 AWS의 DDoS 이벤트에 대한 대응 섹션을 참조하세요.
다음 스크린샷은 몇 시간 후에 진정된 애플리케이션 계층 이벤트에 대한 탐지 지표의 예를 보여줍니다.
완화 규칙이 적용되기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 웹 요청 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다.
상위 기여자
애플리케이션 계층 이벤트의 상위 기여자 탭에는 Shield가 검색한 AWS WAF 로그를 기반으로 해당 이벤트에 대해 식별한 상위 5명의 기여자가 표시됩니다. Shield는 소스 IP, 소스 국가, 대상 URL과 같은 측정기준별로 상위 기여자 정보를 분류합니다.
참고
애플리케이션 계층 이벤트에 기여하는 트래픽에 대한 가장 정확한 정보를 얻으려면 AWS WAF 로그를 사용하세요.
Shield 애플리케이션 계층의 상위 기여자 정보는 공격의 성격을 전반적으로 파악하기 위한 용도로만 사용하고, 이를 기반으로 보안 결정을 내리지 마십시오. 애플리케이션 계층 이벤트의 경우, AWS WAF 로그는 공격의 원인을 파악하고 완화 전략을 수립하는 데 가장 좋은 정보 소스입니다.
Shield 상위 기여자 정보가 항상 AWS WAF 로그의 데이터를 완전히 반영하는 것은 아닙니다. Shield는 로그를 수집할 때 로그에서 전체 데이터 세트를 검색하는 것보다 시스템 성능에 미치는 영향을 줄이는 것을 우선시합니다. 이로 인해 Shield에서 분석에 사용할 수 있는 데이터의 세부 수준이 손실될 수 있습니다. 대부분의 경우 대부분의 정보를 사용할 수 있지만, 어떤 공격에서든 상위 기여자 데이터가 어느 정도 왜곡될 수 있습니다.
다음 스크린샷은 애플리케이션 계층 이벤트에 대한 상위 기여자 탭의 예를 보여줍니다.
기여자 정보는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대한 요청을 기반으로 합니다. 볼륨이 큰 이벤트와 요청 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield Advanced가 특정 카테고리의 주요 기여자를 식별하지 못하면 데이터가 사용할 수 없음으로 표시됩니다.
