Métricas de detecção Métricas de mitigação Métricas dos principais colaboradores

AWS Shield Advanced métricas

A Shield Advanced publica as métricas de CloudWatch detecção, mitigação e principais colaboradores da Amazon para todos os recursos que protege. Essas métricas melhoram sua capacidade de monitorar seus recursos, possibilitando a criação e configuração de CloudWatch painéis e alarmes para eles.

O console Shield Advanced apresenta resumos de muitas das métricas que ele registra. Para mais informações, consulte Visibilidade de eventos de DDoS.

Se você habilitar a mitigação automática de DDoS na camada de aplicativo para uma proteção na camada de aplicativo,

Locais de relatórios métricos

O Shield Advanced relata métricas na região Leste dos EUA (Norte da Virgínia), us-east-1 para o seguinte:

Os serviços globais Amazon CloudFront e Amazon Route 53.
Grupos de proteção. Para mais informações sobre a proteção de dados nos grupos, acesse AWS Shield Advanced grupos de proteção.

Para outros tipos de recursos, o Shield Advanced relata métricas na região do recurso.

Cronometragem do relatório de métricas

O Shield Advanced reporta métricas para a Amazon CloudWatch sobre um AWS recurso com mais frequência durante eventos de DDoS do que quando nenhum evento está em andamento. O Shield Advanced relata métricas uma vez por minuto durante um evento e, em seguida, uma vez logo após o término do evento.

Enquanto não há nenhum ataque em andamento, o Shield Advanced relata métricas uma vez ao dia, no horário atribuído ao recurso. Esse relatório periódico mantém as métricas ativas e disponíveis para uso em CloudWatch alarmes e painéis personalizados.

Recomendações de alarme

Recomendamos que você crie alarmes para notificá-lo sobre circunstâncias que exijam atenção. Como ponto de partida, você pode criar um alarme para cada recurso protegido que informa quando a métrica DDoSDetected de detecção é diferente de zero. Um valor diferente de zero nessa métrica não significa necessariamente que um ataque de DDoS esteja em andamento, mas recomendamos examinar mais de perto o status do recurso quando a métrica estiver nesse estado.

Para floods de solicitações, recomendamos que você crie alarmes para verificações compostas que também considerem fatores como integridade do aplicativo e volume de solicitações da web. Você pode optar por alertar sobre as outras três métricas que relatam o volume de tráfego para várias dimensões do vetor de ataque. Ao considerar a capacidade do seu aplicativo e alertar quando o tráfego estiver se aproximando das limitações do seu aplicativo, você pode criar um conjunto de regras que o notificam conforme necessário, sem muitos ruídos indesejados.

Métricas de detecção

O Shield Advanced fornece as métricas e as dimensões no AWS/DDoSProtection namespace.

Métricas de detecção
Métrica	Descrição
`DDoSDetected`	Indica se um evento de DDoS está em andamento para um determinado nome do recurso da Amazon (ARN). Essa métrica tem um valor diferente de zero durante um evento.
`DDoSAttackBitsPerSecond`	O número de bits observados durante um evento de DDoS para um determinado nome do recurso da Amazon (ARN). Esta métrica está disponível apenas para eventos DDoS de camada de rede e transporte (camada 3 e camada 4). Essa métrica tem um valor diferente de zero durante um evento. Unidades: bits
`DDoSAttackPacketsPerSecond`	O número de pacotes observados durante um evento de DDoS para um determinado nome de recurso da Amazon (ARN). Esta métrica está disponível apenas para eventos DDoS de camada de rede e transporte (camada 3 e camada 4). Essa métrica tem um valor diferente de zero durante um evento. Unidades: pacotes
`DDoSAttackRequestsPerSecond`	O número de solicitações observadas durante um evento de DDoS para um determinado nome de recurso da Amazon (ARN). Esta métrica está disponível apenas para eventos de DDoS da camada 7. A métrica é relatada apenas para eventos de camada 7 mais significativos. Essa métrica tem um valor diferente de zero durante um evento. Unidades: solicitações

O Shield Advanced publica a métrica DDoSDetected sem nenhuma outra dimensão. As métricas de detecção restantes incluem as dimensões AttackVector que correspondem ao tipo de ataque da lista a seguir:

ACKFlood
ChargenReflection
DNSReflection
GenericUDPReflection
MemcachedReflection
MSSQLReflection
NetBIOSReflection
NTPReflection
PortMapper
RequestFlood
RIPReflection
SNMPReflection
SSDPReflection
SYNFlood
UDPFragment
UDPTraffic
UDPReflection

Métricas de mitigação

O Shield Advanced fornece métricas e dimensões no AWS/DDoSProtection namespace.

Métricas de mitigação
Métrica	Descrição
`VolumePacketsPerSecond`	O número de pacotes por segundo que foram descartados ou aprovados por uma mitigação implantada em resposta a um evento detectado. Unidades: pacotes

Dimensões de mitigação
Dimensão	Descrição
`ResourceArn`	Nome do recurso da Amazon (ARN)
`MitigationAction`	O resultado de uma mitigação aplicada. Os valores possíveis são `Pass` ou `Drop`.

Métricas dos principais colaboradores

O Shield Advanced fornece métricas no AWS/DDoSProtection namespace.

Métricas dos principais colaboradores
Métrica	Descrição
`VolumePacketsPerSecond`	O número de pacotes por segundo de um colaborador principal. Unidades: pacotes
`VolumeBitsPerSecond`	O número de pacotes por segundo de um colaborador principal. Unidades: bits

O Shield Advanced publica as métricas dos principais colaboradores por combinações de dimensões que caracterizam os colaboradores do evento. Você pode usar qualquer uma das combinações de dimensões a seguir para qualquer uma das métricas dos principais contribuidores:

ResourceArn, Protocol
ResourceArn, Protocol, SourcePort
ResourceArn, Protocol, DestinationPort
ResourceArn, Protocol, SourceIp
ResourceArn, Protocol, SourceAsn
ResourceArn, TcpFlags

Dimensões dos principais contribuidores
Dimensão	Descrição
`ResourceArn`	Nome do recurso da Amazon (ARN).
`Protocol`	Nome do protocolo IP, `TCP` ou `UDP`.
`SourcePort`	Porta TCP ou UDP de origem.
`DestinationPort`	Porta TCP ou UDP de destino.
`SourceIp`	Endereço IP de origem.
`SourceAsn`	Número de sistema autônomo (ASN) da origem.
`TcpFlags`	Uma combinação de sinalizadores presentes em um pacote TCP, separados por um traço (`-`). Os sinalizadores monitorados são `ACK`, `FIN`, `RST` e `SYN`. Esse valor de dimensão sempre aparece classificado em ordem alfabética. Por exemplo, `ACK-FIN-RST-SYN`, `ACK-SYN` e `FIN-RST`.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS WAF métricas e dimensões

AWS Firewall Manager notificações