Analysen
Übersicht
Analysen liefern tiefe Einblicke in die Traffic-Muster von Webanwendungen. Sie helfen dabei, Möglichkeiten für zusätzliche Schutzmaßnahmen mit WAF aufzudecken, die Auslieferungsleistung mit CloudFront zu optimieren oder die Anwendungs-SEO durch eine Aktualisierung des Codes zu verbessern. Für Edge-Analysen werden von CloudFront und WAF generierte serverseitige Protokolle herangezogen. Sie können je nach Geschäftsanforderungen mit verschiedenen AWS-Services oder SIEM-Drittanbietern erstellt werden. Clientseitige Analysen werden auf der Clientseite mithilfe von JavaScript-Tags unabhängig von der Anwendungsinfrastruktur erfasst.
Native Berichterstellung und Analyse
CloudFront stellt native Berichte in der AWS-Konsole bereit. Dazu gehören Cache-Statistiken (z. B. Statuscodes, Ergebnistypen), die beliebteste Objekte, Referrer, Viewer-Berichte (z. B. Geräte, Browser, Standorte) und Nutzungsberichte (z. B. übertragene Bytes und Anzahl der Anfragen). Bei Verwendung mit AWS WAF stellt CloudFront in der AWS-Konsole auch ein Sicherheits-Dashboard zur Verfügung.
AWS WAF bietet Ihnen native Dashboards, die CloudWatch-Metriken wie Gesamtanforderungen, blockierte Anforderungen, zulässige Anforderungen, Bots im Vergleich zu Nicht-Bot-Anfragen, Bot-Kategorien, CAPTCHA-Lösungsrate, die 10 am häufigsten übereinstimmenden Regeln und mehr auf einer Web-ACL-Basis nutzen. Diese Dashboards bieten einen besseren Überblick und helfen bei der Beantwortung von Fragen wie „Wie viel Prozent meines von WAF geprüften Datenverkehrs werden blockiert“, „Was sind die Herkunftsländer, deren Datenverkehr am meisten blockiert wird“, „Was sind häufige Angriffe, die WAF erkennt und vor denen es mich schützt“, „Wie sehen mein Datenverkehr und meine Datenverkehrsmuster von dieser Woche im Vergleich zu denen von letzter Woche aus“.
Clientseitige Analysen
CloudWatch RUM liefert Analysen aus Ihrer Anwendung. Die Daten werden auf Clientseite erfasst. Dazu wird ein JavaScript-Tag in Ihre Webseiten integriert. Das JavaScript erfasst Daten von Browser-APIs, wie Leistungsdaten (z. B. Seitenladezeiten und Google Core Web Vitals) sowie Nutzer-Navigationsdaten, um Ihnen Einblicke in die Interaktion der Nutzer mit Ihrer Website zu geben. Sie können die Leistung Ihrer Anwendung analysieren, indem Sie nach bestimmten Dimensionen wie dem Browsertyp, dem Benutzerland oder einer bestimmten Seiten-ID filtern.
Gängige benutzerdefinierte Analyselösungen, die auf CloudFront- und WAF-Protokollen basieren
Von CloudFront und WAF generierte Protokolle sind erforderlich, um eine benutzerdefinierte Analyselösung (d. h. personalisierte Dashboards) zu erstellen.
CloudFront bietet zwei Optionen für die Anforderungsprotokollierung:
- Standardprotokolle, die innerhalb weniger Minuten ohne zusätzliche Kosten zuverlässig an S3 gesendet werden. Sie werden auf Verteilungsebene konfiguriert und generieren Protokolldatensätze für alle Anfragen.
- Echtzeitprotokolle, die innerhalb von Sekunden an Kinesis Data Stream gesendet werden, gegen eine zusätzliche Gebühr von 0,01 USD pro 1 Million Protokolldatensätze. Diese werden beim Cache-Verhalten konfiguriert mit der Möglichkeit zum Sampling. Sie bieten außerdem mehr Protokollfelder. Echtzeitprotokolle werden häufig zur Erstellung von CDN-Analysen verwendet.
AWS WAF bietet drei Optionen für die Anforderungsprotokollierung:
- Versand an S3: Wird normalerweise für Archivierungsanforderungen verwendet.
- Versand an CloudWatch-Protokolle: Wird normalerweise für Sicherheitsanalysen mit CloudWatch Log Insights verwendet.
- Versand an Kinesis Firehose: Wird normalerweise für Sicherheitsanalysen verwendet.
Ziehen Sie die folgenden Tools in Betracht, um AWS-WAF-Protokolle zu analysieren:
- CloudWatch Logs Insights: Mit diesem Feature können Sie WAF-Logs interaktiv suchen und analysieren. Es bietet Standardabfragen zur Identifizierung von Sicherheitsvorfällen und Fehlalarmen, und Sie können bei Bedarf benutzerdefinierte Abfragen erstellen.
- CloudWatch Contributor Insights: Mit diesem Feature können Sie Dashboards erstellen, um die wichtigsten Beiträge zu Ihrem Traffic zu ermitteln, wie z. B. die wichtigsten IP-Adressen, URIs und Benutzeragenten, wodurch Sie fortlaufende Analysefunktionen erhalten
- Amazon Athena kann verwendet werden, um in Amazon S3 gespeicherte WAF-Protokolle abzufragen. Dieser Service ermöglicht eine komplexe Analyse von Verkehrsmustern, die Erkennung von falsch positiven oder negativen Ergebnissen und die Identifizierung neuer Angriffssignaturen
Dashboards mit OpenSearch/Kibana
Wenn Sie OpenSearch mit Kibana als Benutzeroberfläche für Dashboards bevorzugen, finden Sie in diesem Blog eine Anleitung zum Erstellen eines Dashboards für CloudFront-Echtzeitprotokolle und in diesem Blog Informationen zur Bereitstellung eines Sicherheits-Dashboards für AWS WAF. Beachten Sie, dass Sie mit OpenSearch eine erweiterte Anomalieerkennung auf der Grundlage Ihrer Analysen implementieren können. In diesem Blog erfahren Sie, wie Sie die auf WAF-Protokollen basierende Anomalieerkennung von OpenSearch verwenden können, um abnormales Verhalten zu identifizieren, z. B. verdächtigen Traffic aus ungewöhnlichen Ländern und unerwartete Schreibanforderungen für eine leseintensive Anwendung.
Dashboards mit Graphana
Wenn Sie Graphana lieber als Benutzeroberfläche für das Dashboarding verwenden, folgen Sie den Anleitungen in dieser Analytiklösung für CloudFront, die auf Amazon TimeStream basiert, und dieser Lösung für AWS WAF, die auf Amazon Athena basiert.
Dashboards mit CloudWatch
Wenn Sie die CloudWatch-Umgebung für die Überwachung und Analyse bevorzugen (z. B. CloudWatch Logs Insights und CloudWatch Contributor Insights), sollten Sie diese Lösung in Betracht ziehen, um ein benutzerdefiniertes WAF-Dashboard in CloudWatch bereitzustellen.
SIEM-Dashboards von Drittanbietern
SIEM-Lösungen (Security Information and Event Management) von Drittanbietern sind in AWS integriert und verfügen über sofort einsatzbereite Dashboards für CloudFront und WAF. Beispiele hierfür sind DataDog (WAF), Sumologic ( WAF, CloudFront) und NewRelic (WAF, CloudFront).