Análisis
Información general
Los análisis proporcionan información detallada sobre los patrones de tráfico de las aplicaciones web y ayudan a descubrir oportunidades para agregar protecciones mediante WAF, ajustar el rendimiento de la entrega mediante CloudFront o mejorar el SEO de la aplicación al actualizar su código. Los análisis periféricos se crean a partir de registros del servidor generados por CloudFront y WAF. Se pueden crear con diferentes servicios de AWS o proveedores de SIEM de terceros en función de los requisitos empresariales. Los análisis del cliente se recopilan en el cliente con etiquetas de JavaScript, sin depender de la infraestructura de la aplicación.
Informes y análisis nativos
CloudFront proporciona informes nativos en la consola de AWS, con informes que abarcan estadísticas de caché (por ejemplo, códigos de estado, tipos de resultados), objetos más populares, remitentes, informes de espectadores (por ejemplo, dispositivos, navegadores, ubicaciones) e informes de uso (por ejemplo, bytes transferidos y número de solicitudes). Cuando se usa con AWS WAF, CloudFront también muestra un panel de seguridad en la consola de AWS.
AWS WAF le proporciona paneles nativos que aprovechan las métricas de CloudWatch como el total de solicitudes, las solicitudes bloqueadas, las solicitudes permitidas, las solicitudes de bots frente a las no bots, las categorías de los bots, la tasa de resolución de CAPTCHA, las 10 reglas más coincidentes y más, por lista de control de acceso (ACL) web. Estos paneles ofrecen una visibilidad mejorada y ayudan a responder preguntas como “¿qué porcentaje del tráfico inspeccionado por WAF se bloquea?”, “¿cuáles son los principales países que originan el tráfico que se bloquea?”, “¿cuáles son los ataques habituales que WAF detecta y de los que me protege?”, “¿cómo se comparan el tráfico y los patrones de tráfico de esta semana con los de la semana pasada?”.
Análisis del cliente
CloudWatch RUM ofrece un análisis de la aplicación recopilada en el cliente, mediante la integración de una etiqueta de JavaScript en sus páginas web. JavaScript recopila datos de las API del navegador, como datos de rendimiento (por ejemplo, tiempos de carga de la página y las Métricas web principales de Google), y datos de navegación del usuario para ofrecerle información sobre la interacción de los usuarios con el sitio web. Puede analizar el rendimiento de su aplicación por medio de filtrado de dimensiones específicas, como el tipo de navegador, el país del usuario o un identificador de página específico.
Soluciones de análisis personalizadas comunes basadas en registros de CloudFront y WAF
Los registros generados por CloudFront y WAF se necesitan para crear una solución de análisis personalizada (es decir, paneles personalizados).
CloudFront ofrece dos opciones para el registro de solicitudes:
- Registros estándar, que se envían de forma confiable a S3 en cuestión de minutos sin cargo adicional. Se configura a nivel de distribución, lo que genera registros de todas las solicitudes.
- Registros en tiempo real, que se envían a Kinesis Data Stream en cuestión de segundos con un cargo adicional de 0,01 USD por cada millón de registros. Se configura en comportamientos de caché con posibilidad de muestreo, y proporciona más campos de registro. Los registros en tiempo real se utilizan habitualmente para crear análisis de CDN.
AWS WAF ofrece tres opciones para el registro de solicitudes:
- Envío a S3, que suele utilizarse para requisitos de archivado.
- Envío a registros de CloudWatch, que suele utilizarse para análisis de seguridad con información de CloudWatch Log.
- Envío a Kinesis Firehose, que se suele utilizar para análisis de seguridad.
Para analizar los registros de AWS WAF, tenga en cuenta las siguientes herramientas:
- CloudWatch Logs Insights: esta característica le permite buscar y analizar los registros de WAF de forma interactiva. Proporciona consultas predeterminadas para ayudar a identificar los incidentes de seguridad y los falsos positivos, y puede crear consultas personalizadas según sea necesario.
- CloudWatch Contributor Insights: esta característica ayuda a crear paneles para identificar los principales contribuyentes a su tráfico, como las principales direcciones IP, URI y agentes de usuario, lo que proporciona capacidades de análisis continuo
- Amazon Athena se puede utilizar para consultar los registros de WAF almacenados en Amazon S3. Este servicio permite el análisis complejo de los patrones de tráfico, la detección de falsos positivos o negativos y la identificación de nuevas firmas de ataque
Paneles de control que utilizan OpenSearch/Kibana
Si prefiere utilizar OpenSearch, con Kibana como interfaz de usuario para la creación de paneles de control, tenga en cuenta este blog para conocer los pasos para crear un panel de control con registros en tiempo real de CloudFront, y este blog para implementar un panel de control de seguridad para AWS WAF. Tenga en cuenta que, con OpenSearch, puede implementar la detección avanzada de anomalías basada en sus análisis. Descubra en este blog cómo utilizar la detección de anomalías de OpenSearch basada en registros de WAF para identificar comportamientos anómalos, como tráfico sospechoso de condados inusuales y solicitudes de escritura inesperadas para una aplicación de lectura intensiva.
Paneles de control con Graphana
Si prefiere usar Graphana como interfaz de usuario para la creación de paneles de control, siga las instrucciones que se proporcionan en esta solución de análisis para CloudFront basada en Amazon TimeStream y en esta solución para AWS WAF basada en Amazon Athena.
Paneles de control con CloudWatch
Si prefiere utilizar el ecosistema de CloudWatch para la supervisión y el análisis (por ejemplo, Registros de Información de CloudWatch e Información de colaboradores de CloudWatch), considere esta solución para crear un panel de WAF personalizado en CloudWatch.
Paneles de SIEM de terceros
Las soluciones de administración de eventos e información de seguridad (SIEM) de terceros se integran con AWS y tienen paneles de control listos para usar con CloudFront y WAF. Algunos ejemplos son DataDog (WAF), Sumologic (WAF, CloudFront) y NewRelic (WAF, CloudFront).