Analytique
Présentation
Les analyses fournissent des informations détaillées sur les modèles de trafic des applications Web et permettent de découvrir des opportunités d'ajouter des protections à l'aide de WAF, d'ajuster les performances de livraison à l'aide de CloudFront ou d'améliorer le référencement des applications en mettant à jour leur code. Les analyses en périphérie sont créées à l'aide de journaux côté serveur générés par CloudFront et WAF. Ils peuvent être créés avec différents services AWS ou des fournisseurs SIEM tiers en fonction des besoins de l'entreprise. Les analyses côté client sont collectées côté client à l'aide de balises javascript, indépendamment de l'infrastructure de l'application.
Rapports natifs et analytique
CloudFront vous fournit des rapports natifs dans la console AWS, avec des rapports couvrant les statistiques du cache (par exemple, les codes de statut, les types de résultats), les objets les plus populaires, les référents, les rapports des utilisateurs (par exemple, les appareils, les navigateurs, les emplacements) et les rapports d'utilisation (par exemple, les octets transférés et le nombre de demandes). Lorsqu'il est utilisé avec AWS WAF, CloudFront affiche également un tableau de bord de sécurité dans la console AWS.
AWS WAF vous fournit des tableaux de bord natifs qui exploitent les mesures CloudWatch telles que le nombre total de demandes, les demandes bloquées, les demandes autorisées, les demandes effectuées par des bots par rapport aux demandes n'appartenant pas à des bots, les catégories de bots, le taux de résolution des CAPTCHA, les 10 meilleures règles correspondantes, etc., sur une base par ACL web. Ces tableaux de bord offrent une meilleure visibilité et permettent de répondre à des questions telles que « quel pourcentage du trafic inspecté par WAF est bloqué », « quels sont les principaux pays d'origine du trafic bloqué », « quelles sont les attaques courantes que WAF détecte et contre lesquelles WAF me protège », « comment mon trafic et les modèles de trafic de cette semaine se portent-ils par rapport à ceux de la semaine dernière ».
Analyses côté client
CloudWatch RUM vous fournit des analyses de votre application collectées côté client, en intégrant une balise javascript à vos pages Web. La balise javascript collecte des données à partir des API du navigateur, telles que les données de performance (par exemple, les temps de chargement des pages et Google Core Web Vitals) et les données de navigation des utilisateurs pour vous donner un aperçu de l'engagement des utilisateurs sur votre site Web. Vous pouvez analyser les performances de votre application en filtrant sur des dimensions spécifiques telles que le type de navigateur, le pays de l'utilisateur ou un identifiant de page spécifique.
Solutions d'analyse personnalisées courantes basées sur les journaux CloudFront et WAF
Les journaux générés par CloudFront et WAF sont nécessaires pour créer une solution d'analyse personnalisée (c'est-à-dire des tableaux de bord personnalisés).
CloudFront propose deux options pour la journalisation des demandes :
- Les journaux standard, qui sont expédiés de manière fiable vers S3 en quelques minutes sans frais supplémentaires. Ils sont configurés au niveau de la distribution et génère des enregistrements de journal pour toutes les demandes.
- Des journaux en temps réel, qui sont transmis à Kinesis Data Stream en quelques secondes moyennant des frais supplémentaires de 0,01 USD pour chaque million d'enregistrements de journal. Ils sont configurés au niveau des comportements de cache avec possibilité d'échantillonnage, et ils fournissent davantage de champs de journal. Les journaux en temps réel sont couramment utilisés pour créer des analyses CDN.
AWS WAF propose trois options pour la journalisation des demandes :
- Expédition vers S3, généralement utilisée pour les besoins d'archivage.
- Expédition vers les journaux CloudWatch, généralement utilisés pour l'analyse de sécurité avec CloudWatch Log Insights.
- Expédition vers Kinesis Firehose, généralement utilisée pour l'analytique de sécurité.
Pour analyser les journaux AWS WAF, utilisez les outils suivants :
- CloudWatch Logs Insights : cette fonctionnalité vous permet de rechercher et d'analyser de manière interactive les journaux WAF. Elle fournit des requêtes par défaut pour aider à identifier les incidents de sécurité et les faux positifs, et vous pouvez créer des requêtes personnalisées selon vos besoins.
- CloudWatch Contributor Insights : cette fonctionnalité permet de créer des tableaux de bord pour identifier les principaux contributeurs de votre trafic, tels que les principales adresses IP, les URI et les agents utilisateurs, fournissant ainsi des fonctionnalités d'analyse continue.
- Amazon Athena peut être utilisé pour examiner les journaux WAF stockés dans Amazon S3. Ce service permet une analyse complexe des modèles de trafic, la détection des faux positifs ou négatifs et l'identification de nouvelles signatures d'attaques.
Tableaux de bord utilisant OpenSearch/Kibana
Si vous préférez utiliser OpenSearch, avec Kibana comme interface utilisateur pour les tableaux de bord, consultez ce blog pour savoir comment créer un tableau de bord à l'aide des journaux en temps réel de CloudFront, et ce blog pour déployer un tableau de bord de sécurité pour AWS WAF. Notez qu'avec OpenSearch, vous pouvez implémenter une détection avancée des anomalies en fonction de vos analyses. Découvrez dans ce blog comment utiliser la détection d'anomalies d'OpenSearch basée sur les journaux WAF pour identifier les comportements anormaux, tels que le trafic suspect en provenance de pays inhabituels et les demandes d'écriture inattendues pour une application nécessitant beaucoup de lecture.
Tableaux de bord utilisant Graphana
Si vous préférez utiliser Graphana comme interface utilisateur pour les tableaux de bord, suivez les instructions fournies dans cette solution d'analytique pour CloudFront basée sur Amazon TimeStream et cette solution pour AWS WAF basée sur Amazon Athena.
Tableaux de bord utilisant CloudWatch
Si vous préférez utiliser l'écosystème CloudWatch à des fins de surveillance et d'analytique (par exemple, CloudWatch Logs Insights et CloudWatch Contributor Insights), envisagez cette solution pour déployer un tableau de bord WAF personnalisé dans CloudWatch.
Tableaux de bord SIEM tiers
Les solutions tierces de gestion des informations et des événements de sécurité (SIEM) sont intégrées à AWS et disposent de tableaux de bord prêts à l'emploi pour CloudFront et WAF. Vous y retrouverez par exemple DataDog (WAF), Sumologic (WAF, CloudFront) et NewRelic (WAF, CloudFront).