Analisi
Panoramica
Le analisi forniscono informazioni approfondite sui modelli di traffico delle applicazioni web e aiutano a scoprire opportunità per aggiungere protezioni utilizzando WAF, ottimizzare le prestazioni di distribuzione utilizzando CloudFront o migliorare la SEO dell'applicazione aggiornandone il codice. Le analisi edge sono create utilizzando log lato server generati da CloudFront e WAF. Possono essere creati con diversi servizi AWS o fornitori SIEM di terze parti in base ai requisiti aziendali. Le analisi lato client vengono raccolte sul lato client utilizzando tag javascript, indipendentemente dall'infrastruttura dell'applicazione.
Report nativi e analisi
CloudFront fornisce report nativi nella console AWS, con report riguardanti le statistiche della cache (ad esempio codici di stato, tipi di risultati), gli oggetti più popolari, i referenti, i report dei visualizzatori (ad esempio dispositivi, browser, posizioni) e i report sull'utilizzo (ad esempio byte trasferiti e numero di richieste). Se utilizzato con AWS WAF, CloudFront espone anche nella console AWS un pannello di sicurezza.
AWS WAF fornisce pannelli di controllo nativi che sfruttano i parametri di CloudWatch come richieste totali, richieste bloccate, richieste consentite, richieste bot e richieste non bot, categorie di bot, percentuale di risoluzione CAPTCHA, prime 10 regole corrispondenti e altro, su base ACL per Web. Questi pannelli di controllo offrono una maggiore visibilità e aiutano a rispondere a domande come "quale percentuale del mio traffico ispezionato WAF viene bloccata", "quali sono i principali paesi di origine del traffico che viene bloccato", "quali sono gli attacchi comuni che WAF rileva e da cui mi protegge", "come si confrontano il mio traffico e i miei schemi di traffico di questa settimana con quelli della settimana scorsa".
Analisi lato client
CloudWatch RUM fornisce le analisi dell'applicazione raccolte sul lato client, integrando un tag javascript alle pagine web. Il javascript raccoglie dati dalle API del browser, come i dati prestazionali (ad esempio i tempi di caricamento delle pagine e Google Core Web Vitals) e i dati di navigazione degli utenti per fornire informazioni sul coinvolgimento degli utenti con il sito web. Si possono analizzare le prestazioni dell'applicazione filtrando in base a dimensioni specifiche come il tipo di browser, il paese dell'utente o un ID di pagina specifico.
Soluzioni di analisi personalizzate comuni basate sui log CloudFront e WAF
I log generati da CloudFront e WAF sono necessari per creare una soluzione di analisi personalizzata (ad esempio dashboard personalizzate).
CloudFront offre due opzioni per la registrazione delle richieste:
- Log standard, che vengono spediti in modo affidabile a S3 in pochi minuti senza costi aggiuntivi. È configurato a livello di distribuzione, generando record di log per tutte le richieste.
- Log in tempo reale, che vengono consegnati al flusso di dati Kinesis in pochi secondi con un costo aggiuntivo di 0,01 USD per ogni milione di record di log. È configurato in base ai comportamenti della cache con possibilità di campionamento e fornisce più campi di log. I log in tempo reale vengono comunemente utilizzati per creare analisi CDN.
AWS WAF offre tre opzioni per la registrazione delle richieste:
- Spedizione a S3, solitamente utilizzata per esigenze di archiviazione.
- Spedizione ai log di CloudWatch, solitamente utilizzata per l'analisi della sicurezza con CloudWatch Log Insights.
- Spedizione a Kinesis Firehose, solitamente utilizzata per l'analisi della sicurezza.
Per analizzare i log AWS WAF, considera i seguenti strumenti:
- Approfondimenti di Amazon CloudWatch Logs: questa funzionalità consente di cercare e analizzare in modo interattivo i log WAF. Fornisce query predefinite che consentono di identificare gli incidenti di sicurezza e i falsi positivi, con la possibilità di creare query personalizzate in base alle esigenze.
- Contributor Insights di Amazon CloudWatch: questa funzionalità aiuta a creare dashboard per identificare i principali contributori al traffico, come indirizzi IP, URI e user-agent principali, fornendo funzionalità di analisi continua
- Amazon Athena può essere utilizzato per interrogare i log WAF archiviati in Amazon S3. Questo servizio consente un'analisi complessa dei modelli di traffico, il rilevamento di falsi positivi o negativi e l'identificazione di nuove firme di attacco
Dashboard che utilizzano OpenSearch/Kibana
Se preferisci usare OpenSearch, con Kibana come interfaccia utente per la creazione di dashboard, consulta questo blog per i passaggi da seguire al fine di creare una dashboard utilizzando i log in tempo reale di CloudFront e questo blog per implementare una dashboard di sicurezza per AWS WAF. Si tenga presente che con OpenSearch è possibile implementare il rilevamento avanzato delle anomalie in base alle proprie analisi. Scopri in questo blog come utilizzare il rilevamento delle anomalie di OpenSearch basato sui log WAF per identificare comportamenti anomali, come il traffico sospetto proveniente da regioni insolite e richieste di scrittura inaspettate per un'applicazione ad alta intensità di lettura.
Dashboard che utilizzano Graphana
Se preferisci utilizzare Graphana come interfaccia utente per la creazione di dashboard, segui le indicazioni fornite in questa soluzione di analisi per CloudFront basata su Amazon TimeStream e in questa soluzione per AWS WAF basata su Amazon Athena.
Dashboard che utilizzano CloudWatch
Se preferisci utilizzare l'ecosistema CloudWatch per il monitoraggio e l'analisi (ad esempio Approfondimenti di Amazon CloudWatch Logs e Contributor Insights di Amazon CloudWatch), consulta questa soluzione per implementare una dashboard WAF personalizzata in CloudWatch.
Dashboard SIEM di terze parti
Le soluzioni SIEM (Security Information and Event Management) di terze parti sono integrate con AWS e dispongono di dashboard pronte all'uso per CloudFront e WAF. Gli esempi includono DataDog (WAF), Sumologic (WAF, CloudFront) e NewRelic (WAF, CloudFront).
