分析
概要
アナリティクスは、ウェブアプリケーションのトラフィックパターンに関する深い洞察を提供し、WAF を使用して保護を追加したり、CloudFront を使用して配信パフォーマンスを調整したり、コードを更新してアプリケーションの SEO を改善したりする機会を発見するのに役立ちます。エッジ分析は、CloudFront と WAF によって生成されたサーバー側のログを使用して構築されます。ビジネス要件に応じて、さまざまな AWS サービスまたはサードパーティの SIEM プロバイダーを使用して構築できます。クライアント側の分析は、アプリケーションインフラストラクチャとは無関係に、JavaScript タグを使用してクライアント側で収集されます。
ネイティブレポートと分析
CloudFront では、キャッシュ統計 (ステータスコード、結果タイプなど)、最も人気のあるオブジェクト、リファラー、視聴者レポート (デバイス、ブラウザ、場所など)、使用状況レポート (転送されたバイト数やリクエスト数など) を含むネイティブレポートを AWS コンソールで提供します。AWS WAF と併用すると、CloudFront は AWS コンソールでセキュリティダッシュボードも公開します。
AWS WAF は、総リクエスト数、ブロックされたリクエスト数、許可されたリクエスト数、ボット対非ボットリクエスト数、ボットカテゴリ、CAPTCHA 解決率、マッチしたルールのトップ 10 など、CloudWatch のメトリクスを活用したネイティブダッシュボードを Web ACL 単位で提供します。これらのダッシュボードにより、可視性が向上し、「WAF によって検査されたトラフィックのうち、何パーセントがブロックされているか」、「ブロックされているトラフィックの発信元の国のうち、上位の国はどこか」、「WAF によって検出され、阻止されているよくある攻撃は何か」、「今週のトラフィックとトラフィックパターンは先週と比べてどのようになっているか」などの質問に答えることができます。
クライアントサイド分析
CloudWatch RUM は、ウェブページに javascript タグを組み込むことで、クライアント側で収集されたアプリケーションからの分析を提供します。javascriptは、パフォーマンスデータ(ページの読み込み時間やGoogle Core Web Vitalsなど)やユーザーナビゲーションデータなどのデータをブラウザAPIから収集し、ウェブサイトへのユーザーのエンゲージメントに関する洞察を提供します。ブラウザの種類、ユーザーの国、特定のページ ID などの特定のディメンションでフィルタリングすることで、アプリケーションのパフォーマンスを分析できます。
CloudFront および WAF ログに基づく一般的なカスタム分析ソリューション
カスタム分析ソリューション (つまり、パーソナライズされたダッシュボード) を構築するには、CloudFront と WAF によって生成されたログが必要です。
CloudFront にはリクエストロギングの 2 つのオプションがあります。
- 標準ログは、追加料金なしで数分以内に確実に S3 に送信されます。ディストリビューションレベルで設定され、すべてのリクエストのログレコードを生成します。
- リアルタイムログ:100 万件のログレコードごとに 0.01 USD の追加料金がかかり、数秒以内に Kinesis Data Stream に配信されます。サンプリングが可能なキャッシュ動作に設定されており、より多くのログフィールドが提供されています。リアルタイムログは CDN 分析の構築によく使用されます。
AWS WAF にはリクエストロギングの 3 つのオプションがあります。
- S3 への配送。通常はアーカイブ要件に使用されます。
- CloudWatch ログへの配信。通常、CloudWatch ログインサイトによるセキュリティ分析に使用されます。
- Kinesis Firehose への配送。通常はセキュリティ分析に使用されます。
AWS WAF ログを分析するには、以下のツールをご検討ください。
- CloudWatch Logs インサイト: この機能により、WAF ログをインタラクティブに検索して分析できます。セキュリティインシデントや誤検知を特定するのに役立つデフォルトのクエリが用意されており、必要に応じてカスタムクエリを作成できます。
- CloudWatch Contributor Insights: この機能は、上位 IP アドレス、URI、ユーザーエージェントなど、トラフィックへの上位貢献者を特定するダッシュボードを作成するのに役立ち、継続的な分析機能を提供します。
- Amazon Athena を使用して、Amazon S3 に保存されている WAF ログをクエリできます。このサービスにより、トラフィックパターンの複雑な分析、誤検出や検出漏れの発見、および新しい攻撃シグネチャの識別が可能になります
OpenSearch/Kibana を使用したダッシュボード
ダッシュボードのユーザーインターフェイスとして Kibana を使用して OpenSearch を使用したい場合は、このブログで CloudFront リアルタイムログを使用してダッシュボードを構築する手順を、このブログでは AWS WAF のセキュリティダッシュボードをデプロイすることを検討してください。OpenSearch では、分析に基づいて高度な異常検出を実装できることに注意してください。このブログでは、WAF ログに基づく OpenSearch の異常検出機能を使用して、通常とは異なる郡からの疑わしいトラフィックや、読み取りの多いアプリケーションに対する予期しない書き込み要求などの異常な動作を特定する方法を学びます。
Graphana を使用したダッシュボード
ダッシュボードのユーザーインターフェイスとして Graphana を使用したい場合は、Amazon TimeStream をベースにした CloudFront 向けのこの分析ソリューションと、Amazon Athena をベースにした AWS WAF 向けのこのソリューションで提供されているガイダンスに従ってください。
CloudWatch を使用したダッシュボード
モニタリングと分析に CloudWatch エコシステムを使用したい場合は (CloudWatch ログインサイトや CloudWatch コントリビューターインサイトなど)、このソリューションで CloudWatch にカスタム WAF ダッシュボードをデプロイすることを検討してください。
サードパーティー SIEM ダッシュボード
サードパーティーのセキュリティ情報およびイベント管理 (SIEM) ソリューションは AWS と統合し、CloudFront および WAF 用のすぐに使用できるダッシュボードを備えています。例には、DataDog (WAF)、Sumologic (WAF、CloudFront)、NewRelic (WAF、CloudFront) が含まれます。
