분석
개요
분석을 통해 웹 애플리케이션의 트래픽 패턴에 대한 심층적인 인사이트를 얻고 WAF를 사용하여 보호 기능을 더하거나, CloudFront를 사용하여 전송 성능을 조정하거나, 코드를 업데이트하여 애플리케이션 SEO를 개선할 기회를 발견할 수 있습니다. 엣지 분석은 CloudFront와 WAF에서 생성한 서버 측 로그를 사용하여 구축됩니다. 비즈니스 요구 사항에 따라 다양한 AWS 서비스 또는 타사 SIEM 공급자를 통해 구축할 수 있습니다. 클라이언트 측 분석은 애플리케이션 인프라와 무관하게 Javascript 태그를 사용하여 클라이언트 측에서 수집됩니다.
기본적인 보고 및 분석
CloudFront는 AWS Console에서 캐시 통계(예: 상태 코드, 결과 유형), 가장 많이 사용되는 객체, 참조자, 최종 사용자 보고서(예: 디바이스, 브라우저, 위치) 및 사용 보고서(예: 전송된 바이트 및 요청 수)를 포함하는 기본 보고 기능을 제공합니다. AWS WAF와 함께 사용할 경우 AWS Console에서 보안 대시보드도 사용할 수 있습니다.
AWS WAF는 웹 ACL별 총 요청, 차단된 요청, 허용된 요청, 봇 요청과 봇이 아닌 요청 비교, 봇 카테고리, CAPTCHA 해결률, 일치하는 규칙 상위 10개 등과 같은 CloudWatch 지표를 활용하는 기본 대시보드를 제공합니다. 이러한 대시보드는 가시성을 강화하고, ‘WAF에서 검사한 트래픽 중 차단되는 비율은 몇 퍼센트입니까?’, ‘차단되고 있는 트래픽이 가장 많이 발생하는 발신 국가는 어디입니까?’, ‘WAF가 탐지하고 보호하는 일반적인 공격은 무엇입니까?’, ‘이번 주의 트래픽 및 트래픽 패턴은 지난 주와 비교했을 때 어떻습니까’와 같은 질문에 답하는 데 도움이 됩니다.
클라이언트 측 분석
CloudWatch RUM은 웹 페이지에 Javascript 태그를 통합하여 클라이언트 측에서 수집한 애플리케이션의 분석을 제공합니다. Javascript는 브라우저 API에서 성능 데이터(예: 페이지 로드 시간 및 Google Core Web Vitals), 사용자 탐색 데이터와 같은 데이터를 수집하여 사용자의 웹사이트 참여에 대한 인사이트를 제공합니다. 브라우저 유형, 사용자 국가 또는 특정 페이지 ID와 같은 특정 차원을 기준으로 필터링하여 애플리케이션 성능을 분석할 수 있습니다.
CloudFront 및 WAF 로그를 기반으로 하는 일반적인 사용자 지정 분석 솔루션
사용자 지정 분석 솔루션(예: 개인화된 대시보드)을 구축하는 데에는 CloudFront 및 WAF에서 생성한 로그가 필요합니다.
CloudFront는 요청 로깅을 위한 두 가지 옵션을 제공합니다.
- 표준 로그는 추가 비용 없이 몇 분 내에 안정적으로 S3로 전송됩니다. 배포 수준에서 구성되어 모든 요청에 대한 로그 레코드를 생성합니다.
- 실시간 로그는 몇 초 내에 Kinesis 데이터 스트림으로 전송되며 로그 레코드 1백만 건당 0.01 USD의 추가 요금이 부과됩니다. 샘플링이 가능한 캐시 동작으로 구성되며 더 많은 로그 필드를 제공합니다. 실시간 로그는 일반적으로 CDN 분석을 구축하는 데 사용됩니다.
AWS WAF는 요청 로깅을 위한 세 가지 옵션을 제공합니다.
- S3로 전송은 일반적으로 보관 요구 사항에 사용됩니다.
- CloudWatch 로그로 전송은 일반적으로 CloudWatch Log insights를 통한 보안 분석에 사용됩니다.
- Kinesis Firehose로 전송은 일반적으로 보안 분석에 사용됩니다.
AWS WAF 로그를 분석하려면 다음 도구를 고려하세요.
- CloudWatch Logs Insights: 이 기능을 사용하면 WAF 로그를 대화형 방식으로 검색하고 분석할 수 있습니다. 보안 사고 및 오탐지를 식별하는 데 도움이 되는 기본 쿼리를 제공하며, 필요에 따라 사용자 지정 쿼리를 만들 수 있습니다.
- CloudWatch Contributor Insights: 이 기능은 상위 IP 주소, URI, 사용자 에이전트 등 트래픽의 주요 참여자를 식별하는 대시보드를 생성하여 지속적인 분석 기능을 제공하는 데 도움이 됩니다.
- Amazon Athena는 Amazon S3에 저장된 WAF 로그를 쿼리하는 데 사용할 수 있습니다. 이 서비스를 사용하면 트래픽 패턴의 복잡한 분석, 오탐지 또는 네거티브 탐지, 새로운 공격 시그니처 식별이 가능합니다.
OpenSearch/Kibana를 사용한 대시보드
Kibana를 대시보드 사용자 인터페이스로 사용하는 OpenSearch를 사용하려는 경우 이 블로그에서 CloudFront 실시간 로그를 사용하여 대시보드를 구축하는 단계를 알아보고, 이 블로그에서 AWS WAF용 보안 대시보드를 배포하는 방법을 살펴보세요. OpenSearch를 사용하면 분석을 기반으로 고급 이상 탐지 기능을 구현할 수 있습니다. 이 블로그에서 WAF 로그를 기반으로 하는 OpenSearch의 이상 탐지 기능을 사용하여 일상적이지 않은 카운티의 의심스러운 트래픽, 읽기 작업이 많은 애플리케이션에 대한 예상치 못한 쓰기 요청과 같은 비정상적인 동작을 식별하는 방법을 알아보세요.
Graphana를 사용한 대시보드
Graphana를 대시보드용 사용자 인터페이스로 사용하려는 경우 Amazon TimeStream에 기반한 이 CloudFront용 분석 솔루션 및 Amazon Athena에 기반한 이 AWS WAF용 솔루션에 제공된 지침을 따르세요.
CloudWatch를 사용한 대시보드
모니터링 및 분석에 CloudWatch 에코시스템을 사용하려는 경우(예: CloudWatch Logs Insights 및 CloudWatch Contributor Insights) CloudWatch에 사용자 지정 WAF 대시보드를 배포하려면 이 솔루션을 살펴보세요.
타사 SIEM 대시보드
타사 보안 정보 및 이벤트 관리(SIEM) 솔루션은 AWS와 통합되어 있으며 CloudFront 및 WAF용 상용 대시보드를 제공합니다. DataDog(WAF), Sumologic(WAF, CloudFront), NewRelic(WAF, CloudFront) 등을 예로 들 수 있습니다.