Análises
Visão geral
Análises fornecem informações detalhadas sobre os padrões de tráfego de aplicações Web e ajudam a descobrir oportunidades de adicionar proteções usando o WAF, ajustar a performance da entrega usando o CloudFront ou melhorar o SEO da aplicação atualizando seu código. Análises de borda são criadas usando logs no lado do servidor gerados pelo CloudFront e pelo WAF. Elas podem ser criadas com diferentes serviços da AWS ou provedores de SIEM terceirizados de acordo com os requisitos comerciais. As análises no lado do cliente são coletadas no lado do cliente usando etiquetas javascript, independentemente da infraestrutura da aplicação.
Relatórios e análises nativas
O CloudFront fornece relatórios nativos no console da AWS, com relatórios que abrangem estatísticas de cache (por exemplo, códigos de status, tipos de resultados), objetos mais populares, referenciadores, relatórios de visualizadores (por exemplo, dispositivos, navegadores, locais) e relatórios de uso (por exemplo, bytes transferidos e número de solicitações). Quando usado com o AWS WAF, o CloudFront também expõe no console da AWS um painel de segurança.
O AWS WAF fornece painéis nativos que aproveitam métricas do CloudWatch, como total de solicitações, solicitações bloqueadas, solicitações permitidas, solicitações de bots versus solicitações não bot, categorias de bot, taxa de resolução de CAPTCHA, 10 principais regras correspondentes e muito mais, por Web ACL. Esses painéis oferecem visibilidade aprimorada e ajudam a responder perguntas como “qual porcentagem do tráfego inspecionado pelo WAF está sendo bloqueado”, “quais são os principais países de origem do tráfego que está sendo bloqueado”, “quais são os ataques comuns que o WAF detecta e dos quais me protege”, “como o tráfego e os padrões de tráfego desta semana se comparam aos da semana passada”.
Análise no lado do cliente
O CloudWatch RUM fornece análises da sua aplicação coletadas no lado do cliente, integrando uma etiqueta javascript às suas páginas da Web. O javascript coleta dados das APIs do navegador, como dados de performance (por exemplo, tempos de carregamento da página e Google Core Web Vitals) e dados de navegação do usuário para fornecer informações sobre o engajamento dos usuários com o seu site. Você pode analisar a performance da sua aplicação filtrando por dimensões específicas, como o tipo de navegador, o país do usuário ou um ID de página específico.
Soluções de análise personalizadas comuns baseadas em logs do CloudFront e do WAF
Os logs gerados pelo CloudFront e pelo WAF são necessários para criar uma solução de análise personalizada (ou seja, painéis personalizados).
O CloudFront oferece duas opções para registro em log de solicitações:
- Logs padrão, que são enviados de maneira confiável ao S3 em minutos sem custo adicional. Ele é configurado no nível de distribuição, gerando registros de log para todas as solicitações.
- Logs em tempo real, que são entregues ao Kinesis Data Stream em segundos a uma taxa adicional de USD 0,01 para cada 1 milhão de registros de log. Ele é configurado em comportamentos de cache com possibilidade de amostragem e fornece mais campos de log. Logs em tempo real são comumente usados para criar análises de CDN.
O AWS WAF oferece três opções para registro em log de solicitações:
- Envio ao S3, geralmente usado para requisitos de arquivamento.
- Envio ao CloudWatch Logs, geralmente usado para análise de segurança com o CloudWatch Log Insights.
- Envio ao Kinesis Firehose, frequentemente usado para analytics de segurança.
Para analisar os logs do AWS WAF, considere usar as seguintes ferramentas:
- CloudWatch Logs Insights: este recurso permite que você pesquise e analise os logs do WAF de forma interativa. Ele fornece consultas padrão para ajudar a identificar incidentes de segurança e falsos positivos, e você pode criar consultas personalizadas conforme necessário.
- CloudWatch Contributor Insights: este recurso auxilia na criação de painéis para identificar os principais contribuintes do seu tráfego, como os principais endereços IP, URIs e usuários ou agentes, oferecendo funcionalidades contínuas de análise.
- O Amazon Athena pode ser usado para consultar logs do WAF armazenados no Amazon S3. Este serviço permite uma análise complexa dos padrões de tráfego, a detecção de falsos positivos ou negativos, e a identificação de novas assinaturas de ataques.
Painéis que usam o OpenSearch / Kibana
Se você preferir usar o OpenSearch com o Kibana como uma interface de usuário para a criação de painéis, considere esta publicação do blog para obter as etapas de desenvolvimento de um painel usando logs em tempo real do CloudFront e esta publicação do blog para implantar um painel de segurança para o AWS WAF. Observe que, com o OpenSearch, você pode implementar a detecção avançada de anomalias com base nas suas análises. Aprenda nesta publicação do blog como usar a detecção de anomalias do OpenSearch baseada em logs do WAF para identificar comportamentos anormais, como um tráfego suspeito de países incomuns e solicitações de gravação inesperadas em uma aplicação predominantemente de leitura.
Painéis que usam o Graphana
Se você preferir usar o Graphana como uma interface de usuário para a criação de painéis, siga as orientações fornecidas nesta solução de analytics para o CloudFront com base no Amazon TimeStream e nesta solução para o AWS WAF com base no Amazon Athena.
Painéis que usam o CloudWatch
Se você preferir usar o ecossistema do CloudWatch para realizar monitoramento e analytics (por exemplo, o CloudWatch Logs Insights e o CloudWatch Contributor Insights), considere esta solução para implantar um painel personalizado do WAF no CloudWatch.
Painéis de SIEM de terceiros
As soluções de Security Information and Event Management (SIEM – Gerenciamento de eventos e informações de segurança) de terceiros têm integrações com a AWS e têm painéis prontos para uso para o CloudFront e o WAF. Alguns exemplos incluem o DataDog (WAF), o Sumologic (WAF, CloudFront) e o NewRelic (WAF, CloudFront).
