分析
概觀
分析可針對 Web 應用程式的流量模式提供深入洞察,並協助發現機會以便運用 WAF 新增保護、運用 CloudFront 調整交付效能,或透過更新程式碼來改善應用程式 SEO。邊緣分析採用 CloudFront 與 WAF 產生的伺服器端日誌來構建。其可根據業務需求利用不同 AWS 服務或第三方 SIEM 供應商來構建。用戶端分析是在用戶端採用 javascript 標籤收集,而不受應用程式基礎架構影響。
原生報告與分析
CloudFront 向您提供 AWS console 的原生報告,其中包括快取統計資料 (例如狀態代碼、結果類型)、最熱門物件、推薦人、檢視器報告 (例如裝置、瀏覽器、位置) 以及使用情況報告 (例如傳輸的位元組與請求數量)。與 AWS WAF 搭配使用時,CloudFront 還會在 AWS Console 中顯示安全儀表板。
AWS WAF 為您提供原生儀表板,能夠在每個 Web ACL 的基礎上善用 CloudWatch 指標,例如要求總計、封鎖的請求、允許的請求、機器人與非機器人請求、機器人類別、CAPTCHA 解決率、前 10 個相符的規則等。這些儀表板提供了更好的可視性,並協助回答各種問題,例如「我的 WAF 檢查流量中遭到封鎖的百分比是多少」,「流量遭到封鎖最多的原始國家/地區」,「哪些是 WAF 偵測並為我提供保護的常見攻擊」,「本週的流量和流量模式與上週的流量相比如何」。
用戶端分析
CloudWatch RUM 透過整合 javascript 標籤到您的網頁,針對從用戶端收集的應用程式向您提供分析。javascript 從瀏覽器 API 收集資料,例如效能資料 (例如頁面加載時間與 Google Core Web 核心) 以及使用者導航資料,以便針對使用者與您網站的互動情況向您提供洞察。您可透過篩選特定維度 (例如瀏覽器類型、使用者國家/地區或特定頁面 ID) 來分析應用程式效能。
基於 CloudFront 與 WAF 日誌的常用自訂分析解決方案
組建自訂分析解決方案 (即個人化儀表板) 需要由 CloudFront 與 WAF 生成的日誌。
CloudFront 針對請求日誌提供兩種選項:
- 標準日誌可於幾分鐘內可靠傳送到 S3,且不收取其他費用。其在分佈層級進行設定,針對所有請求生成日誌記錄。
- 即時日誌會在幾秒鐘內傳送到 Kinesis 資料串流,每 100 萬筆日誌記錄會收取額外費用 0.01 USD。其以快取行為進行設定,且可進行取樣,並提供更多日誌欄位。即時日誌通常用於組建 CDN 分析。
AWS WAF 針對請求日誌提供三種選項:
- 傳送至 S3,通常用於存檔需求。
- 傳送至 CloudWatch 日誌,通常用於透過 CloudWatch Log insights 來進行安全性分析。
- 傳送至 Kinesis Firehose,通常用於安全性分析。
若要分析 AWS WAF 日誌,請考慮下列工具:
- CloudWatch Logs Insights:此功能可讓您進行互動式搜尋和分析 WAF 日誌。它提供預設查詢,以協助識別安全事件和誤報,並且您可以根據需要建立自訂查詢。
- CloudWatch Contributor Insights:此功能可協助建立儀表板,以識別流量的主要貢獻者,例如熱門 IP 位址、URI 和使用者代理程式,從而提供持續的分析功能
- Amazon Athena 可用於查詢存放在 Amazon S3 中的 WAF 日誌。此服務允許對流量模式進行複雜分析,偵測誤報或漏報,以及識別新的攻擊簽章
使用 OpenSearch/Kibana 的儀表板
如您偏好採用 OpenSearch 並以 Kibana 作為儀表板使用者介面,可參考此部落格了解運用 CloudFront 即時日誌組建儀表板的步驟,還可參考此部落格說明如何針對 AWS WAF 部署安全性儀表板。請注意,當採用 OpenSearch 時,您可根據分析來實作進階異常偵測。透過此部落格學習如何根據 WAF 日誌運用 OpenSearch 的異常偵測來識別異常行為,例如來自不尋常縣的可疑流量,以及針對高讀取量應用程式的意外寫入請求。
使用 Graphana 的儀表板
如果您偏好採用 Graphana 作為儀表板使用者介面,請遵循此以 Amazon TimeStream 為基礎的 CloudFront 分析解決方案,以及此以 Amazon Athena 為基礎的 AWS WAF 解決方案提供的指引。
使用 CloudWatch 的儀表板
如您偏好採用 CloudWatch 生態系統進行監控及分析 (例如 CloudWatch Logs Insights 與 CloudWatch Contributor Insights),請考慮使用此解決方案,以便在 CloudWatch 部署自訂 WAF 儀表板。
第三方 SIEM 儀表板
第三方安全資訊和事件管理 (SIEM) 解決方案已與 AWS 整合,並具有適用於 CloudFront 和 WAF 的現成儀表板。範例包括 DataDog (WAF)、Sumologic (WAF、CloudFront) 以及 NewRelic (WAF、CloudFront)。