以AWS为基础的信息技术系统通常会推出WAF、Shield等安全产品,以防止恶意攻击。但许多企业发现使用WAF服务之后,由于没有统一的日志分析系统和可视化工具来分析系统所受到的攻击,他们不知道防御的有效性和性能。此外,企业还难以利用这些日志数据进一步探索安全隐患和改进服务。它们只能在传统IT运维模式下做事后安全事件处理,无法进行实时和提前防护。这一局面对大多数企业来说是不可接受的。大中华区AWS公司的业务支持团队在与企业客户合作的实际经验基础上,建立了基于弹性搜索的WAF日志分析系统方案,使得AWS用户能够迅速实现日志分析器令人担忧的显示,风险管理经理可以很容易地将系统安全性可视化、查看应用程序的正常流量和攻击流量、分析攻击类型和趋势、攻击源IP和国家以及系统攻击的访问路径。
浏览WAFDashboard可以方便地分析应用程序的正常流量和攻击流量,还能直观地看到攻击的类型和趋势,以及攻击源IP和国家。
在系统受到可疑攻击时,安全管理员可以迅速地从Dashboard中获取与攻击有关的IP信息。对IP进行进一步过滤,可以方便地分析具体的攻击模式。例如,我们可以很快地理解为来自美国的IP,15分钟内就有146个攻击请求;这个IP发起了7级随机混合攻击,包括SQL注入、Argument层的SQL注入、XSS等;并且发现主要是针对“product.php”链接的攻击。有时候,安全管理员想要看到自定义的更详细的攻击信息,或者他们可以使用“发现”和弹性搜索查询语法来检查自定义系统。
攻击IP被锁定后,经常需要对其具体攻击类型进行分析,确定是否需要加入WAF黑名单。这时,管理员可以查看具体的JSON攻击请求信息,分析攻击源、IP、国家等细节。并且了解关于它的活动规则和特定活动地点等信息。
项目架构
将7层的CloudFront、ALB等服务绑定到AWSWAF服务,启动日志功能。按照AWS安全最佳实践,弹性搜索服务被部署在私有子网上,使用公共子网上的代理服务器来访问Kibana。
LogAnalysis系统的处理流程:
一、将WAF生成的日志文件实时发送到驱动程序的防火墙流程。
在收到日志后,驱动程序消防小组将标记日志,并将其发送给弹性搜索,同时将副本保存到S3。
3.根据索引模板对弹性搜索进行格式化并保存WAF日志。
4.通过访问EC2跳板机,访问,查看WAF的日志分析指示板。