Amazon Shield Advanced 事件 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield Advanced 事件

当您订阅 Shield Advanced 并保护您的资源时,您就可以访问资源的其他可见性功能。其中包括对 Shield Advanced 检测到的事件的近实时通知,以及有关检测到的事件和缓解措施的其他信息。

注意

你在 Shield Advanced 控制台中的事件信息基于 Shield Advanced 的指标。有关 Shield 高级指标的信息,请参阅 Amazon Shield Advanced 指标

Amazon Shield 从多个维度评估流向受保护资源的流量。当检测到异常时,Shield Advanced 会为每个受影响的资源创建一个单独的事件。

您可以通过 Shield 控制台的事件页面访问事件摘要和详细信息。顶级事件页面概述了当前和过去的事件。

以下屏幕截图显示了一个事件页面示例,其中有一个正在进行的事件。左侧导航窗格中也会标记此活跃事件。

Amazon Shield 控制台左侧导航窗格的 “事件” 选项以红色突出显示,旁边有一个数字 1,位于红色圆圈内。事件页面已打开,并在事件列表中显示一行。该行列出了 CloudFront 分布类型的 Amazon 资源。当前状态字段在正在进行缓解字样旁边包含一个三角形的红色图标。攻击向量状态字段包含 UDP 流量。开始时间字段包含 2020 年 9 月 16 日美国东部标准时间下午 2:43:00。持续时间字段包含 6 分钟。

Shield Advanced 还可能自动缓解攻击,具体取决于流量类型和您配置的保护措施。这些缓解措施可以保护您的资源免于承受超额流量或与已知 DDoS 攻击特征相匹配的流量。

以下屏幕截图显示了一个事件列表示例,其中所有事件均已由 Shield Advanced 缓解或自行消退。

名为 “事件” 的 Amazon Shield 控制台页面列出了最近检测到的事件及其当前状态。
在活动开始前保护您的资源

在资源遭受 DDoS 攻击之前,使用 Shield Advanced 在接收正常预期流量时对其进行保护,从而提高事件检测的准确性。

为了准确报告受保护资源的事件,Shield Advanced 必须首先为其建立预期流量模式的基准。

  • Shield Advanced 会在资源受到保护至少 15 分钟后报告基础设施层事件。

  • Shield Advanced 会在资源受到保护至少 24 小时后报告资源的 Web 应用程序层事件。在 Shield Advanced 观察到预期流量 30 天后,应用程序层事件的检测精度最高。

在 Amazon Shield 控制台中访问事件信息

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在 Amazon Shield 导航窗格中,选择事件。控制台显示事件页面。

  3. 事件页面中,您可以选择列表中的任何事件,以查看该事件的其他摘要信息和详细信息。

主题