Amazon Shield Advanced 事件 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield Advanced 事件

当您订阅 Shield Advanced 并保护您的资源时,您可以访问资源的其他可见性功能。其中包括近乎实时地通知 Shield Advanced 检测到的事件以及有关检测到的事件和缓解措施的其他信息。

Amazon Shield从多个维度评估您的受保护资源的流量。当检测到异常时,Shield Advanced 会为每种受影响的资源创建一个单独的事件。

您可以通过 Shield 控制台的事件页面访问事件摘要和详细信息。顶级活动页面概述了当前和过去的事件。

以下屏幕截图显示了包含单个正在进行的事件的示例活动页面。左侧的导航窗格中,还会标记该活动事件的左侧导航窗格中。

Amazon Shield控制台左侧导航窗格的 “事件” 选项以红色突出显示,旁边有一个数字 1,位于红色圆圈内。活动页面已打开,在事件列表中仅显示一行。该行列出了 CloudFront 分布类型Amazon的资源。“当前状态” 字段在 “缓解进行中” 字样旁边包含一个三角形的红色图标。攻击向量状态字段包含 UDP 流量。开始时间字段包含 2020 年 9 月 16 日美国东部标准时间下午 2:43:00。“持续时间” 字段包含 6 分钟。

Shield Advanced 还可能会根据流量类型和您配置的保护措施自动对攻击进行缓解。这些缓解措施可以保护您的资源免受与已知 DDoS 攻击签名匹配的过量流量或流量。

以下屏幕截图显示了一个示例事件列表,其中所有事件都已被 Shield Advanced 缓解或自行消退。

标题为 “事件” 的Amazon Shield控制台页面列出了最近检测到的事件及其当前状态。
在活动开始前保护您的资源

在资源接收正常预期流量时,使用 Shield Advanced 保护资源,避免受到 DDoS 攻击,从而提高事件检测的准确性。

为了准确报告受保护资源的事件,Shield Advanced 必须首先为其建立预期流量模式的基准。

  • Shield Advanced 会在资源受到保护至少 15 分钟后报告资源的基础设施层事件。

  • Shield Advanced 会在资源受到保护至少 24 小时后报告资源的 Web 应用程序层事件。在 Shield Advanced 观测了 30 天的预期流量之后,应用层事件的检测准确性最佳。

在Amazon Shield控制台中访问事件信息

  1. 登录Amazon Web Services Management Console并打开Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在Amazon Shield导航窗格中,选择 Ev ents。控制台显示 “事件” 页面。

  3. 在 “事件” 页面上,您可以选择列表中的任何事件,以查看该事件的其他摘要信息和详细信息。