Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einzelheiten zur Architektur
In diesem Abschnitt werden die Komponenten und AWS-Services beschrieben, aus denen diese Lösung besteht, sowie die Architekturdetails dazu, wie diese Komponenten zusammenarbeiten.
## AWS-Services in dieser Lösung
| AWS Service | Description |
| --- | --- |
| [AWS WAF](https://aws.amazon.com/waf/) | **Kern.** Stellt eine AWS WAF WAF-Web-ACL, Regelgruppen für AWS Managed Rules, benutzerdefinierte Regeln und IP-Sätze bereit. Führt AWS-WAF-API-Aufrufe durch, um häufige Angriffe zu blockieren und Webanwendungen zu schützen. |
| [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/) | **Kern**. Liefert AWS-WAF-Protokolle an Amazon S3 S3-Buckets. |
| [Amazon S3](https://aws.amazon.com/s3/) | **Kern.** Speichert AWS WAF CloudFront - und ALB-Protokolle. |
| [AWS Lambda](https://aws.amazon.com/lambda/) | **Kern.** Stellt mehrere Lambda-Funktionen zur Unterstützung benutzerdefinierter Regeln bereit. |
| [Amazon EventBridge](https://aws.amazon.com/eventbridge/) | **Kern.** Erstellt Ereignisregeln zum Aufrufen von Lambda. |
| [Amazon Athena](https://aws.amazon.com/athena/) | **Unterstützend.** Erzeugt Athena-Abfragen und Arbeitsgruppen zur Unterstützung des Athena-Protokollparsers. |
| [AWS Glue](https://aws.amazon.com/glue/) | **Unterstützend.** Erstellt Datenbanken und Tabellen zur Unterstützung des Athena-Logparsers. |
| [Amazon SNS](https://aws.amazon.com/sns/) | **Unterstützend.** Sendet E-Mail-Benachrichtigungen von Amazon Simple Notification Service (Amazon SNS), um die Aufbewahrung von IP-Adressen auf Listen mit erlaubten und verweigerten IP-Adressen zu unterstützen. |
| [AWS Systems Manager](https://aws.amazon.com/systems-manager/) | **Unterstützend**. Bietet Ressourcenüberwachung und Visualisierung von Ressourcenoperationen und Kostendaten auf Anwendungsebene. |
# Optionen für den Log-Parser
Wie in der [Architekturübersicht](architecture-overview.md) beschrieben, gibt es drei Optionen für den Umgang mit HTTP-Flood sowie für Scanner- und Probe-Schutzmaßnahmen. In den folgenden Abschnitten wird jede dieser Optionen ausführlicher erläutert.
## Preisbasierte AWS-WAF-Regel
Für den HTTP-Hochwasserschutz sind ratenbasierte Regeln verfügbar. Standardmäßig aggregiert und begrenzt eine ratenbasierte Regel Anfragen auf der Grundlage der Anfrage-IP-Adresse. Mit dieser Lösung können Sie die Anzahl der Webanfragen angeben, die eine Client-IP in einem nachfolgenden, kontinuierlich aktualisierten Zeitraum von fünf Minuten zulässt. Wenn eine IP-Adresse das konfigurierte Kontingent überschreitet, blockiert AWS WAF neue blockierte Anfragen, bis die Anforderungsrate unter dem konfigurierten Kontingent liegt.
Wir empfehlen die Auswahl der ratenbasierten Regeloption, wenn das Anforderungskontingent mehr als 2.000 Anfragen pro fünf Minuten beträgt und Sie keine Anpassungen implementieren müssen. Beispielsweise berücksichtigen Sie beim Zählen von Anfragen den statischen Ressourcenzugriff nicht.
Sie können die Regel weiter so konfigurieren, dass sie verschiedene andere Aggregationsschlüssel und Tastenkombinationen verwendet. Weitere Informationen finden Sie unter [Aggregationsoptionen und Schlüssel](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-options.html).
## Amazon Athena Athena-Protokollparser
Sowohl die Vorlagenparameter **HTTP Flood Protection** als auch **Scanner & Probe** **Protection** bieten die Athena-Log-Parser-Option. Bei Aktivierung werden eine Athena-Abfrage und eine geplante Lambda-Funktion bereitgestellt, CloudFormation die für die Orchestrierung von Athena für die Ausführung, Verarbeitung der Ergebnisausgabe und Aktualisierung von AWS WAF verantwortlich sind. Diese Lambda-Funktion wird durch ein CloudWatch Ereignis aufgerufen, das so konfiguriert ist, dass es alle fünf Minuten ausgeführt wird. Dies ist mit dem Parameter **Athena Query Run Time Schedule** konfigurierbar.
Wir empfehlen, diese Option zu wählen, wenn Sie die ratenbasierten AWS-WAF-Regeln nicht verwenden können und Sie mit SQL vertraut sind, um Anpassungen zu implementieren. Weitere Informationen zum Ändern der Standardabfrage finden Sie unter [Amazon Athena Athena-Abfragen anzeigen](view-amazon-athena-queries.md).
Der HTTP-Hochwasserschutz basiert auf der Verarbeitung von AWS-WAF-Zugriffsprotokollen und verwendet WAF-Protokolldateien. Der WAF-Zugriffsprotokolltyp hat eine geringere Verzögerungszeit, sodass Sie die Ursprünge von HTTP-Floods im Vergleich zur CloudFront ALB-Protokollzustellungszeit schneller identifizieren können. Sie müssen jedoch im Vorlagenparameter **Activate Scanner & Probe Protection** den Protokolltyp CloudFront oder ALB auswählen, um Statuscodes für Antworten zu erhalten.
**Anmerkung**
Wenn ein bösartiger Bot den Honeypot umgeht und direkt mit ALB oder interagiert CloudFront, erkennt das System bösartiges Verhalten anhand der Protokollanalyse, es sei denn, sowohl HTTP Flood Protection als auch Scanner & Probe Protection verwenden den Lambda-Protokollparser nicht.
## AWS Lambda Lambda-Protokollparser
Die Vorlagenparameter **HTTP Flood Protection** und **Scanner & Probe Protection** stellen die **AWS Lambda Log Parser-Option** bereit. Verwenden Sie den Lambda-Protokollparser nur, wenn die **ratenbasierte AWS-WAF-Regel** und die **Amazon Athena Athena-Protokollparser-Optionen** nicht verfügbar sind. Eine bekannte Einschränkung dieser Option besteht darin, dass Informationen im Kontext der verarbeiteten Datei verarbeitet werden. Beispielsweise kann eine IP mehr Anfragen oder Fehler generieren als das definierte Kontingent. Da diese Informationen jedoch in verschiedene Dateien aufgeteilt sind, speichert jede Datei nicht genügend Daten, um das Kontingent zu überschreiten.
**Anmerkung**
Wenn ein bösartiger Bot den Honeypot umgeht und direkt mit ALB oder interagiert, stützt sich die Erkennung außerdem auf die gewählte Log-Parser-Option CloudFront, um bösartige Aktivitäten effektiv zu identifizieren und zu blockieren.
# Einzelheiten zu den Komponenten
Wie im [Architekturdiagramm](architecture-overview.md#architecture-diagram) beschrieben, verwenden vier der Komponenten dieser Lösung Automatisierungen, um IP-Adressen zu überprüfen und sie der AWS-WAF-Blockliste hinzuzufügen. In den folgenden Abschnitten wird jede dieser Komponenten ausführlicher erläutert.
## Log-Parser — Anwendung
Der Anwendungsprotokoll-Parser schützt vor Scannern und Sonden.
**Ablauf des Parsers für das Anwendungsprotokoll.**
![\[Ablauf des App-Log-Parsers\]](http://docs.aws.amazon.com/de_de/solutions/latest/security-automations-for-aws-waf/images/app-log-parser-flow.png)
1. Wenn CloudFront oder ein ALB Anfragen im Namen Ihrer Webanwendung empfängt, sendet es Zugriffsprotokolle an einen Amazon S3 S3-Bucket.
1. (Optional) Wenn Sie `Yes - Amazon Athena log parser` für die Vorlagenparameter **Activate HTTP Flood Protection** und **Activate Scanner & Probe Protection** auswählen, verschiebt eine Lambda-Funktion Zugriffsprotokolle von ihrem ursprünglichen Ordner ** `/AWSLogs` in einen neu partitionierten Ordner ** `/AWSLogs-partitioned/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=`**/, sobald sie in Amazon S3 ankommen.
1. (Optional) Wenn Sie `yes` für den Vorlagenparameter **Daten im ursprünglichen S3-Speicherort beibehalten** auswählen, verbleiben die Protokolle an ihrem ursprünglichen Speicherort und werden in ihren partitionierten Ordner kopiert, wodurch Ihr Protokollspeicher dupliziert wird.
**Anmerkung**
Für den Athena-Protokollparser partitioniert diese Lösung nur neue Protokolle, die nach der Bereitstellung dieser Lösung in Ihrem Amazon S3 S3-Bucket ankommen. Wenn Sie über bestehende Protokolle verfügen, die Sie partitionieren möchten, müssen Sie diese Protokolle nach der Bereitstellung dieser Lösung manuell auf Amazon S3 hochladen.
1. Basierend auf Ihrer Auswahl für die Vorlagenparameter **Activate HTTP Flood Protection** und **Activate Scanner & Probe Protection** verarbeitet diese Lösung Protokolle mit einem der folgenden Verfahren:
1. **Lambda** — Jedes Mal, wenn ein neues Zugriffsprotokoll im Amazon S3 S3-Bucket gespeichert wird, wird die `Log Parser` Lambda-Funktion initiiert.
1. **Athena** — Standardmäßig wird die **Scanner & Probe Protection** Athena-Abfrage alle fünf Minuten ausgeführt, und die Ausgabe wird an AWS WAF weitergeleitet. Dieser Prozess wird durch ein CloudWatch Ereignis initiiert, das die Lambda-Funktion startet, die für die Ausführung der Athena-Abfrage verantwortlich ist, und das Ergebnis an AWS WAF überträgt.
1. Die Lösung analysiert die Protokolldaten, um IP-Adressen zu identifizieren, die mehr Fehler als das definierte Kontingent generiert haben. Die Lösung aktualisiert dann eine festgelegte AWS-WAF-IP-Set-Bedingung, um diese IP-Adressen für einen vom Kunden definierten Zeitraum zu blockieren.
## Protokollparser — AWS WAF
Wenn Sie **HTTP Flood Protection aktivieren `yes - AWS Lambda log parser`** oder `yes - Amazon Athena log parser` auswählen, stellt diese Lösung die folgenden Komponenten bereit, die AWS-WAF-Protokolle analysieren, um Ursprünge zu identifizieren und zu blockieren, die den Endpunkt mit einer Anforderungsrate überfluten, die das von Ihnen definierte Kontingent übersteigt.
**Ablauf des AWS WAF WAF-Protokollparsers.**
![\[WAF-Protokollparserfluss\]](http://docs.aws.amazon.com/de_de/solutions/latest/security-automations-for-aws-waf/images/waf-log-parser-flow.png)
1. Wenn AWS WAF Zugriffsprotokolle empfängt, sendet sie die Protokolle an einen Firehose-Endpunkt. Firehose liefert die Protokolle dann an einen partitionierten Bucket in Amazon S3 mit dem Namen ** `/AWSLogs/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=` ** `/`
1. Basierend auf Ihrer Auswahl für die Vorlagenparameter „**HTTP Flood Protection** **aktivieren“ und „Scanner & Probe Protection** aktivieren“ verarbeitet diese Lösung Protokolle mit einem der folgenden Verfahren:
1. **Lambda**: Jedes Mal, wenn ein neues Zugriffsprotokoll im Amazon S3 S3-Bucket gespeichert wird, wird die `Log Parser` Lambda-Funktion initiiert.
1. **Athena:** Standardmäßig werden alle fünf Minuten die Scanner- und Sonden-Athena-Abfrage ausgeführt und die Ausgabe wird an AWS WAF übertragen. Dieser Prozess wird durch ein CloudWatch Amazon-Ereignis initiiert, das dann die Lambda-Funktion startet, die für die Ausführung der Amazon Athena-Abfrage verantwortlich ist, und das Ergebnis in AWS WAF überträgt.
1. Die Lösung analysiert die Protokolldaten, um IP-Adressen zu identifizieren, die mehr Anfragen als das definierte Kontingent gesendet haben. Die Lösung aktualisiert dann eine festgelegte AWS-WAF-IP-Set-Bedingung, um diese IP-Adressen für einen vom Kunden definierten Zeitraum zu blockieren.
## Log-Parser — Schlechter Bot
Der Bad Bot Log Parser untersucht Anfragen an den Honeypot-Endpunkt, um deren Quell-IP-Adresse zu extrahieren.
**Fehlerhafter Bot-Log-Parser-Flow.**
![\[Schlechter Log-Parser-Flow\]](http://docs.aws.amazon.com/de_de/solutions/latest/security-automations-for-aws-waf/images/badbot-log-parser-flow.png)
1. Wenn aktiviert `Bad Bot Protection` ist und sowohl die Funktionen HTTP Flood Protection als auch Scanner & Probe Protection deaktiviert sind: Das System verwendet den Log Lambda-Parser, der nur bösartige Bot-Anfragen auf der Grundlage von [WAF-Labelfiltern](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) protokolliert.
1. Die Lambda-Funktion fängt Anforderungsheader ab und untersucht sie, um die IP-Adresse der Quelle zu extrahieren, die auf den Trap-Endpunkt zugegriffen hat.
1. Die Lösung analysiert die Protokolldaten, um IP-Adressen zu identifizieren, die mehr Anfragen als das definierte Kontingent gesendet haben. Die Lösung aktualisiert dann eine festgelegte AWS-WAF-IP-Set-Bedingung, um diese IP-Adressen für einen vom Kunden definierten Zeitraum zu blockieren.
## Parser für IP-Listen
Die `IP Lists Parser` Lambda-Funktion schützt vor bekannten Angreifern, die in IP-Reputationslisten von Drittanbietern identifiziert wurden.
**Die IP-Reputation listet den Parser-Flow auf.**
![\[IP-Reputationslisten fließen\]](http://docs.aws.amazon.com/de_de/solutions/latest/security-automations-for-aws-waf/images/ip-reputation-lists-flow.png)
1. Ein stündliches CloudWatch Amazon-Ereignis ruft die `IP Lists Parser` Lambda-Funktion auf.
1. Die Lambda-Funktion sammelt und analysiert Daten aus drei Quellen:
+ DROP- und EDROP-Listen von Spamhaus
+ IP-Liste neuer Bedrohungen von Proofpoint
+ Liste der Tor-Exit-Knoten
1. Die Lambda-Funktion aktualisiert die AWS-WAF-Blockliste mit den aktuellen IP-Adressen.