기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 구성 요소 세부 정보
[아키텍처 다이어그램](architecture-overview.md#architecture-diagram)에 설명된 대로이 솔루션의 구성 요소 중 4개는 자동화를 사용하여 IP 주소를 검사하고 이를 AWS WAF 블록 목록에 추가합니다. 다음 섹션에서는 이러한 각 구성 요소에 대해 자세히 설명합니다.
## 로그 구문 분석기 - 애플리케이션
애플리케이션 로그 구문 분석기는 스캐너 및 프로브로부터 보호하는 데 도움이 됩니다.
**애플리케이션 로그 구문 분석기 흐름.**
![\[앱 로그 구문 분석기 흐름\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/security-automations-for-aws-waf/images/app-log-parser-flow.png)
1. CloudFront 또는 ALB는 웹 애플리케이션을 대신하여 요청을 수신하면 액세스 로그를 Amazon S3 버킷으로 전송합니다.
1. (선택 사항) 템플릿 파라미터에 `Yes - Amazon Athena log parser` 대해 **HTTP 서비스 장애 방지 활성화** 및 **스캐너 및 프로브 보호 활성화**를 선택하면 Lambda 함수는 Amazon S3에 도착하면 액세스 로그를 원래 폴더 **에서 `/AWSLogs` 새로 분할된 폴더 ** `/AWSLogs-partitioned/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=` **/로 이동합니다.
1. (선택 사항) **원본 S3에 데이터 보관 위치** 템플릿 파라미터`yes`로를 선택하면 로그가 원본 위치에 남아 분할된 폴더에 복사되어 로그 스토리지가 복제됩니다.
**참고**
Athena 로그 구문 분석기의 경우이 솔루션은이 솔루션을 배포한 후 Amazon S3 버킷에 도착하는 새 로그만 분할합니다. 분할하려는 기존 로그가 있는 경우이 솔루션을 배포한 후 해당 로그를 Amazon S3에 수동으로 업로드해야 합니다.
1. 템플릿 파라미터**에** 대한 선택에 따라 ****이 솔루션은 다음 중 하나를 사용하여 로그를 처리합니다.
1. **Lambda** - 새 액세스 로그가 Amazon S3 버킷에 저장될 때마다 `Log Parser` Lambda 함수가 시작됩니다.
1. **Athena** - 기본적으로 5분마다 **스캐너 및 프로브 보호** Athena 쿼리가 실행되고 출력이 AWS WAF로 푸시됩니다. 이 프로세스는 Athena 쿼리 실행을 담당하는 Lambda 함수를 시작하고 결과를 AWS WAF로 푸시하는 CloudWatch 이벤트에 의해 시작됩니다.
1. 이 솔루션은 로그 데이터를 분석하여 정의된 할당량보다 더 많은 오류를 생성한 IP 주소를 식별합니다. 그런 다음 솔루션은 AWS WAF IP 세트 조건을 업데이트하여 고객이 정의한 기간 동안 해당 IP 주소를 차단합니다.
## 로그 구문 분석기 - AWS WAF
**HTTP Flood 보호 활성화**`yes - Amazon Athena log parser`에서 `yes - AWS Lambda log parser` 또는를 선택하면이 솔루션은 AWS WAF 로그를 구문 분석하여 정의한 할당량보다 큰 요청 속도로 엔드포인트를 플러딩하는 오리진을 식별하고 차단하는 다음 구성 요소를 프로비저닝합니다.
**AWS WAF 로그 구문 분석기 흐름.**
![\[waf 로그 구문 분석기 흐름\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/security-automations-for-aws-waf/images/waf-log-parser-flow.png)
1. AWS WAF는 액세스 로그를 수신하면 Firehose 엔드포인트로 로그를 전송합니다. 그런 다음 Firehose는 <*customer-bucket> <*optional-prefix> `/AWSLogs/` `/year=` `/month=` <`/day=`*DD>* `/hour=` 라는 Amazon S3의 분할된 버킷에 로그를 전송합니다. ** ** ** ** `/`
1. 템플릿 파라미터인 **HTTP 서비스 장애 방지 활성화** 및 **스캐너 및 프로브 보호 활성화**에 대한 선택에 따라이 솔루션은 다음 중 하나를 사용하여 로그를 처리합니다.
1. **Lambda**: 새 액세스 로그가 Amazon S3 버킷에 저장될 때마다 `Log Parser` Lambda 함수가 시작됩니다.
1. **Athena:** 기본적으로 5분마다 스캐너 및 프로브 Athena 쿼리가 실행되고 출력이 AWS WAF로 푸시됩니다. 이 프로세스는 Amazon CloudWatch 이벤트에 의해 시작되며, Amazon Athena 쿼리 실행을 담당하는 Lambda 함수를 시작하고 결과를 AWS WAF로 푸시합니다.
1. 이 솔루션은 로그 데이터를 분석하여 정의된 할당량보다 많은 요청을 보낸 IP 주소를 식별합니다. 그런 다음 솔루션은 AWS WAF IP 세트 조건을 업데이트하여 고객이 정의한 기간 동안 해당 IP 주소를 차단합니다.
## 로그 구문 분석기 - 잘못된 봇
잘못된 봇 로그 구문 분석기는 허니팟 엔드포인트에 대한 요청을 검사하여 소스 IP 주소를 추출합니다.
**봇 로그 구문 분석기 흐름이 잘못되었습니다.**
![\[badbot 로그 구문 분석기 흐름\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/security-automations-for-aws-waf/images/badbot-log-parser-flow.png)
1. `Bad Bot Protection`가 활성화되고 HTTP Flood Protection 및 스캐너 및 프로브 보호 기능이 모두 비활성화된 경우: 시스템은 [WAF 레이블 필터를](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) 기반으로 잘못된 봇 요청만 로깅하는 로그 Lambda 구문 분석기를 사용합니다.
1. Lambda 함수는 요청 헤더를 가로채고 검사하여 트랩 엔드포인트에 액세스한 소스의 IP 주소를 추출합니다.
1. 이 솔루션은 로그 데이터를 분석하여 정의된 할당량보다 많은 요청을 보낸 IP 주소를 식별합니다. 그런 다음 솔루션은 AWS WAF IP 세트 조건을 업데이트하여 고객이 정의한 기간 동안 해당 IP 주소를 차단합니다.
## IP 목록 구문 분석기
`IP Lists Parser` Lambda 함수는 타사 IP 평판 목록에서 식별된 알려진 공격자로부터 보호하는 데 도움이 됩니다.
**IP 평가에는 구문 분석기 흐름이 나열됩니다.**
![\[IP 평판 목록 흐름\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/security-automations-for-aws-waf/images/ip-reputation-lists-flow.png)
1. 시간당 Amazon CloudWatch 이벤트는 `IP Lists Parser` Lambda 함수를 호출합니다.
1. Lambda 함수는 다음 세 가지 소스에서 데이터를 수집하고 구문 분석합니다.
+ Spamhaus DROP 및 EDROP 목록
+ Proofpoint 새로운 위협 IP 목록
+ Tor 종료 노드 목록
1. Lambda 함수는 AWS WAF 블록 목록을 현재 IP 주소로 업데이트합니다.