**에 대한 새로운 콘솔 환경 소개 AWS WAF** 이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS Shield Advanced 이벤트 세부 정보 보기 이벤트 세부 정보 보기 콘솔 이벤트 페이지 하단 섹션에서 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다. + **탐지 및 완화** — 관찰된 이벤트와 이에 대해 적용된 모든 완화 조치에 대한 정보를 제공합니다. 완화 이벤트에 대한 자세한 내용은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md)(을)를 참조하세요. + **상위 기여자** — 이벤트와 관련된 트래픽을 분류하고 Shield가 카테고리별로 식별한 트래픽의 기본 소스를 나열합니다. 애플리케이션 계층 이벤트의 경우 상위 기여자 정보를 사용하여 이벤트의 특성에 대한 일반적인 아이디어를 얻지만 보안 결정에 AWS WAF 로그를 사용합니다. 자세한 내용은 이어지는 섹션을 참조하세요. Shield Advanced 콘솔의 이벤트 정보는 Shield Advanced 지표를 기준으로 합니다. Shield Advanced 지표에 대한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요. Amazon CloudFront 또는 Amazon Route 53 리소스에는 완화 지표가 포함되어 있지 않은데, 이러한 서비스는 항상 활성화되어 개별 리소스에 대한 완화 조치가 필요하지 않은 완화 시스템으로 보호되기 때문입니다. 세부 정보 섹션은 정보가 인프라 계층 이벤트 또는 애플리케이션 계층 이벤트에 대한 정보인지 여부에 따라 달라집니다. **Topics** + [ # Shield Advanced에서 애플리케이션 계층(계층 7) 이벤트 세부 정보 보기 ](ddos-event-details-application-layer.md) + [ # Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기 ](ddos-event-details-infrastructure-layer.md) # Shield Advanced에서 애플리케이션 계층(계층 7) 이벤트 세부 정보 보기 애플리케이션 계층 이벤트에 대한 콘솔 페이지 하단 섹션에서 애플리케이션 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield Advanced 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다. 완화 세부 정보는 공격에 대응하여 특별히 배포되는 규칙과 웹 ACL에 정의된 속도 기반 규칙을 포함하여 리소스와 연결된 웹 ACL의 모든 규칙에 대한 것입니다. 애플리케이션에 대해 자동 애플리케이션 계층 DDoS 완화를 활성화하는 경우 완화 지표에는 이러한 추가 규칙에 대한 지표가 포함됩니다. 이러한 애플리케이션 계층 보호에 대한 자세한 내용은 [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md) 섹션을 참조하세요. ## 감지 및 완화 감지 및 완화 애플리케이션 계층(계층 7) 이벤트의 경우 **탐지 및 완화** 탭에는 AWS WAF 로그에서 얻은 정보를 기반으로 하는 탐지 지표가 표시됩니다. 완화 지표는 원치 않는 트래픽을 차단하도록 구성된, 연결된 웹 ACL의 AWS WAF 규칙을 기반으로 합니다. Amazon CloudFront 배포의 경우, 자동 완화 기능을 적용하도록 Shield Advanced를 구성할 수 있습니다. 모든 애플리케이션 계층 리소스를 사용하여 웹 ACL에서 자체 완화 규칙을 정의하도록 선택하고 Shield 대응 팀(SRT)에 도움을 요청할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md) 섹션을 참조하세요. 다음 스크린샷은 몇 시간 후에 진정된 애플리케이션 계층 이벤트에 대한 탐지 지표의 예를 보여줍니다. ![\[탐지 지표 그래프는 11:30부터 16:00에 감소할 때까지 요청 플러드 트래픽 감지를 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-app-detection-metrics.png) 완화 규칙이 적용되기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 웹 요청 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다. ## 상위 기여자 상위 기여자 애플리케이션 계층 이벤트에 대한 **상위 기여자** 탭에는 Shield가 검색한 AWS WAF 로그를 기반으로 이벤트에 대해 식별한 상위 5명의 기여자가 표시됩니다. Shield는 소스 IP, 소스 국가, 대상 URL과 같은 측정기준별로 상위 기여자 정보를 분류합니다. **참고** 애플리케이션 계층 이벤트에 기여하는 트래픽에 대한 가장 정확한 정보를 보려면 AWS WAF 로그를 사용합니다. Shield 애플리케이션 계층의 상위 기여자 정보는 공격의 성격을 전반적으로 파악하기 위한 용도로만 사용하고, 이를 기반으로 보안 결정을 내리지 마십시오. 애플리케이션 계층 이벤트의 경우 AWS WAF 로그는 공격의 원인을 이해하고 완화 전략을 수립하는 데 가장 적합한 정보 소스입니다. Shield 상위 기여자 정보가 항상 AWS WAF 로그의 데이터를 완전히 반영하는 것은 아닙니다. Shield는 로그를 수집할 때 로그에서 전체 데이터 세트를 검색하는 것보다 시스템 성능에 미치는 영향을 줄이는 것을 우선시합니다. 이로 인해 Shield에서 분석에 사용할 수 있는 데이터의 세부 수준이 손실될 수 있습니다. 대부분의 경우 대부분의 정보를 사용할 수 있지만, 어떤 공격에서든 상위 기여자 데이터가 어느 정도 왜곡될 수 있습니다. 다음 스크린샷은 애플리케이션 계층 이벤트에 대한 **상위 기여자** 탭의 예를 보여줍니다. ![\[애플리케이션 계층 이벤트의 상위 기여자 탭에서는 여러 웹 요청 특성에 대한 상위 5개의 기여자를 설명합니다. 화면에는 상위 5개의 소스 IP 주소, 상위 5개의 대상 URL, 상위 5개의 소스 국가, 상위 5개의 사용자 에이전트가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-app-event-top-contributors.png) 기여자 정보는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대한 요청을 기반으로 합니다. 볼륨이 큰 이벤트와 요청 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield Advanced가 특정 카테고리의 주요 기여자를 식별하지 못하면 데이터가 사용할 수 없음으로 표시됩니다. # Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기 인프라 계층 이벤트에 대한 콘솔 페이지 하단 섹션에서 인프라 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다. ## 감지 및 완화 감지 및 완화 인프라 계층(계층 3 또는 4)이벤트의 경우 **감지 및 완화** 탭에는 샘플링된 네트워크 흐름을 기반으로 하는 탐지 지표와 완화 시스템에서 관찰된 트래픽을 기반으로 하는 완화 지표가 표시됩니다. 완화 지표는 리소스로 유입되는 트래픽을 보다 정확하게 측정한 것입니다. Shield는 보호된 리소스 유형인 탄력적 IP(EIP), Classic Load Balancer(CLB), Application Load Balancer(ALB) 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화를 자동으로 생성합니다. EIP 주소 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화 지표는 전달 및 삭제된 패킷 수를 나타냅니다. 다음 스크린샷은 인프라 계층 이벤트에 대한 **감지 및 완화** 탭의 예를 보여줍니다. ![\[네트워크 이벤트에 대한 감지 및 완화 그래프에서는 탐지 지표의 SYN flood 및 패킷 플러드 트래픽 증가를 나타내며, 이는 완화 지표에서는 몇 초 후에 트래픽을 감소시키는 완화 기능의 증가와 일치합니다. 완화 조치가 약 30초 동안 강화되면 트래픽 플러드가 멈춥니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png) Shield가 완화를 적용하기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다. ## 상위 기여자 상위 기여자 인프라 계층 이벤트의 **상위 기여자** 탭에는 여러 트래픽 측정기준의 최대 100개의 상위 기여자에 대한 지표가 나열됩니다. 세부 정보에는 중요한 트래픽 소스를 5개 이상 식별할 수 있는 모든 측정기준에 대한 네트워크 계층 속성이 포함됩니다. 트래픽 소스의 예로는 소스 IP와 소스 ASN이 있습니다. 다음 스크린샷은 인프라 계층 이벤트에 대한 **상위 기여자** 탭의 예를 보여줍니다. ![\[네트워크 이벤트의 상위 기여자 탭에는 이벤트에 가장 많이 기여한 트래픽 카테고리가 표시됩니다. 이 경우 카테고리에는 프로토콜별 볼륨, 프로토콜 및 대상 포트별 볼륨, 프로토콜 및 소스 ASN별 볼륨, TCP 플래그별 볼륨이 포함됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-network-event-top-contributors.png) 기여자 지표는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대해 샘플링된 네트워크 흐름을 기반으로 합니다. 볼륨이 큰 이벤트와 트래픽 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield가 특정 지표나 카테고리의 주요 기여자를 식별하지 못하면 해당 데이터를 사용할 수 없음으로 표시합니다. 인프라 계층 DDoS 공격에서는 트래픽 소스가 스푸핑되거나 반영될 수 있습니다. 스푸핑된 소스는 공격자가 의도적으로 위조한 것입니다. 반영된 소스는 탐지된 트래픽의 실제 소스이지만 공격에 기꺼이 참여하지는 않습니다. 예를 들어 공격자는 일반적으로 합법적인 인터넷 서비스 비활성화 공격을 반영하여 표적으로 대량의 증폭된 트래픽을 생성할 수 있습니다. 이 경우 소스 정보는 공격의 실제 소스는 아니지만 유효할 수 있습니다. 이러한 요인으로 인해 패킷 헤더를 기반으로 소스를 차단하는 완화 기술의 실행 가능성이 제한될 수 있습니다.