As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Detalhes do componente
Conforme descrito no [diagrama de arquitetura](architecture-overview.md#architecture-diagram), quatro dos componentes dessa solução usam automações para inspecionar endereços IP e adicioná-los à lista de bloqueios do AWS WAF. As seções a seguir explicam cada um desses componentes com mais detalhes.
## Analisador de log - Aplicação
O analisador de log do aplicativo ajuda a proteger contra scanners e sondas.
**Fluxo do analisador de log do aplicativo.**
![\[fluxo do analisador de log do aplicativo\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/app-log-parser-flow.png)
1. Quando CloudFront ou um ALB recebe solicitações em nome do seu aplicativo web, ele envia os registros de acesso para um bucket do Amazon S3.
1. (Opcional) Se você selecionar `Yes - Amazon Athena log parser` os parâmetros do modelo **Ativar proteção contra inundação HTTP e Ativar proteção** **de scanner e sonda**, uma função Lambda moverá os registros de acesso de sua pasta original ** `/AWSLogs` para uma pasta recém-particionada ** `/AWSLogs-partitioned/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=`**/após sua chegada ao Amazon S3.
1. (Opcional) Se você selecionar `yes` o parâmetro **Manter dados no modelo de localização original do S3**, os registros permanecerão no local original e serão copiados para a pasta particionada, duplicando seu armazenamento de registros.
**nota**
Para o analisador de log Athena, essa solução particiona somente os novos registros que chegam ao seu bucket do Amazon S3 após a implantação dessa solução. Se você tem registros existentes que deseja particionar, você deve carregá-los manualmente para o Amazon S3 depois de implantar essa solução.
1. Com base na sua seleção dos parâmetros do modelo **Ativar proteção contra inundação HTTP e Ativar proteção** **de scanner e sonda**, essa solução processa os registros usando uma das seguintes opções:
1. **Lambda** — Sempre que um novo log de acesso é armazenado no bucket do Amazon S3, a função `Log Parser` Lambda é iniciada.
1. **Athena** — Por padrão, a cada cinco minutos, a consulta **Athena do Scanner & Probe Protection** é executada e a saída é enviada para o AWS WAF. Esse processo é iniciado por um CloudWatch evento, que inicia a função Lambda responsável por executar a consulta do Athena e envia o resultado para o AWS WAF.
1. A solução analisa os dados de registro para identificar endereços IP que geraram mais erros do que a cota definida. Em seguida, a solução atualiza uma condição de conjunto de IP do AWS WAF para bloquear esses endereços IP por um período de tempo definido pelo cliente.
## Analisador de registros - AWS WAF
Se você selecionar `yes - AWS Lambda log parser` ou `yes - Amazon Athena log parser` **ativar a proteção contra inundação HTTP**, essa solução provisiona os seguintes componentes, que analisam os registros do AWS WAF para identificar e bloquear as origens que inundam o endpoint com uma taxa de solicitação maior do que a cota que você definiu.
**Fluxo do analisador de log do AWS WAF.**
![\[fluxo do analisador de log waf\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/waf-log-parser-flow.png)
1. Quando o AWS WAF recebe registros de acesso, ele os envia para um endpoint Firehose. O Firehose então entrega os registros em um bucket particionado no Amazon S3 chamado ** `/AWSLogs/` ** `/year=` ** `/month=` ** `/day=` ** `/hour=` ** `/`
1. Com base na sua seleção dos parâmetros do modelo **Ativar proteção contra inundação HTTP e Ativar proteção** **de scanner e sonda**, essa solução processa os registros usando uma das seguintes opções:
1. **Lambda**: sempre que um novo log de acesso é armazenado no bucket do Amazon S3, a função `Log Parser` Lambda é iniciada.
1. **Athena:** Por padrão, a cada cinco minutos, a consulta do scanner e da sonda Athena é executada e a saída é enviada para o AWS WAF. Esse processo é iniciado por um CloudWatch evento da Amazon, que então inicia a função Lambda responsável pela execução da consulta do Amazon Athena e envia o resultado para o AWS WAF.
1. A solução analisa os dados de registro para identificar endereços IP que enviaram mais solicitações do que a cota definida. Em seguida, a solução atualiza uma condição de conjunto de IP do AWS WAF para bloquear esses endereços IP por um período de tempo definido pelo cliente.
## Analisador de registros - Bad bot
O analisador de log do Bad bot inspeciona as solicitações para o endpoint do honeypot para extrair o endereço IP de origem.
**Fluxo incorreto do analisador de log de bots.**
![\[fluxo do analisador de log badbot\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/badbot-log-parser-flow.png)
1. [Se `Bad Bot Protection` estiver ativado e os recursos HTTP Flood Protection e Scanner & Probe Protection estiverem desativados: o sistema usará o analisador Log Lambda, que registra somente solicitações de bots incorretas com base nos filtros de rótulos WAF.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html)
1. A função Lambda intercepta e inspeciona os cabeçalhos da solicitação para extrair o endereço IP da fonte que acessou o endpoint da armadilha.
1. A solução analisa os dados de registro para identificar endereços IP que enviaram mais solicitações do que a cota definida. Em seguida, a solução atualiza uma condição de conjunto de IP do AWS WAF para bloquear esses endereços IP por um período de tempo definido pelo cliente.
## Analisador de listas IP
A função `IP Lists Parser` Lambda ajuda a proteger contra invasores conhecidos identificados em listas de reputação de IP de terceiros.
**A reputação do IP lista o fluxo do analisador.**
![\[fluxo de listas de reputação de IP\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/ip-reputation-lists-flow.png)
1. Um CloudWatch evento de hora em hora da Amazon invoca a função Lambda`IP Lists Parser`.
1. A função Lambda reúne e analisa dados de três fontes:
+ Listas DROP e EDROP do Spamhaus
+ Lista de IPs de ameaças emergentes da Proofpoint
+ Lista de modos de saída do Tor
1. A função Lambda atualiza a lista de bloqueios do AWS WAF com os endereços IP atuais.