
在 Graylog 中分析 AWS WAF 應用程式遙測數據
維運藍圖:透過 Illuminate 標準化 Web ACL 承載資料,將原始 JSON 串流轉化為可搜尋的威脅情資
資安維運簡報: 當公開應用程式運行在 Amazon CloudFront、Application Load Balancer (ALB)、API Gateway 或 AWS AppSync 後端時,AWS WAF 扮演著抵禦網頁漏洞利用的第一線關鍵守門員。然而,原始的防火牆日誌經常受困於未經解析的雲端儲存庫中,成了工程維運上的視線盲區。Graylog Illuminate AWS WAF 內容包(Content Pack)自動分解複雜的 JSON 承載資料,將網頁事件對映到規範模式(Canonical schema),並將活躍的偵測事件直接饋送至企業的 SIEM 管線中,藉此橋接此一可視性破口。
深層攝取 WAF 日誌的戰略優勢
亞馬遜網路服務網頁應用程式防火牆(AWS WAF)會針對進入 Application Load Balancer、CloudFront 分布、API Gateway 及 AppSync 的 HTTP 與 HTTPS 請求,對照託管或自訂的存取控制清單(Web ACLs)進行評估。每一次請求都會觸發一個獨立的動作——不論是明確的 ALLOW(允許)、硬性的 BLOCK(阻斷)、用於分析的 COUNT(計數),或是透過 CAPTCHA(驗證碼) 或基於 JavaScript 的瀏覽器 CHALLENGE(挑戰) 模組進行階梯式驗證。
由於 WAF 層直接部署在面向網際網路之服務的最前線,其遙測數據精確記錄了攻擊者正在探測的攻擊模式。深層攝取這些存取日誌,能讓安全維運中心(SOC)洞察零日漏洞探測、憑證填補(Credential-stuffing)趨勢,以及動態應用程式安全規則的實際防禦成效。
架構概述:The Illuminate 處理管線
AWS WAF 內容包專為 AWS WAF v2(新版 Web ACL)架構設計,並採用 Amazon Kinesis Data Firehose 進行實時傳輸。一旦啟用,該套件即會執行自動化的提取、富集(Enrichment)與標準化迴圈:
自動化內容包構件
- 統一攝取串流: 配置
Illuminate: AWS WAF Messages串流,無需手動設定路由參數,即可立即管理入站的承載資料。 - 預先建立索引的資料保留: 實施專門的索引集(Index set),並針對預設的每日輪轉與 90 天保留期限進行優化,確保在遭遇高密度掃描事件時,維運效能依舊維持穩定。
- Graylog 資訊模型 (GIM) 標準化: 將未經解析的 HTTP 請求、來源參數以及結束特徵碼對照 GIM 綱要進行標準化,將原始的雲端變數轉化為標準的企業告警類別。
- 統一的 Spotlight 主控台: 部署集中式分析介面,實時摘要阻斷率、挑戰結果、地理流量異常以及規則比對狀況。
資料攝取組態配置
將您的 AWS 環境與 Graylog 整合,需要一個作用中的 Enterprise 或 Security 授權,並搭配 Illuminate 處理框架。請遵循以下部署順序來建立資料路由:
步驟 1:啟用 Web ACL 日誌記錄
導覽至目標 AWS Web ACL 配置面板。啟用日誌記錄,並指定一個 Amazon Kinesis Data Firehose 傳輸串流 作為您的日誌交付目的地。
步驟 2:將記錄串流至 Graylog
使用原生的 AWS Kinesis/CloudWatch 輸入(Input),配置 Kinesis Data Firehose 串流將記錄轉發至 Graylog 實例。Graylog 的輸入引擎會利用 aws_kinesis_stream 與 aws_kinesis_message_type 屬性自動為流量標記標籤,這意味著您無需配置特定的序列名稱比對規則。
步驟 3:核實 JSON 日誌結構
AWS WAF 會針對其評估的每項請求交付單個詳細的 JSON 物件。Graylog 處理引擎會自動標準化這些變體:
範例 A:觸發規則宣告無效並做出終止性 BLOCK 決策
{
"timestamp": 1778140491525,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:us-east-1:517803882956:regional/webacl/prod-waf/3b8a9ef3-9057-4538-acdd-bda6c27c2131",
"terminatingRuleId": "AWS-AWSManagedRulesCommonRuleSet",
"terminatingRuleType": "MANAGED_RULE_GROUP",
"action": "BLOCK",
"httpSourceName": "ALB",
"httpRequest": {
"clientIp": "185.142.236.41",
"country": "SC",
"uri": "/.well-known/security.txt",
"httpMethod": "GET",
"scheme": "http",
"host": "34.238.104.93"
},
"labels": [
{ "name": "awswaf:managed:aws:core-rule-set:NoUserAgent_Header" }
]
}範例 B:標準預設動作之 ALLOW 決策
{
"timestamp": 1778154180000,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:us-east-1:517803882956:regional/webacl/prod-waf/3b8a9ef3-9057-4538-acdd-bda6c27c2131",
"terminatingRuleId": "Default_Action",
"terminatingRuleType": "REGULAR",
"action": "ALLOW",
"httpSourceName": "ALB",
"httpRequest": {
"clientIp": "192.0.2.10",
"country": "US",
"uri": "/",
"httpMethod": "GET",
"scheme": "https",
"host": "app.example.com"
},
"labels": []
}步驟 4:初始化處理引擎
登入 Graylog 主控台,導覽至 Enterprise → Illuminate,找到 AWS WAF Processing Pack,然後點擊 Activate(啟用)。索引架構與解析邏輯隨即會在後端即時初始化。
Graylog 資訊模型 (GIM) 分類綱要
該內容包將 AWS WAF 的動作映射至標準化的 GIM 欄位中,將流量歸類至網路與偵測類別,以實現一致性的威脅獵捕:
| 日誌類型 | 廠商動作描述 | GIM 類別 | GIM 子類別 | GIM 事件代碼 |
|---|---|---|---|---|
| aws_waf | WAF BLOCK – 請求因比對到終止規則而被阻斷 | detection | detection.network detection | 300001 |
| aws_waf | WAF CAPTCHA – 向用戶端調用階梯式互動驗證碼挑戰 | detection | detection.network detection | 300001 |
| aws_waf | WAF CHALLENGE – 調用靜默 JavaScript 瀏覽器驗證挑戰 | detection | detection.network detection | 300001 |
| aws_waf | WAF ALLOW – 請求通過驗證並放行至後端源伺服器 | network | network.default | 129999 |
| aws_waf | WAF COUNT – 規則比對僅作為遙測數據記錄 | network | network.default | 129999 |
建構 AWS WAF 可視性的戰略驅動因素
將 WAF 基礎設施指標集中於 Graylog,能為防禦團隊在四個關鍵資安領域中提供核心的技術證據:
1. 實時攻擊監控
- 在惡意網頁載荷——包括 SQL 注入(SQLi)與跨網站指令碼(XSS)模式——到達您的應用程式伺服器之前,揭露被 AWS 託管規則攔截的軌跡。
- 追蹤與單一用戶端 IP 設定檔關聯的高頻率
BLOCK觸發器,以逮獲自動化網頁搜刮(Scraping)、目錄暴力破解及漏洞掃描。 - 監控
COUNT規則,在將新起草的自訂規則切換至實際阻斷模式之前,先評估其在真實環境下的影響。 - 識別高機率的
CAPTCHA或CHALLENGE失敗率,以追蹤企圖規避應用程式存取控制的殭屍網路(Botnets)。
2. 多層次威脅獵捕
- 允許分析師跨越整個應用程式設備艦隊,搜尋與活躍的 CVE 漏洞利用或已知網路間諜活動相關聯的特定終止規則 ID(Terminating Rule ID)。
- 在
ALLOW與BLOCK事件之間交叉比對來源 IP 參數,以追蹤攻擊者如何企圖對映您的應用程式結構。 - 標記非預期的地理位置異常,這些異常正對正式環境的 Web ACL 端點發送大量的阻斷流量。
3. 事件應變與數位取證調查
- 為數位取證團隊提供不可篡改的請求歷史時間軸,以便在活躍事件期間迅速重構攻擊者的行動軌跡。
- 精確定位攔截到攻擊的特定規則或受管群組,並輕鬆識別規則漏失繞過企圖的任何防禦破口。
- 審查圍繞在
BLOCK行為周遭的ALLOW流量,以確切釐清在此之前有哪些請求已成功到達後端源儲存庫。
4. 合規性與維運審計
- 維護面向公眾之 WAF 政策所做出的執行決策之不可篡改、長期的日誌記錄,以證實符合 PCI DSS、HIPAA 和 SOC 2 下嚴格的存取控制授權。
- 追蹤 Web ACL 與規則群組的組態配置調整,為變更管理團隊提供可驗證的合規證據。
關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。
關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products.
Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.








