
在 Graylog 中分析 AWS WAF 應用程式遙測數據
維運藍圖:透過 Illuminate 標準化 Web ACL 承載資料,將原始 JSON 串流轉化為可搜尋的威脅情資
資安維運簡報: 當公開應用程式運行在 Amazon CloudFront、Application Load Balancer (ALB)、API Gateway 或 AWS AppSync 後端時,AWS WAF 扮演著抵禦網頁漏洞利用的第一線關鍵守門員。然而,原始的防火牆日誌經常受困於未經解析的雲端儲存庫中,成了工程維運上的視線盲區。Graylog Illuminate AWS WAF 內容包(Content Pack)自動分解複雜的 JSON 承載資料,將網頁事件對映到規範模式(Canonical schema),並將活躍的偵測事件直接饋送至企業的 SIEM 管線中,藉此橋接此一可視性破口。
深層攝取 WAF 日誌的戰略優勢
亞馬遜網路服務網頁應用程式防火牆(AWS WAF)會針對進入 Application Load Balancer、CloudFront 分布、API Gateway 及 AppSync 的 HTTP 與 HTTPS 請求,對照託管或自訂的存取控制清單(Web ACLs)進行評估。每一次請求都會觸發一個獨立的動作——不論是明確的 ALLOW(允許)、硬性的 BLOCK(阻斷)、用於分析的 COUNT(計數),或是透過 CAPTCHA(驗證碼) 或基於 JavaScript 的瀏覽器 CHALLENGE(挑戰) 模組進行階梯式驗證。
由於 WAF 層直接部署在面向網際網路之服務的最前線,其遙測數據精確記錄了攻擊者正在探測的攻擊模式。深層攝取這些存取日誌,能讓安全維運中心(SOC)洞察零日漏洞探測、憑證填補(Credential-stuffing)趨勢,以及動態應用程式安全規則的實際防禦成效。
架構概述:The Illuminate 處理管線
AWS WAF 內容包專為 AWS WAF v2(新版 Web ACL)架構設計,並採用 Amazon Kinesis Data Firehose 進行實時傳輸。一旦啟用,該套件即會執行自動化的提取、富集(Enrichment)與標準化迴圈:
自動化內容包構件
- 統一攝取串流: 配置
Illuminate: AWS WAF Messages串流,無需手動設定路由參數,即可立即管理入站的承載資料。 - 預先建立索引的資料保留: 實施專門的索引集(Index set),並針對預設的每日輪轉與 90 天保留期限進行優化,確保在遭遇高密度掃描事件時,維運效能依舊維持穩定。
- Graylog 資訊模型 (GIM) 標準化: 將未經解析的 HTTP 請求、來源參數以及結束特徵碼對照 GIM 綱要進行標準化,將原始的雲端變數轉化為標準的企業告警類別。
- 統一的 Spotlight 主控台: 部署集中式分析介面,實時摘要阻斷率、挑戰結果、地理流量異常以及規則比對狀況。
資料攝取組態配置
將您的 AWS 環境與 Graylog 整合,需要一個作用中的 Enterprise 或 Security 授權,並搭配 Illuminate 處理框架。請遵循以下部署順序來建立資料路由:
步驟 1:啟用 Web ACL 日誌記錄
導覽至目標 AWS Web ACL 配置面板。啟用日誌記錄,並指定一個 Amazon Kinesis Data Firehose 傳輸串流 作為您的日誌交付目的地。
步驟 2:將記錄串流至 Graylog
使用原生的 AWS Kinesis/CloudWatch 輸入(Input),配置 Kinesis Data Firehose 串流將記錄轉發至 Graylog 實例。Graylog 的輸入引擎會利用 aws_kinesis_stream 與 aws_kinesis_message_type 屬性自動為流量標記標籤,這意味著您無需配置特定的序列名稱比對規則。
步驟 3:核實 JSON 日誌結構
AWS WAF 會針對其評估的每項請求交付單個詳細的 JSON 物件。Graylog 處理引擎會自動標準化這些變體:
範例 A:觸發規則宣告無效並做出終止性 BLOCK 決策
{
"timestamp": 1778140491525,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:us-east-1:517803882956:regional/webacl/prod-waf/3b8a9ef3-9057-4538-acdd-bda6c27c2131",
"terminatingRuleId": "AWS-AWSManagedRulesCommonRuleSet",
"terminatingRuleType": "MANAGED_RULE_GROUP",
"action": "BLOCK",
"httpSourceName": "ALB",
"httpRequest": {
"clientIp": "185.142.236.41",
"country": "SC",
"uri": "/.well-known/security.txt",
"httpMethod": "GET",
"scheme": "http",
"host": "34.238.104.93"
},
"labels": [
{ "name": "awswaf:managed:aws:core-rule-set:NoUserAgent_Header" }
]
}範例 B:標準預設動作之 ALLOW 決策
{
"timestamp": 1778154180000,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:us-east-1:517803882956:regional/webacl/prod-waf/3b8a9ef3-9057-4538-acdd-bda6c27c2131",
"terminatingRuleId": "Default_Action",
"terminatingRuleType": "REGULAR",
"action": "ALLOW",
"httpSourceName": "ALB",
"httpRequest": {
"clientIp": "192.0.2.10",
"country": "US",
"uri": "/",
"httpMethod": "GET",
"scheme": "https",
"host": "app.example.com"
},
"labels": []
}步驟 4:初始化處理引擎
登入 Graylog 主控台,導覽至 Enterprise → Illuminate,找到 AWS WAF Processing Pack,然後點擊 Activate(啟用)。索引架構與解析邏輯隨即會在後端即時初始化。
Graylog 資訊模型 (GIM) 分類綱要
該內容包將 AWS WAF 的動作映射至標準化的 GIM 欄位中,將流量歸類至網路與偵測類別,以實現一致性的威脅獵捕:
| 日誌類型 | 廠商動作描述 | GIM 類別 | GIM 子類別 | GIM 事件代碼 |
|---|---|---|---|---|
| aws_waf | WAF BLOCK – 請求因比對到終止規則而被阻斷 | detection | detection.network detection | 300001 |
| aws_waf | WAF CAPTCHA – 向用戶端調用階梯式互動驗證碼挑戰 | detection | detection.network detection | 300001 |
| aws_waf | WAF CHALLENGE – 調用靜默 JavaScript 瀏覽器驗證挑戰 | detection | detection.network detection | 300001 |
| aws_waf | WAF ALLOW – 請求通過驗證並放行至後端源伺服器 | network | network.default | 129999 |
| aws_waf | WAF COUNT – 規則比對僅作為遙測數據記錄 | network | network.default | 129999 |
建構 AWS WAF 可視性的戰略驅動因素
將 WAF 基礎設施指標集中於 Graylog,能為防禦團隊在四個關鍵資安領域中提供核心的技術證據:
1. 實時攻擊監控
- 在惡意網頁載荷——包括 SQL 注入(SQLi)與跨網站指令碼(XSS)模式——到達您的應用程式伺服器之前,揭露被 AWS 託管規則攔截的軌跡。
- 追蹤與單一用戶端 IP 設定檔關聯的高頻率
BLOCK觸發器,以逮獲自動化網頁搜刮(Scraping)、目錄暴力破解及漏洞掃描。 - 監控
COUNT規則,在將新起草的自訂規則切換至實際阻斷模式之前,先評估其在真實環境下的影響。 - 識別高機率的
CAPTCHA或CHALLENGE失敗率,以追蹤企圖規避應用程式存取控制的殭屍網路(Botnets)。
2. 多層次威脅獵捕
- 允許分析師跨越整個應用程式設備艦隊,搜尋與活躍的 CVE 漏洞利用或已知網路間諜活動相關聯的特定終止規則 ID(Terminating Rule ID)。
- 在
ALLOW與BLOCK事件之間交叉比對來源 IP 參數,以追蹤攻擊者如何企圖對映您的應用程式結構。 - 標記非預期的地理位置異常,這些異常正對正式環境的 Web ACL 端點發送大量的阻斷流量。
3. 事件應變與數位取證調查
- 為數位取證團隊提供不可篡改的請求歷史時間軸,以便在活躍事件期間迅速重構攻擊者的行動軌跡。
- 精確定位攔截到攻擊的特定規則或受管群組,並輕鬆識別規則漏失繞過企圖的任何防禦破口。
- 審查圍繞在
BLOCK行為周遭的ALLOW流量,以確切釐清在此之前有哪些請求已成功到達後端源儲存庫。
4. 合規性與維運審計
- 維護面向公眾之 WAF 政策所做出的執行決策之不可篡改、長期的日誌記錄,以證實符合 PCI DSS、HIPAA 和 SOC 2 下嚴格的存取控制授權。
- 追蹤 Web ACL 與規則群組的組態配置調整,為變更管理團隊提供可驗證的合規證據。
關於 Graylog
Graylog 通過完整的 SIEM、企業日誌管理和 API 安全解決方案,提升公司企業網絡安全能力。Graylog 集中監控攻擊面並進行深入調查,提供卓越的威脅檢測和事件回應。公司獨特結合 AI / ML 技術、先進的分析和直觀的設計,簡化了網絡安全操作。與競爭對手複雜且昂貴的設置不同,Graylog 提供強大且經濟實惠的解決方案,幫助公司企業輕鬆應對安全挑戰。Graylog 成立於德國漢堡,目前總部位於美國休斯頓,服務覆蓋超過 180 個國家。
關於 Version 2 Digital
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。








