Monitorización de solicitudes confidenciales
Obtenga información sobre cómo monitorizar solicitudes confidenciales registrándolas mediante las reglas de filtro de tráfico de AEM as a Cloud Service.
El registro le permite observar los patrones de tráfico sin que afecte a los usuarios o servicios finales y es un primer paso crucial antes de implementar las reglas de bloqueo.
Este tutorial muestra cómo registrar solicitudes de rutas de inicio y cierre de sesión de WKND con el servicio de AEM Publish.
Por qué y cuándo registrar solicitudes
Registrar solicitudes específicas es una práctica de alto valor y bajo riesgo para comprender cómo los usuarios (y los actores potencialmente maliciosos) interactúan con la aplicación de AEM. Resulta especialmente útil antes de aplicar reglas de bloqueo, ya que le da la confianza para perfeccionar su postura de seguridad sin interrumpir el tráfico legítimo.
Los escenarios habituales para el registro incluyen:
- Validar el impacto y el alcance de una regla antes de promoverla al modo
block
. - Monitorizar las rutas de inicio de sesión/cierre de sesión y puntos finales de autenticación para patrones inusuales o intentos de fuerza bruta.
- Realizar el seguimiento del acceso de alta frecuencia a puntos finales de la API para detectar posibles abusos o actividades DoS.
- Establecer líneas de base para el comportamiento de bots antes de aplicar controles más estrictos.
- En caso de incidentes de seguridad, proporcionar datos forenses para comprender la naturaleza del ataque y los recursos afectados.
Requisitos previos
Antes de continuar, asegúrese de completar la configuración necesaria tal como se describe en el tutorial Cómo configurar el filtro de tráfico y las reglas WAF. Además, tenga en cuenta que ha clonado e implementado el proyecto WKND Sites de AEM en su entorno de AEM.
Ejemplo: registrar solicitudes de inicio y cierre de sesión de WKND
En este ejemplo, se crea una regla de filtro de tráfico para registrar las solicitudes realizadas en las rutas de inicio y cierre de sesión de WKND en el servicio de AEM Publish. Le ayuda a monitorizar los intentos de autenticación e identificar posibles problemas de seguridad.
- Añada la siguiente regla al archivo
/config/cdn.yaml
del proyecto WKND.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev", "stage", "prod"]
data:
trafficFilters:
rules:
# On AEM Publish service log WKND Login and Logout requests
- name: publish-auth-requests
when:
allOf:
- reqProperty: tier
matches: publish
- reqProperty: path
in:
- /system/sling/login/j_security_check
- /system/sling/logout
action: log
-
Confirme e inserte los cambios en el repositorio de Git de Cloud Manager.
-
Implemente los cambios en el entorno de AEM mediante la canalización de configuración de Cloud Manager creada anteriormente.
-
Pruebe la regla iniciando sesión y cerrando sesión en el sitio WKND del programa (por ejemplo,
https://publish-pXXXX-eYYYY.adobeaemcloud.com/us/en.html
). Puede usarasmith/asmith
como nombre de usuario y contraseña.
Análisis
Analicemos los resultados de la regla publish-auth-requests
descargando los registros de CDN de AEMCS desde Cloud Manager y utilizando las herramientas de análisis de registro de CDN de AEMCS.
-
Desde la tarjeta Entornos de Cloud Manager, descargue los registros de CDN del servicio Publish de AEMCS.
note tip TIP Las nuevas solicitudes pueden tardar hasta 5 minutos en aparecer en los registros de CDN. -
Copie el archivo de registro descargado (por ejemplo,
publish_cdn_2023-10-24.log
en la captura de pantalla siguiente) en la carpetalogs/dev
del proyecto de herramienta panel elástico. -
Actualice la página de herramienta de panel elástico.
-
En la sección Filtro global superior, edite el filtro
aem_env_name.keyword
y seleccione el valor de entornodev
. -
Para cambiar el intervalo de tiempo, haga clic en el icono de calendario en la esquina superior derecha y seleccione el intervalo de tiempo deseado.
-
-
Revise las solicitudes analizadas, las solicitudes marcadas y los paneles de Datos de solicitudes marcadas del panel actualizado. Para las entradas de registro de CDN coincidentes, debe mostrar los valores de la IP de cliente (cli_ip), el host, la URL, la acción (waf_action) y el nombre de regla (waf_match) de cada entrada.