Monitorización de solicitudes confidenciales

Obtenga información sobre cómo monitorizar solicitudes confidenciales registrándolas mediante las reglas de filtro de tráfico de AEM as a Cloud Service.

El registro le permite observar los patrones de tráfico sin que afecte a los usuarios o servicios finales y es un primer paso crucial antes de implementar las reglas de bloqueo.

Este tutorial muestra cómo registrar solicitudes de rutas de inicio y cierre de sesión de WKND con el servicio de AEM Publish.

Por qué y cuándo registrar solicitudes

Registrar solicitudes específicas es una práctica de alto valor y bajo riesgo para comprender cómo los usuarios (y los actores potencialmente maliciosos) interactúan con la aplicación de AEM. Resulta especialmente útil antes de aplicar reglas de bloqueo, ya que le da la confianza para perfeccionar su postura de seguridad sin interrumpir el tráfico legítimo.

Los escenarios habituales para el registro incluyen:

  • Validar el impacto y el alcance de una regla antes de promoverla al modo block.
  • Monitorizar las rutas de inicio de sesión/cierre de sesión y puntos finales de autenticación para patrones inusuales o intentos de fuerza bruta.
  • Realizar el seguimiento del acceso de alta frecuencia a puntos finales de la API para detectar posibles abusos o actividades DoS.
  • Establecer líneas de base para el comportamiento de bots antes de aplicar controles más estrictos.
  • En caso de incidentes de seguridad, proporcionar datos forenses para comprender la naturaleza del ataque y los recursos afectados.

Requisitos previos

Antes de continuar, asegúrese de completar la configuración necesaria tal como se describe en el tutorial Cómo configurar el filtro de tráfico y las reglas WAF. Además, tenga en cuenta que ha clonado e implementado el proyecto WKND Sites de AEM en su entorno de AEM.

Ejemplo: registrar solicitudes de inicio y cierre de sesión de WKND

En este ejemplo, se crea una regla de filtro de tráfico para registrar las solicitudes realizadas en las rutas de inicio y cierre de sesión de WKND en el servicio de AEM Publish. Le ayuda a monitorizar los intentos de autenticación e identificar posibles problemas de seguridad.

  • Añada la siguiente regla al archivo /config/cdn.yaml del proyecto WKND.
kind: "CDN"
version: "1"
metadata:
  envTypes: ["dev", "stage", "prod"]
data:
  trafficFilters:
    rules:
    # On AEM Publish service log WKND Login and Logout requests
    - name: publish-auth-requests
      when:
        allOf:
          - reqProperty: tier
            matches: publish
          - reqProperty: path
            in:
              - /system/sling/login/j_security_check
              - /system/sling/logout
      action: log
  • Confirme e inserte los cambios en el repositorio de Git de Cloud Manager.

  • Implemente los cambios en el entorno de AEM mediante la canalización de configuración de Cloud Manager creada anteriormente.

  • Pruebe la regla iniciando sesión y cerrando sesión en el sitio WKND del programa (por ejemplo, https://publish-pXXXX-eYYYY.adobeaemcloud.com/us/en.html). Puede usar asmith/asmith como nombre de usuario y contraseña.

    Inicio de sesión WKND

Análisis

Analicemos los resultados de la regla publish-auth-requests descargando los registros de CDN de AEMCS desde Cloud Manager y utilizando las herramientas de análisis de registro de CDN de AEMCS.

  • Desde la tarjeta Entornos de Cloud Manager, descargue los registros de CDN del servicio Publish de AEMCS.

    Descargas de registros de CDN de Cloud Manager

    note tip
    TIP
    Las nuevas solicitudes pueden tardar hasta 5 minutos en aparecer en los registros de CDN.
  • Copie el archivo de registro descargado (por ejemplo, publish_cdn_2023-10-24.log en la captura de pantalla siguiente) en la carpeta logs/dev del proyecto de herramienta panel elástico.

    Carpeta de registros de herramientas ELK

  • Actualice la página de herramienta de panel elástico.

    • En la sección Filtro global superior, edite el filtro aem_env_name.keyword y seleccione el valor de entorno dev.

      Filtro global de herramienta ELK

    • Para cambiar el intervalo de tiempo, haga clic en el icono de calendario en la esquina superior derecha y seleccione el intervalo de tiempo deseado.

      Intervalo de tiempo de herramienta ELK

  • Revise las solicitudes analizadas, las solicitudes marcadas y los paneles de Datos de solicitudes marcadas del panel actualizado. Para las entradas de registro de CDN coincidentes, debe mostrar los valores de la IP de cliente (cli_ip), el host, la URL, la acción (waf_action) y el nombre de regla (waf_match) de cada entrada.

    Panel de herramientas ELK

recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69