Amazon Web Application Firewall

Présentation

AWS WAF est un pare-feu d’applications Web qui vous aide à protéger vos applications contre les failles Web les plus courantes.

Activez cette intégration pour visualiser dans Datadog vos métriques de WAF.

Configuration

Installation

Si vous ne l’avez pas déjà fait, configurez d’abord l’intégration Amazon Web Services.

Collecte de métriques

  1. Dans le carré d’intégration AWS, assurez-vous que l’option WAF est cochée dans la section concernant la collecte des métriques. Si vous utilisez le nouvel endpoint WAFV2, vérifiez que l’option WAFV2 est cochée.

  2. Installez l’intégration Datadog/AWS WAF.

Collecte de logs

Logs d’audit

Activez les logs d’audit Web Application Firewall pour obtenir des informations détaillées sur le trafic lié à vos contrôles d’accès Web (ACL Web) :

  1. Créez un Amazon Kinesis Data Firehose dont le nom commence par aws-waf-logs-.
  2. Dans la destination du Amazon Kinesis Data Firehose, choisissez Amazon S3 et ajoutez le préfixe waf.
  3. Sélectionnez l’ACL Web souhaité et envoyez ses logs vers le Firehose que vous venez de créer (étapes détaillées).

Les logs WAF sont recueillis et envoyés vers un compartiment S3.

Envoyer des logs à Datadog

  1. Si vous ne l’avez pas déjà fait, configurez la fonction Lambda de collecte de logs AWS avec Datadog.
  2. Une fois la fonction Lambda installée, ajoutez manuellement un déclencheur sur le compartiment S3 contenant vos logs WAF dans la console AWS. Dans votre Lambda, cliquez sur S3 dans la liste des déclencheurs :
    Configuration déclencheur S3
    Configurez votre déclencheur en choisissant le compartiment S3 qui contient vos logs WAF et remplacez le type d’événement par Object Created (All). Cliquez ensuite sur le bouton Add.
    Configuration déclencheur Lambda S3

Remarque : le Forwarder Lambda de Datadog convertit automatiquement les tableaux d’objets imbriqués dans les logs WAF au format key:value pour une plus grande facilité d’utilisation.

Données collectées

Métriques

aws.waf.allowed_requests
(count)
The number of allowed web requests.
Shown as request
aws.waf.blocked_requests
(count)
The number of blocked web requests.
Shown as request
aws.waf.counted_requests
(count)
The number of counted web requests.
Shown as request
aws.waf.passed_requests
(count)
The number of passed web requests.
Shown as request
aws.wafv2.allowed_requests
(count)
The number of allowed web requests.
Shown as request
aws.wafv2.blocked_requests
(count)
The number of blocked web requests.
Shown as request
aws.wafv2.counted_requests
(count)
The number of counted web requests.
Shown as request
aws.wafv2.passed_requests
(count)
The number of passed web requests.
Shown as request
waf.allowed_requests
(count)
The number of allowed web requests.
Shown as request
waf.blocked_requests
(count)
The number of blocked web requests.
Shown as request
waf.counted_requests
(count)
The number of counted web requests.
Shown as request
waf.passed_requests
(count)
The number of passed web requests.
Shown as request

Remarque : Datadog recueille les métriques aws.waf.* et waf.* pour permettre la compatibilité avec l’ancien format des API de métriques CloudWatch pour WAF.

Chacune des métriques récupérées à partir d’AWS se voit assigner les mêmes tags que ceux qui apparaissent dans la console AWS, y compris, mais sans s’y limiter, le hostname et les groupes de sécurité.

Événements

L’intégration AWS WAF n’inclut aucun événement.

Checks de service

L’intégration AWS WAF n’inclut aucun check de service.

Dépannage

Besoin d’aide ? Contactez l’assistance Datadog.