Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Google Cloud Armor Adaptive Protection

Perlindungan Adaptif Google Cloud Armor membantu Anda melindungi aplikasi, situs, dan layanan Google Cloud dari serangan distributed denial of service (DDoS) L7 seperti HTTP flood dan aktivitas berbahaya frekuensi tinggi lainnya di lapisan 7 (tingkat aplikasi). Adaptive Protection membuat model machine learning yang melakukan hal berikut:

Mendeteksi dan memberikan peringatan tentang aktivitas anomali
Membuat tanda tangan yang menjelaskan potensi serangan
Buat aturan WAF Google Cloud Armor kustom untuk memblokir tanda tangan

Anda mengaktifkan atau menonaktifkan Perlindungan Adaptif per kebijakan keamanan.

Notifikasi tentang traffic yang tidak normal (potensi serangan), yang menyertakan tanda tangan serangan, muncul di dasbor peristiwa Adaptive Protection dengan log peristiwa yang dikirim ke Cloud Logging, tempat log tersebut dapat langsung dianalisis atau diteruskan ke log downstream atau alur kerja pemantauan peristiwa keamanan. Pemberitahuan potensi serangan juga dihasilkan sebagai temuan di Security Command Center.

Ketersediaan Perlindungan Adaptif

Notifikasi Perlindungan Adaptif Lengkap hanya tersedia jika Anda berlangganan Google Cloud Armor Enterprise. Jika tidak, Anda hanya akan menerima notifikasi dasar, tanpa tanda tangan serangan atau kemampuan untuk men-deploy aturan yang disarankan.

Jika project Anda belum terdaftar di Cloud Armor Enterprise, baca artikel Menggunakan Cloud Armor Enterprise untuk mengetahui informasi tentang cara mendaftar.

Cloud Logging dan Cloud Monitoring

Karena menggunakan Adaptive Protection secara efektif mengharuskan Anda memahami cara kerja logging dan pemberitahuan di Google Cloud, sebaiknya Anda memahami Cloud Logging, pemberitahuan, dan kebijakan pemberitahuan.

Untuk informasi logging umum, lihat dokumentasi Cloud Logging.
Untuk informasi tentang pemberitahuan, lihat dokumentasi Cloud Monitoring.
Untuk informasi logging khusus Google Cloud Armor, lihat Menggunakan logging permintaan.

Mengonfigurasi dan menyesuaikan pemberitahuan

Anda dapat mengaktifkan Adaptive Protection di project tempat kebijakan keamanan Google Cloud Armor sudah melindungi aplikasi Anda. Saat Anda mengaktifkan Adaptive Protection untuk kebijakan keamanan tertentu, Adaptive Protection akan berlaku untuk semua layanan backend yang terkait dengan kebijakan keamanan.

Setelah Perlindungan Adaptif diaktifkan, ada periode pelatihan setidaknya satu jam sebelum Perlindungan Adaptif mengembangkan dasar pengukuran yang andal dan mulai memantau traffic serta membuat pemberitahuan. Selama periode pelatihan, Adaptive Protection membuat model traffic masuk dan pola penggunaan yang khusus untuk setiap layanan backend, sehingga dapat mengembangkan dasar pengukuran untuk setiap layanan backend. Setelah periode pelatihan berakhir, Anda akan menerima pemberitahuan real-time saat Adaptive Protection mengidentifikasi anomali frekuensi tinggi atau volume tinggi dalam traffic yang diarahkan ke layanan backend apa pun yang terkait dengan kebijakan keamanan tersebut.

Anda dapat menyesuaikan pemberitahuan Perlindungan Adaptif berdasarkan beberapa metrik. Pemberitahuan, yang dikirim ke Cloud Logging, mencakup tingkat keyakinan, tanda tangan serangan, aturan yang disarankan, dan perkiraan tingkat dasar pengukuran yang terpengaruh yang terkait dengan aturan yang disarankan.

Tingkat keyakinan menunjukkan keyakinan model Adaptive Protection dalam memprediksi bahwa perubahan pola traffic yang diamati bersifat anomali.
Rasio dasar pengukuran yang terpengaruh yang terkait dengan aturan yang disarankan mewakili persentase traffic dasar pengukuran yang ada yang tertangkap oleh aturan. Tersedia dua tarif. Yang pertama adalah persentase yang relatif terhadap traffic ke layanan backend tertentu yang sedang diserang. Yang kedua adalah persentase yang relatif terhadap semua traffic yang melewati kebijakan keamanan, termasuk semua target layanan backend yang dikonfigurasi (bukan hanya yang diserang).

Anda dapat memfilter pemberitahuan di Cloud Logging berdasarkan tingkat keyakinan atau rasio dasar pengukuran yang terpengaruh, atau keduanya. Untuk mengetahui informasi selengkapnya tentang cara menyesuaikan pemberitahuan, lihat Mengelola kebijakan pemberitahuan.

Adaptive Protection bertujuan untuk melindungi layanan backend dari serangan DDoS Lapisan 7 dengan volume tinggi. Dalam skenario berikut, permintaan tidak dihitung dalam Adaptive Protection:

Permintaan yang ditayangkan langsung dari Cloud CDN
Permintaan yang ditolak oleh kebijakan keamanan Google Cloud Armor

Model terperinci

Secara default, Perlindungan Adaptif mendeteksi serangan dan menyarankan mitigasi berdasarkan traffic umum yang diarahkan ke setiap layanan backend. Artinya, backend di belakang layanan backend dapat kelebihan beban, tetapi Perlindungan Adaptif tidak mengambil tindakan karena traffic serangan tidak anomalis untuk layanan backend.

Fitur model terperinci memungkinkan Anda mengonfigurasi host atau jalur tertentu sebagai unit terperinci yang dianalisis Adaptive Protection. Saat Anda menggunakan model mendetail, mitigasi yang disarankan Adaptive Protection akan memfilter traffic berdasarkan awalan jalur URL atau host yang cocok, sehingga membantu mengurangi positif palsu. Setiap host atau jalur ini disebut unit traffic terperinci.

Tanda tangan serangan yang diidentifikasi hanya menargetkan traffic serangan yang masuk ke unit traffic terperinci; namun, pemfilteran masih berlaku untuk semua permintaan yang cocok dengan aturan yang di-deploy, seperti yang akan dilakukan tanpa konfigurasi terperinci. Misalnya, jika Anda ingin aturan yang di-deploy secara otomatis hanya cocok dengan unit terperinci traffic tertentu, sebaiknya gunakan kondisi pencocokan seperti evaluateAdaptiveProtectionAutoDeploy() && request.headers['host'] == ... && request.path == ....

Selain awalan host dan jalur URL, Anda dapat mengonfigurasi nilai minimum pemberitahuan berdasarkan beberapa atau semua opsi berikut. Anda dapat menerapkan nilai minimum ini ke unit traffic terperinci atau ke layanan backend secara keseluruhan, kecuali untuk nilai minimum beban yang hanya dapat diterapkan ke layanan backend:

Beban: Beban maksimum untuk layanan backend, sesuai dengan Application Load Balancer yang dikonfigurasi. Opsi ini tidak tersedia untuk unit traffic granular dan tidak tersedia untuk backend serverless seperti Cloud Run, fungsi Cloud Run, atau backend origin eksternal.
Kueri per detik (QPS) absolut: Jumlah traffic puncak, dalam kueri per detik, yang diterima layanan backend atau unit traffic.
Relatif terhadap QPS dasar pengukuran: Kelipatan volume traffic dasar pengukuran jangka panjang rata-rata. Misalnya, nilai 2 mewakili QPS dua kali volume traffic dasar pengukuran.

Untuk informasi selengkapnya tentang cara mengonfigurasi model terperinci, lihat Mengonfigurasi Google Cloud Armor Adaptive Protection.

Menggunakan dan menafsirkan pemberitahuan

Segera setelah mendeteksi serangan yang dicurigai, Adaptive Protection akan membuat peristiwa di dasbor peristiwa Adaptive Protection dan membuat item log di Cloud Logging. Notifikasi berada dalam payload JSON item log. Item log dihasilkan di bagian resource Kebijakan Keamanan Jaringan di Cloud Logging. Pesan log mengidentifikasi layanan backend yang sedang diserang dan menyertakan skor keyakinan yang menunjukkan seberapa kuat Perlindungan Adaptif menilai perubahan pola traffic yang diidentifikasi sebagai anomali. Pesan log juga menyertakan tanda tangan serangan yang menggambarkan karakteristik traffic serangan, beserta aturan Google Cloud Armor yang disarankan yang dapat Anda terapkan untuk mengurangi serangan.

Memahami tanda tangan serangan

Notifikasi Perlindungan Adaptif menyertakan tanda tangan serangan, yang merupakan deskripsi atribut traffic dari potensi serangan. Anda menggunakan tanda tangan untuk mengidentifikasi dan berpotensi memblokir serangan. Tanda tangan memiliki dua bentuk: sebagai tabel yang dapat dibaca pengguna dan sebagai aturan WAF Google Cloud Armor yang telah dibuat sebelumnya dan dapat Anda deploy dalam kebijakan keamanan yang relevan. Jika Anda tidak berlangganan Cloud Armor Enterprise, tanda tangan serangan tidak disertakan dalam pemberitahuan dasar.

Tanda tangan terdiri dari kumpulan atribut, seperti alamat IP sumber, wilayah geografis, cookie, agen pengguna, perujuk, dan header permintaan HTTP lainnya, serta kumpulan nilai untuk atribut tersebut yang dianggap terkait dengan potensi traffic serangan. Kumpulan atribut tidak dapat dikonfigurasi oleh pengguna. Nilai atribut bergantung pada nilai dalam traffic masuk ke layanan backend Anda.

Untuk setiap nilai atribut yang diyakini Adaptive Protection menunjukkan potensi serangan, Adaptive Protection mencantumkan hal berikut:

Kemungkinan serangan
Proporsi atribut dalam serangan, yang merupakan persentase potensi traffic serangan yang memiliki nilai ini pada saat serangan terdeteksi
Proporsi atribut dalam dasar pengukuran, yang merupakan persentase traffic dasar pengukuran yang memiliki nilai atribut ini pada saat serangan terdeteksi

Spesifikasi entri Cloud Logging berisi detail tentang informasi dalam setiap pemberitahuan.

Berikut adalah contoh tabel yang dapat dibaca pengguna yang berisi tanda tangan potensi serangan:

Nama atribut	Nilai	Jenis pencocokan	Kemungkinan serangan	Proporsi dalam serangan	Proporsi dalam dasar pengukuran
`UserAgent`	"foo"	Pencocokan persis	0,7	0,85	0,12
`UserAgent`	"bar"	Pencocokan persis	0,6	0,7	0,4
IP Sumber	"a.b.c.d"	Pencocokan persis	0,95	0,1	0,01
IP Sumber	a.b.c.e	Pencocokan persis	0,95	0,1	0,01
IP Sumber	a.b.c.f	Pencocokan persis	0,05	0,1	0,1
`RegionCode`	Inggris Raya	Pencocokan persis	0,64	0,3	0,1
`RegionCode`	IN	Pencocokan persis	0,25	0,2	0,3
`RequestUri`	/urlpart	Substring	0,7	0,85	0,12

Notifikasi Adaptive Protection dan log peristiwa Cloud Logging yang relevan berisi hal berikut:

ID pemberitahuan unik, atau alertID, yang digunakan untuk merujuk ke pemberitahuan tertentu saat melaporkan masukan pengguna (selengkapnya di bawah)
Layanan backend yang diserang, atau backendService
Skor keyakinan, atau confidence, yang merupakan angka antara 0 dan 1 yang menunjukkan seberapa kuat sistem Adaptive Protection menilai peristiwa yang terdeteksi sebagai serangan berbahaya

Anda juga akan menerima serangkaian tanda tangan dan aturan yang mencirikan serangan yang terdeteksi. Secara khusus, kumpulan ini menyediakan daftar headerSignatures, masing-masing sesuai dengan satu header HTTP dan berisi daftar significantValues untuk header tertentu. Setiap nilai signifikan adalah nilai header yang diamati atau substring-nya.

Berikut adalah contoh tanda tangan:

...
headerSignatures: [
  0: {
   name: "Referer"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_EQUALS"
     proportionInAttack: 0.6
     proportionInBaseline: 0.01
     value: "foo.attacker.com"
    }
   ]
  }
...

Notifikasi ini menunjukkan bahwa nilai foo.attacker.com di header Referer penting dalam mencirikan serangan. Lebih khusus lagi, 60% traffic serangan (proportionInAttack) memiliki nilai Referer ini dan hanya 1% traffic dasar pengukuran di antara semua traffic (proportionInBaseline) yang memiliki nilai Referer yang sama. Selain itu, dari semua traffic yang cocok dengan nilai Referer ini, 95% adalah traffic serangan (attackLikelihood).

Nilai ini menunjukkan bahwa jika Anda memblokir semua permintaan dengan foo.attacker.com di kolom header Referer, Anda akan berhasil memblokir 60% serangan dan juga 1% traffic dasar pengukuran.

Properti matchType menentukan hubungan antara atribut dalam traffic serangan dan nilai signifikan. Nilainya dapat berupa MATCH_TYPE_CONTAINS atau MATCH_TYPE_EQUALS.

Tanda tangan berikutnya mencocokkan traffic dengan substring /api? di URI permintaan:

...
headerSignatures: [
  0: {
   name: "RequestUri"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_CONTAINS"
     proportionInAttack: 0.9
     proportionInBaseline: 0.01
     value: "/api?"
    }
   ]
  }
...

Men-deploy aturan yang disarankan

Notifikasi Perlindungan Adaptif juga memberikan aturan Google Cloud Armor yang disarankan yang dinyatakan dalam bahasa aturan kustom. Aturan ini dapat digunakan untuk membuat aturan dalam kebijakan keamanan Google Cloud Armor untuk mengurangi serangan. Selain tanda tangan, pemberitahuan ini menyertakan rasio traffic dasar pengukuran yang terpengaruh untuk membantu Anda mengevaluasi dampak pen-deployment aturan. Rasio traffic dasar yang terpengaruh adalah proyeksi proporsi traffic dasar yang cocok dengan tanda tangan serangan yang diidentifikasi oleh Adaptive Protection. Jika Anda tidak berlangganan Cloud Armor Enterprise, notifikasi dasar yang dikirim oleh Perlindungan Adaptif tidak menyertakan aturan Google Cloud Armor yang disarankan yang dapat Anda terapkan.

Anda dapat menemukan beberapa tanda tangan pemberitahuan serta rasio dasar pengukuran yang terpengaruh dalam pesan log yang dikirim ke Cloud Logging. Contoh berikut adalah payload JSON pemberitahuan contoh beserta label resource tempat Anda dapat memfilter log.

...
 jsonPayload: {
   alertId: "11275630857957031521"
   backendService: "test-service"
   confidence: 0.71828485
   headerSignatures: [

    0: {
     name: "RequestUri"
     significantValues: [
      0: {
       attackLikelihood: 0.88
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0.01
       value: "/"
      }
     ]
    }
    1: {
     name: "RegionCode"
     significantValues: [
      0: {
       attackLikelihood: 0.08
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.17
       proportionInBaseline: 0.28
       value: "US"
      }
      1: {
       attackLikelihood: 0.68
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.09
       proportionInBaseline: 0.01
       value: "DE"
      }
      2: {
       attackLikelihood: 0.74
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.05
       proportionInBaseline: 0
       value: "MD"
      }
     ]
    }
     2: {
     name: "UserAgent"
     significantValues: [
      0: {
       attackLikelihood: 0.92
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0
       value: "Unusual browser"
      }
      1: {
       attackLikelihood: 0.87
       proportionInAttack: 0.7
       proportionInBaseline: 0.1
       missing: true
      }
     ]
    }
   ]
   suggestedRule: [
    0: {
     action: "DENY"
     evaluation: {
       impactedAttackProportion: 0.95
       impactedBaselineProportion: 0.001
       impactedBaselinePolicyProportion: 0.001
     }
     expression: "evaluateAdaptiveProtection('11275630857957031521')"
    }
   ]
   ruleStatus: RULE_GENERATED
   attackSize: 5000
 }
 resource: {
    type: "network_security_policy",
    labels: {
      project_id: "your-project",
      policy_name: "your-security-policy-name"
    }
 },
}
}
...

Anda dapat men-deploy aturan yang disarankan dengan menyalin ekspresi CEL dari tanda tangan aturan dan menempelkan ekspresi ke dalam kondisi kecocokan aturan yang baru dibuat, atau dengan mengklik tombol Terapkan di dasbor Adaptive Protection di UI Google Cloud Armor.

Untuk men-deploy aturan, Anda membuat aturan baru dalam kebijakan keamanan Google Cloud Armor yang melindungi layanan backend yang ditargetkan dan diidentifikasi oleh pemberitahuan. Selanjutnya, selama konfigurasi aturan, salin dan tempel ekspresi CEL dari pemberitahuan ke kolom Match condition aturan dan tetapkan tindakan aturan ke deny. Pada contoh di atas, Anda menyalin ekspresi evaluateAdaptiveProtection('11275630857957031521') dari bagian suggestedRule notifikasi.

Sebaiknya Anda men-deploy aturan dalam mode pratinjau terlebih dahulu agar dapat mengevaluasi dampak aturan terhadap traffic produksi. Saat Anda melakukannya, Google Cloud Armor akan mencatat tindakan dan traffic terkait setiap kali aturan dipicu, tetapi tidak ada tindakan yang dilakukan pada traffic yang cocok.

Selain itu, jika kebijakan keamanan Anda dilampirkan ke beberapa layanan backend, perhatikan apakah efek aturan baru tersebut memiliki efek yang tidak diinginkan di salah satu layanan backend. Jika hal ini terjadi, konfigurasikan kebijakan keamanan baru untuk memitigasi efek yang tidak diinginkan, dan lampirkan ke layanan backend yang benar.

Sebaiknya tetapkan prioritas untuk aturan baru lebih tinggi daripada aturan apa pun dengan tindakan yang ditetapkan ke izinkan. Hal ini karena, untuk memiliki dampak yang diproyeksikan dan memiliki efek maksimal dalam memitigasi serangan, aturan harus di-deploy di posisi prioritas logis tertinggi untuk memastikan bahwa semua traffic yang cocok diblokir oleh aturan. Aturan dalam kebijakan keamanan Google Cloud Armor dievaluasi dalam urutan prioritas dengan evaluasi yang dihentikan setelah aturan pencocokan pertama dipicu dan tindakan aturan terkait dilakukan. Jika Anda perlu memberikan pengecualian untuk beberapa traffic atau klien tertentu dari aturan ini, aturan "izinkan" dapat dibuat dengan prioritas yang lebih tinggi, yaitu dengan nilai numerik yang lebih rendah. Untuk informasi selengkapnya tentang prioritas aturan, lihat Urutan evaluasi aturan.

Men-deploy aturan yang disarankan secara otomatis

Anda juga dapat mengonfigurasi Adaptive Protection untuk men-deploy aturan yang disarankan secara otomatis. Untuk mengaktifkan deployment aturan otomatis, Anda membuat aturan placeholder dengan prioritas dan tindakan pilihan Anda menggunakan ekspresi evaluateAdaptiveProtectionAutoDeploy() dalam kondisi kecocokan. Aturan ini dievaluasi menjadi true untuk permintaan yang diidentifikasi Adaptive Protection sebagai traffic serangan, dan Google Cloud Armor menerapkan tindakan tersebut ke permintaan serangan. Semua jenis tindakan Google Cloud Armor, seperti allow, deny, throttle, dan redirect didukung. Selain itu, Anda dapat menggunakan mode pratinjau untuk mencatat bahwa aturan dipicu, tanpa melakukan tindakan yang dikonfigurasi.

Jika Anda menggunakan proxy upstream seperti CDN pihak ketiga di depan Application Load Balancer eksternal, sebaiknya konfigurasikan kolom userIpRequestHeaders untuk menambahkan alamat IP penyedia (atau rentang alamat IP) ke daftar yang diizinkan. Tindakan ini mencegah Adaptive Protection salah mengidentifikasi alamat IP sumber proxy sebagai berpartisipasi dalam serangan. Sebagai gantinya, proxy melihat kolom yang dikonfigurasi pengguna untuk alamat IP sumber traffic sebelum tiba di proxy.

Untuk informasi selengkapnya tentang cara mengonfigurasi deployment aturan otomatis, lihat Men-deploy aturan yang disarankan Adaptive Protection secara otomatis.

Status aturan

Jika tidak ada aturan yang ditampilkan saat Anda mencoba men-deploy aturan yang disarankan, Anda dapat menggunakan kolom ruleStatus untuk menentukan penyebabnya.

 ]
ruleStatus: RULE_GENERATED
attackSize: 5000
}

Tabel berikut menjelaskan kemungkinan nilai kolom dan maknanya.

Status aturan	Deskripsi
RULE_GENERATED	Aturan yang dapat digunakan dibuat secara normal.
BASELINE_TOO_RECENT	Waktu tidak cukup untuk mengumpulkan traffic dasar pengukuran yang andal. Diperlukan waktu hingga satu jam untuk membuat aturan.
NO_SIGNIFICANT_VALUE_DETECTED	Tidak ada header yang memiliki nilai signifikan yang terkait dengan traffic serangan, sehingga tidak ada aturan yang dapat dibuat.
NO_USABLE_RULE_FOUND	Tidak ada aturan yang dapat digunakan yang dapat dibuat.
ERROR	Terjadi error yang tidak dapat ditentukan saat membuat aturan.

Memantau, memberikan masukan, dan melaporkan error peristiwa

Anda memerlukan izin berikut untuk melihat atau berinteraksi dengan dasbor Adaptive Protection.

compute.securityPolicies.list
compute.backendServices.list
logging.logEntries.list

Setelah mengaktifkan Adaptive Protection di kebijakan keamanan Google Cloud Armor, Anda dapat melihat halaman berikut di panel Network Security > Google Cloud Armor. Laporan ini menampilkan volume traffic dari waktu ke waktu untuk kebijakan keamanan dan layanan backend yang dipilih, serta durasi yang dipilih. Setiap kasus potensi serangan yang diberi tahu oleh Adaptive Protection akan dianotasi di grafik dan tercantum di bawah grafik. Saat Anda mengklik peristiwa serangan tertentu, jendela samping akan ditampilkan dengan tanda tangan serangan dan aturan yang disarankan ditampilkan dalam format tabel. Ini adalah informasi yang sama dengan yang ada di entri log Cloud Logging yang dijelaskan dalam spesifikasi entri Cloud Logging. Klik tombol Terapkan untuk menambahkan aturan yang disarankan ke kebijakan keamanan yang sama.

Dasbor Perlindungan Adaptif — Dasbor Adaptive Protection (klik untuk memperbesar)

Detail pemberitahuan Perlindungan Adaptif — Dasbor Adaptive Protection (klik untuk memperbesar)

Tidak semua temuan Adaptive Protection dianggap sebagai serangan, mengingat konteks unik dan faktor lingkungan layanan backend yang dilindungi. Jika Anda menentukan bahwa potensi serangan yang dijelaskan oleh pemberitahuan adalah perilaku normal atau yang dapat diterima, Anda dapat melaporkan error peristiwa untuk membantu melatih model Adaptive Protection. Di samping setiap peristiwa serangan yang tercantum di bawah grafik, ada tombol yang akan memunculkan jendela interaktif untuk memungkinkan Anda melaporkan error peristiwa dengan beberapa konteks opsional. Melaporkan error peristiwa membantu mengurangi kemungkinan error serupa di masa mendatang. Seiring waktu, hal ini akan meningkatkan akurasi Perlindungan Adaptif.

Pemantauan, pemberitahuan, dan logging

Telemetri Adaptive Protection dikirim ke Cloud Logging serta Security Command Center. Pesan log Adaptive Protection yang dikirim ke Cloud Logging dijelaskan di bagian sebelumnya dalam dokumen ini. Entri log dihasilkan setiap kali Adaptive Protection mendeteksi potensi serangan dan setiap entri berisi skor keyakinan yang menjelaskan seberapa yakin model bahwa traffic yang diamati bersifat anomali. Untuk menyesuaikan pemberitahuan, kebijakan pemberitahuan dapat dikonfigurasi di Cloud Logging untuk memicu pemberitahuan hanya jika pesan log Adaptive Protection memiliki skor keyakinan di atas nilai minimum yang ditentukan pengguna. Sebaiknya mulai dengan nilai minimum rendah, dengan kepercayaan > 0,5, untuk menghindari peringatan yang terlewat tentang potensi serangan. Batas keyakinan dalam kebijakan pemberitahuan dapat ditingkatkan dari waktu ke waktu jika pemberitahuan memiliki tingkat dasar pengukuran yang terpengaruh yang tidak dapat diterima.

Dasbor Security Command Center juga berisi temuan dari Adaptive Protection. Laporan ini terletak di kartu Google Cloud Armor pada kategori Serangan DDoS Aplikasi. Setiap temuan menyertakan detail layanan, keyakinan serangan, tanda tangan yang terkait dengan serangan, dan link ke pemberitahuan tertentu di dasbor Adaptive Protection. Screenshot berikut adalah contoh temuan upaya serangan DDoS aplikasi:

Penemuan serangan DDoS aplikasi. — **Temuan serangan DDoS aplikasi** (klik untuk memperbesar).

Spesifikasi entri Cloud Logging

Notifikasi Adaptive Protection yang dikirim ke Cloud Logging terdiri dari entri log yang berisi elemen berikut:

Keyakinan pemberitahuan: Keyakinan Perlindungan Adaptif bahwa peristiwa yang diamati adalah serangan.
Di-deploy secara otomatis: Boolean yang menunjukkan apakah pertahanan otomatis dipicu.
Tanda tangan serangan
- Nama atribut: Nama atribut yang cocok dengan Value di bawah, seperti nama header permintaan tertentu atau asal geografis.
- Nilai: Nilai yang cocok dengan atribut dalam traffic berbahaya.
- Jenis pencocokan: Hubungan antara Value dan atribut dalam traffic serangan. Nilainya sama dengan atau merupakan substring atribut dalam traffic serangan.
- Kemungkinan serangan: Kemungkinan permintaan tertentu bersifat berbahaya, mengingat atribut yang relevan dari permintaan ini cocok dengan Value.
- Proporsi dalam serangan: Persentase potensi traffic serangan yang cocok dengan Value.
- Proporsi dalam dasar pengukuran: Persentase traffic dasar pengukuran normal yang cocok dengan Value.
Aturan yang disarankan
- Kondisi pencocokan: Ekspresi yang akan digunakan dalam kondisi pencocokan aturan untuk mengidentifikasi traffic berbahaya.
- Rasio dasar pengukuran yang terpengaruh: Proyeksi persentase traffic yang baik ke layanan backend tertentu yang diserang dan ditangkap oleh aturan yang disarankan.
- Rasio dasar pengukuran yang terpengaruh di seluruh kebijakan: Proyeksi persentase traffic yang baik ke semua layanan backend dalam kebijakan keamanan yang sama yang ditangkap oleh aturan yang disarankan.
- Rasio serangan yang terpengaruh: Perkiraan persentase traffic serangan yang ditangkap oleh aturan yang disarankan.
Status aturan: Detail tambahan tentang pembuatan aturan.

Ringkasan dan privasi machine learning

Data pelatihan dan data deteksi
- Adaptive Protection membuat beberapa model untuk mendeteksi potensi serangan dan mengidentifikasi tanda tangannya. Sinyal yang digunakan oleh model ini untuk menentukan apakah serangan sedang berlangsung berasal dari metadata yang diamati dari traffic permintaan masuk dari project Anda. Metadata tersebut mencakup: alamat IP sumber, geografi sumber, dan nilai beberapa header permintaan HTTP.
- Fitur sebenarnya yang digunakan oleh model adalah properti statistik turunan dari sinyal yang disebutkan di atas. Artinya, data pelatihan untuk model tidak menyertakan nilai sebenarnya dari metadata apa pun, seperti alamat IP dan/atau nilai header permintaan.
- Kumpulan model deteksi umum, yang dilatih hanya dengan data buatan, dibagikan ke semua pelanggan, untuk menentukan apakah serangan sedang terjadi, saat Perlindungan Adaptif pertama kali diaktifkan. Setelah Anda melaporkan peristiwa serangan palsu dan model diperbarui menggunakan sinyal traffic khusus dari project Anda, model ini bersifat lokal untuk project Anda dan tidak digunakan untuk pelanggan lain.
Data pembuatan tanda tangan
- Setelah menentukan bahwa potensi serangan sedang terjadi, Adaptive Protection akan menghasilkan tanda tangan serangan yang efektif untuk membantu target memitigasi serangan dengan cepat. Untuk mencapai hal di atas, setelah Anda mengaktifkan Perlindungan Adaptif pada kebijakan keamanan, metrik traffic dan metadata permintaan ke layanan backend (terkait dengan kebijakan keamanan) akan terus dicatat untuk mempelajari karakteristik traffic dasar pengukuran.
- Karena Perlindungan Adaptif perlu mempelajari traffic dasar pengukuran, Perlindungan Adaptif mungkin memerlukan waktu hingga satu jam sebelum membuat aturan untuk mengurangi potensi serangan.