Surveillance et réglage - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance et réglage

Cette section explique comment surveiller et régler vos AWS WAF protections.

Note

Pour suivre les instructions de cette section, vous devez comprendre de manière générale comment créer et gérer des AWS WAF protections telles que les ACL Web, les règles et les groupes de règles. Ces informations sont abordées dans les sections précédentes de ce guide.

Surveillez le trafic Web et les correspondances de règles pour vérifier le comportement de l'ACL Web. Si vous rencontrez des problèmes, ajustez vos règles pour les corriger, puis surveillez pour vérifier les ajustements.

Répétez la procédure suivante jusqu'à ce que l'ACL Web gère votre trafic Web comme vous en avez besoin.

Pour surveiller et régler
  1. Surveillez le trafic et respectez les règles

    Assurez-vous que le trafic circule et que vos règles de test trouvent les demandes correspondantes.

    Consultez les informations suivantes concernant les protections que vous testez :

    • Journaux : accédez aux informations relatives aux règles qui correspondent à une requête Web :

      • Vos règles : les règles de l'ACL Web qui ont une Count action sont répertoriées ci-dessousnonTerminatingMatchingRules. Les règles avec Allow ou Block sont répertoriées sous la formeterminatingRule. Les règles avec CAPTCHA ou Challenge peuvent être résilientes ou non, et sont donc répertoriées dans l'une des deux catégories, en fonction du résultat de la correspondance des règles.

      • Groupes de règles : les groupes de règles sont identifiés ruleGroupId sur le terrain et leurs correspondances sont classées de la même manière que pour les règles autonomes.

      • Étiquettes : les étiquettes que les règles ont appliquées à la demande sont répertoriées dans le Labels champ.

      Pour plus d’informations, consultez Champs de journal.

    • CloudWatch Métriques Amazon — Vous pouvez accéder aux statistiques suivantes pour évaluer votre demande ACL Web.

      • Vos règles : les métriques sont regroupées en fonction de l'action de la règle. Par exemple, lorsque vous testez une règle en Count mode, ses correspondances sont répertoriées sous forme de Count métriques pour l'ACL Web.

      • Vos groupes de règles : les statistiques de vos groupes de règles sont répertoriées sous les métriques des groupes de règles.

      • Groupes de règles appartenant à un autre compte : les statistiques des groupes de règles ne sont généralement visibles que par le propriétaire du groupe de règles. Toutefois, si vous annulez l'action d'une règle, les mesures associées à cette règle seront répertoriées sous les mesures de votre ACL Web. En outre, les étiquettes ajoutées par n'importe quel groupe de règles sont répertoriées dans vos métriques ACL Web

        Les groupes de règles de cette catégorie sont les groupes de règles AWS Règles gérées pour AWS WAF AWS Marketplace groupes de règles gérésGroupes de règles fournis par d'autres services,, et les groupes de règles partagés avec vous par un autre compte.

      • Étiquettes : les étiquettes qui ont été ajoutées à une demande Web lors de l'évaluation sont répertoriées dans les métriques des étiquettes ACL Web. Vous pouvez accéder aux statistiques de toutes les étiquettes, qu'elles aient été ajoutées par vos règles et groupes de règles ou par les règles d'un groupe de règles appartenant à un autre compte.

      Pour plus d’informations, consultez Affichage des métriques pour votre ACL Web.

    • Tableaux de bord d'aperçu du trafic Web ACL : accédez aux résumés du trafic Web évalué par une ACL Web en accédant à la page de l'ACL Web dans la AWS WAF console et en ouvrant l'onglet Aperçu du trafic.

      Les tableaux de bord d'aperçu du trafic fournissent des résumés en temps quasi réel des CloudWatch métriques AWS WAF collectées par Amazon lors de l'évaluation du trafic Web de votre application.

      Pour plus d’informations, consultez Tableaux de bord de présentation du trafic Web ACL.

    • Demandes Web échantillonnées : accédez aux informations relatives aux règles qui correspondent à un échantillon de requêtes Web. Les exemples d'informations identifient les règles correspondantes par le nom de métrique de la règle dans l'ACL Web. Pour les groupes de règles, la métrique identifie l'énoncé de référence du groupe de règles. Pour les règles au sein de groupes de règles, l'exemple répertorie le nom de règle correspondant dansRuleWithinRuleGroup.

      Pour plus d’informations, consultez Affichage d'un exemple de demandes web.

  2. Configurer les mesures d'atténuation pour corriger les faux positifs

    Si vous déterminez qu'une règle génère des faux positifs, en faisant correspondre les requêtes Web alors qu'elle ne le devrait pas, les options suivantes peuvent vous aider à ajuster vos protections ACL Web afin de les atténuer.

    Corriger les critères d'inspection des règles

    Pour vos propres règles, il vous suffit souvent d'ajuster les paramètres que vous utilisez pour inspecter les requêtes Web. Les exemples incluent la modification des spécifications d'un ensemble de modèles regex, l'ajustement des transformations de texte que vous appliquez à un composant de demande avant l'inspection ou le passage à l'utilisation d'une adresse IP transférée. Consultez les instructions relatives au type de règle à l'origine des problèmes, sousNotions de base sur les énoncés.

    Corriger des problèmes plus complexes

    Pour les critères d'inspection que vous ne contrôlez pas et pour certaines règles complexes, vous devrez peut-être apporter d'autres modifications, par exemple en ajoutant des règles qui autorisent ou bloquent explicitement les demandes ou qui éliminent les demandes de l'évaluation par la règle problématique. Les groupes de règles gérés ont le plus souvent besoin de ce type d'atténuation, mais d'autres règles le peuvent également. Les exemples incluent l'instruction de règle basée sur le débit et l'instruction de règle d'attaque par injection SQL.

    Les mesures à prendre pour atténuer les faux positifs dépendent de votre cas d'utilisation. Les approches les plus courantes sont les suivantes :

    • Ajouter une règle atténuante : ajoutez une règle qui s'exécute avant la nouvelle règle et qui autorise explicitement les demandes qui génèrent des faux positifs. Pour plus d'informations sur l'ordre d'évaluation des règles dans une ACL Web, consultezOrdre de traitement des règles et des groupes de règles dans une ACL Web.

      Avec cette approche, les demandes autorisées sont envoyées à la ressource protégée, de sorte qu'elles n'atteignent jamais la nouvelle règle d'évaluation. Si la nouvelle règle est un groupe de règles géré payant, cette approche peut également contribuer à limiter le coût d'utilisation du groupe de règles.

    • Ajouter une règle logique avec une règle atténuante : utilisez des instructions de règle logique pour combiner la nouvelle règle avec une règle qui exclut les faux positifs. Pour plus d’informations, consultez Déclarations de règles logiques.

      Supposons, par exemple, que vous ajoutiez une instruction SQL Attack Match qui génère des faux positifs pour une catégorie de requêtes. Créez une règle qui correspond à ces demandes, puis combinez les règles à l'aide d'instructions de règles logiques afin de ne faire correspondre que les demandes qui ne répondent pas aux critères des faux positifs et qui répondent aux critères des attaques par injection SQL.

    • Ajouter une instruction de portée réduite : pour les instructions basées sur le taux et les instructions de référence à des groupes de règles gérés, excluez les demandes qui génèrent des faux positifs de l'évaluation en ajoutant une instruction de portée réduite dans l'instruction principale.

      Une demande qui ne correspond pas à l'instruction scope-down n'atteint jamais le groupe de règles ou l'évaluation basée sur le taux. Pour plus d'informations sur les instructions de portée réduite, consultez. Déclarations de portée réduite Pour obtenir un exemple, consultez Exclure la plage d'adresses IP de la gestion des robots.

    • Ajouter une règle de correspondance des libellés : pour les groupes de règles qui utilisent l'étiquetage, identifiez l'étiquette que la règle problématique applique aux demandes. Vous devrez peut-être d'abord définir les règles du groupe de règles en mode décompte, si ce n'est déjà fait. Ajoutez une règle de correspondance des libellés, positionnée pour s'exécuter après le groupe de règles, qui correspond à l'étiquette ajoutée par la règle problématique. Dans la règle de correspondance des libellés, vous pouvez filtrer les demandes que vous souhaitez autoriser de celles que vous souhaitez bloquer.

      Si vous utilisez cette approche, lorsque vous aurez terminé le test, conservez la règle problématique en mode décompte dans le groupe de règles et maintenez votre règle de correspondance d'étiquettes personnalisée en place. Pour plus d'informations sur les déclarations de correspondance des étiquettes, voirDéclaration relative à la règle de correspondance des étiquettes. Pour obtenir des exemples, veuillez consulter Autoriser un bot bloqué spécifique et Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises.

    • Modifier la version d'un groupe de règles géré : pour les groupes de règles gérés versionnés, modifiez la version que vous utilisez. Par exemple, vous pouvez revenir à la dernière version statique que vous avez utilisée avec succès.

      Il s'agit généralement d'une solution temporaire. Vous pouvez modifier la version pour votre trafic de production pendant que vous continuez à tester la dernière version dans votre environnement de test ou de préparation, ou pendant que vous attendez une version plus compatible de la part du fournisseur. Pour plus d'informations sur les versions des groupes de règles gérés, consultezGroupes de règles gérés.

Lorsque vous êtes certain que les nouvelles règles correspondent aux demandes comme vous le souhaitez, passez à l'étape suivante de vos tests et répétez cette procédure. Effectuez la dernière étape de test et de réglage dans votre environnement de production.