Pemantauan dan penyetelan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemantauan dan penyetelan

Bagian ini menjelaskan cara memantau dan menyetel AWS WAF perlindungan Anda.

catatan

Untuk mengikuti panduan di bagian ini, Anda perlu memahami secara umum cara membuat dan mengelola AWS WAF perlindungan seperti ACL web, aturan, dan grup aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

Pantau lalu lintas web dan kecocokan aturan untuk memverifikasi perilaku ACL web. Jika Anda menemukan masalah, sesuaikan aturan Anda untuk memperbaiki dan kemudian memantau untuk memverifikasi penyesuaian.

Ulangi prosedur berikut sampai ACL web mengelola lalu lintas web Anda sesuai kebutuhan.

Untuk memantau dan menyetel
  1. Pantau lalu lintas dan kecocokan aturan

    Pastikan lalu lintas mengalir dan aturan pengujian Anda menemukan permintaan yang cocok.

    Cari informasi berikut untuk perlindungan yang Anda uji:

    • Log — Mengakses informasi tentang aturan yang cocok dengan permintaan web:

      • Aturan Anda - Aturan di ACL web yang memiliki Count tindakan tercantum di bawahnonTerminatingMatchingRules. Aturan dengan Allow atau Block terdaftar sebagaiterminatingRule. Aturan dengan CAPTCHA atau Challenge dapat berupa penghentian atau non-penghentian, dan terdaftar di bawah salah satu dari dua kategori, sesuai dengan hasil pencocokan aturan.

      • Grup aturan - Grup aturan diidentifikasi di ruleGroupId lapangan, dengan kecocokan aturan mereka dikategorikan sama dengan aturan mandiri.

      • Label - Label yang aturan telah diterapkan pada permintaan tercantum di Labels bidang.

      Untuk informasi selengkapnya, lihat Bidang log.

    • CloudWatch Metrik Amazon — Anda dapat mengakses metrik berikut untuk evaluasi permintaan ACL web Anda.

      • Aturan Anda — Metrik dikelompokkan berdasarkan tindakan aturan. Misalnya, saat Anda menguji aturan dalam Count mode, kecocokannya terdaftar sebagai Count metrik untuk ACL web.

      • Grup aturan Anda — Metrik untuk grup aturan Anda tercantum di bawah metrik grup aturan.

      • Grup aturan yang dimiliki oleh akun lain — Metrik grup aturan umumnya hanya dapat dilihat oleh pemilik grup aturan. Namun, jika Anda mengganti tindakan aturan untuk aturan, metrik untuk aturan tersebut akan dicantumkan di bawah metrik ACL web Anda. Selain itu, label yang ditambahkan oleh grup aturan apa pun tercantum dalam metrik ACL web Anda

        Grup aturan dalam kategori ini adalahAWS Aturan Terkelola untuk AWS WAF,AWS Marketplace kelompok aturan terkelola,Grup aturan yang disediakan oleh layanan lain, dan grup aturan yang dibagikan dengan Anda oleh akun lain.

      • Label - Label yang ditambahkan ke permintaan web selama evaluasi tercantum dalam metrik label ACL web. Anda dapat mengakses metrik untuk semua label, terlepas dari apakah itu ditambahkan oleh aturan dan grup aturan Anda atau oleh aturan dalam grup aturan yang dimiliki akun lain.

      Untuk informasi selengkapnya, lihat Melihat metrik untuk ACL web Anda.

    • Dasbor ikhtisar lalu lintas ACL Web — Akses ringkasan lalu lintas web yang telah dievaluasi oleh ACL web dengan membuka halaman ACL web di AWS WAF konsol dan membuka tab ikhtisar Lalu lintas.

      Dasbor ikhtisar lalu lintas menyediakan ringkasan hampir real-time dari CloudWatch metrik Amazon yang AWS WAF dikumpulkan saat mengevaluasi lalu lintas web aplikasi Anda.

      Untuk informasi selengkapnya, lihat Dasbor ikhtisar lalu lintas ACL web.

    • Permintaan web sampel — Akses informasi untuk aturan yang cocok dengan pengambilan sampel permintaan web. Informasi sampel mengidentifikasi aturan yang cocok dengan nama metrik untuk aturan di ACL web. Untuk grup aturan, metrik mengidentifikasi pernyataan referensi grup aturan. Untuk aturan di dalam grup aturan, sampel mencantumkan nama aturan yang cocok diRuleWithinRuleGroup.

      Untuk informasi selengkapnya, lihat Melihat contoh permintaan web.

  2. Konfigurasikan mitigasi untuk mengatasi positif palsu

    Jika Anda menentukan bahwa aturan menghasilkan positif palsu, dengan mencocokkan permintaan web ketika seharusnya tidak, opsi berikut dapat membantu Anda menyetel perlindungan ACL web Anda untuk mengurangi.

    Mengoreksi kriteria inspeksi aturan

    Untuk aturan Anda sendiri, Anda sering hanya perlu menyesuaikan pengaturan yang Anda gunakan untuk memeriksa permintaan web. Contohnya termasuk mengubah spesifikasi dalam kumpulan pola regex, menyesuaikan transformasi teks yang Anda terapkan ke komponen permintaan sebelum pemeriksaan, atau beralih menggunakan alamat IP yang diteruskan. Lihat panduan untuk jenis aturan yang menyebabkan masalah, di bawahDasar-dasar pernyataan aturan.

    Memperbaiki masalah yang lebih kompleks

    Untuk kriteria inspeksi yang tidak Anda kendalikan dan untuk beberapa aturan kompleks, Anda mungkin perlu membuat perubahan lain, seperti menambahkan aturan yang secara eksplisit mengizinkan atau memblokir permintaan atau yang menghilangkan permintaan dari evaluasi oleh aturan bermasalah. Kelompok aturan terkelola paling sering membutuhkan jenis mitigasi ini, tetapi aturan lain juga bisa. Contohnya termasuk pernyataan aturan berbasis laju dan pernyataan aturan serangan injeksi SQL.

    Apa yang Anda lakukan untuk mengurangi positif palsu tergantung pada kasus penggunaan Anda. Berikut ini adalah pendekatan umum:

    • Tambahkan aturan mitigasi — Tambahkan aturan yang berjalan sebelum aturan baru dan yang secara eksplisit mengizinkan permintaan yang menyebabkan kesalahan positif. Untuk informasi tentang urutan evaluasi aturan di ACL web, lihatMemproses urutan aturan dan kelompok aturan dalam ACL web.

      Dengan pendekatan ini, permintaan yang diizinkan dikirim ke sumber daya yang dilindungi, sehingga mereka tidak pernah mencapai aturan baru untuk evaluasi. Jika aturan baru adalah grup aturan terkelola berbayar, pendekatan ini juga dapat membantu menahan biaya penggunaan grup aturan.

    • Tambahkan aturan logis dengan aturan mitigasi — Gunakan pernyataan aturan logis untuk menggabungkan aturan baru dengan aturan yang mengecualikan positif palsu. Untuk informasi, lihat Pernyataan aturan logis.

      Misalnya, Anda menambahkan pernyataan kecocokan serangan injeksi SQL yang menghasilkan positif palsu untuk kategori permintaan. Buat aturan yang cocok dengan permintaan tersebut, lalu gabungkan aturan menggunakan pernyataan aturan logis sehingga Anda hanya cocok pada permintaan yang keduanya tidak cocok dengan kriteria positif palsu dan cocok dengan kriteria serangan injeksi SQL.

    • Tambahkan pernyataan cakupan ke bawah — Untuk pernyataan berbasis tingkat dan pernyataan referensi grup aturan terkelola, kecualikan permintaan yang menghasilkan positif palsu dari evaluasi dengan menambahkan pernyataan cakupan ke bawah di dalam pernyataan utama.

      Permintaan yang tidak cocok dengan pernyataan scope-down tidak pernah mencapai kelompok aturan atau evaluasi berbasis tarif. Untuk informasi tentang pernyataan cakupan bawah, lihat. Pernyataan cakupan ke bawah Sebagai contoh, lihat Kecualikan rentang IP dari manajemen bot.

    • Tambahkan aturan pencocokan label — Untuk grup aturan yang menggunakan pelabelan, identifikasi label yang diterapkan aturan bermasalah pada permintaan. Anda mungkin perlu mengatur aturan grup aturan dalam mode hitung terlebih dahulu, jika Anda belum melakukannya. Tambahkan aturan pencocokan label, diposisikan untuk dijalankan setelah grup aturan, yang cocok dengan label yang ditambahkan oleh aturan bermasalah. Dalam aturan pencocokan label, Anda dapat memfilter permintaan yang ingin Anda izinkan dari permintaan yang ingin Anda blokir.

      Jika Anda menggunakan pendekatan ini, saat Anda selesai menguji, pertahankan aturan bermasalah dalam mode hitungan di grup aturan, dan pertahankan aturan pencocokan label kustom Anda. Untuk informasi tentang pernyataan pencocokan label, lihatPernyataan aturan pencocokan label. Sebagai contoh, lihat Izinkan bot tertentu yang diblokir dan Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan.

    • Mengubah versi grup aturan terkelola — Untuk grup aturan terkelola berversi, ubah versi yang Anda gunakan. Misalnya, Anda dapat beralih kembali ke versi statis terakhir yang berhasil Anda gunakan.

      Ini biasanya perbaikan sementara. Anda dapat mengubah versi untuk lalu lintas produksi saat melanjutkan pengujian versi terbaru di lingkungan pengujian atau pementasan, atau saat Anda menunggu versi yang lebih kompatibel dari penyedia. Untuk informasi tentang versi grup aturan terkelola, lihatGrup aturan terkelola.

Ketika Anda puas bahwa aturan baru cocok dengan permintaan yang Anda butuhkan, lanjutkan ke tahap pengujian berikutnya dan ulangi prosedur ini. Lakukan tahap akhir pengujian dan penyetelan di lingkungan produksi Anda.