Pemantauan dan penyetelan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemantauan dan penyetelan

Bagian ini menjelaskan cara memantau dan menyetelAWS WAFperlindungan.

catatan

Untuk mengikuti petunjuk di bagian ini, Anda perlu memahami secara umum cara membuat dan mengelolaAWS WAFperlindungan seperti ACL web, aturan, dan grup aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

Pantau lalu lintas web dan kecocokan aturan untuk memverifikasi perilaku ACL web. Jika Anda menemukan masalah, sesuaikan aturan Anda untuk memperbaiki dan kemudian pantau untuk memverifikasi penyesuaian.

Ulangi prosedur berikut sampai ACL web mengelola lalu lintas web Anda sesuai kebutuhan Anda.

Untuk memantau dan menyetel

  1. Pantau kecocokan lalu lintas dan aturan

    Pastikan lalu lintas mengalir dan aturan pengujian Anda menemukan permintaan yang cocok.

    Cari informasi berikut untuk perlindungan yang Anda uji:

    • Beberapa catatan- Dalam log, aturan pengujian yang cocok dengan permintaan web muncul sebagai berikut:

      • Aturan di web ACL yang memilikiCounttindakan dicantumkan sebagainonTerminatingMatchingRules.

      • Kelompok aturan diidentifikasi dalamruleGroupIdBidang.

      • Aturan grup aturan yang telah Anda tetapkanCountmelalui konfigurasi ACL web Anda muncul sebagaiexcludedRulesdi dalamruleGroupList.

      • Label yang aturan telah diterapkan pada permintaan tercantum dalamLabelsBidang.

      Untuk informasi selengkapnya tentang mencatat konten, lihatBidang log.

    • Metrik- Metrik untuk aturan pengujian yang cocok dengan permintaan web muncul sebagai berikut:

      • Aturan di web ACL yang memilikiCounttindakan dicantumkan sebagaiCountmetrik untuk ACL web.

      • Untuk grup aturan Anda, aturan yang telah Anda tetapkanCountmelalui konfigurasi ACL web Anda tercantum di bawah metrik grup aturan.

        catatan

        AWS WAFtidak menghasilkan metrik untuk aturan yang dikonfigurasiCounttindakan dalam konfigurasi grup aturan. Ini hanya menghasilkan metrik untuk aturan yang Anda gantiCountmelalui konfigurasi ACL web Anda dari pernyataan referensi grup aturan.

      • Untuk grup aturan terkelola, aturan yang telah Anda tetapkanCountmelalui konfigurasi ACL web Anda tercantum di bawah metrik ACL web. Hanya pemilik grup aturan yang dapat melihat metrik grup aturan.

      Untuk informasi lebih lanjut tentang metrik, lihat Melihat metrik untuk ACL web Anda.

    • Permintaan web sampel- Permintaan sampel memberikan informasi untuk aturan pengujian yang cocok dengan permintaan web sebagai berikut:

      • Informasi sampel mengidentifikasi aturan yang cocok dengan nama metrik untuk aturan di web ACL. Untuk grup aturan, metrik mengidentifikasi pernyataan referensi grup aturan.

      • Untuk aturan di dalam grup aturan, sampel mencantumkan nama aturan yang cocokRuleWithinRuleGroup.

      Untuk lebih lanjut tentang permintaan sampel, lihatMelihat contoh permintaan web.

  2. Mengkonfigurasi mitigasi untuk mengatasi positif palsu

    Jika Anda menentukan bahwa aturan menghasilkan positif palsu, dengan mencocokkan permintaan web jika tidak seharusnya, opsi berikut dapat membantu Anda menyesuaikan perlindungan ACL web Anda untuk mengurangi.

    Kriteria pemeriksaan aturan

    Untuk aturan Anda sendiri, Anda sering hanya perlu menyesuaikan pengaturan yang Anda gunakan untuk memeriksa permintaan web. Contohnya termasuk mengubah spesifikasi dalam kumpulan pola regex, menyesuaikan transformasi teks yang Anda terapkan ke komponen permintaan sebelum diperiksa, atau beralih ke menggunakan alamat IP yang diteruskan. Lihat panduan untuk jenis aturan yang menyebabkan masalah, di bawahAWS WAFpernyataan aturan.

    Memperbaiki masalah yang lebih kompleks

    Untuk kriteria pemeriksaan yang tidak Anda kontrol dan untuk beberapa aturan kompleks, Anda mungkin perlu membuat perubahan lain, seperti menambahkan aturan yang secara eksplisit mengizinkan atau memblokir permintaan atau yang menghilangkan permintaan dari evaluasi berdasarkan aturan yang bermasalah. Kelompok aturan terkelola paling sering membutuhkan jenis mitigasi ini, tetapi aturan lain juga bisa. Contohnya termasuk pernyataan aturan berbasis tingkat dan pernyataan aturan serangan injeksi SQL.

    Apa yang Anda lakukan untuk mengurangi positif palsu bergantung pada kasus penggunaan Anda. Berikut ini adalah pendekatan umum:

    • Tambahkan aturan mitigasi- Tambahkan aturan yang berjalan sebelum aturan baru dan yang secara eksplisit mengizinkan permintaan yang menyebabkan positif palsu. Untuk informasi tentang urutan evaluasi aturan di ACL web, lihatMemproses urutan aturan dan kelompok aturan dalam ACL web.

      Dengan pendekatan ini, permintaan yang diizinkan dikirim ke sumber daya yang dilindungi, sehingga mereka tidak pernah mencapai aturan baru untuk evaluasi. Jika aturan baru adalah grup aturan terkelola berbayar, pendekatan ini juga dapat membantu menahan biaya penggunaan grup aturan.

    • Tambahkan aturan logis dengan aturan mitigasi- Gunakan pernyataan aturan logis untuk menggabungkan aturan baru dengan aturan yang mengecualikan positif palsu. Pernyataan aturan logis tercantum di bawahDaftar pernyataan aturan.

      Misalnya, Anda menambahkan pernyataan pencocokan serangan injeksi SQL yang menghasilkan positif palsu untuk kategori permintaan. Buat aturan yang cocok dengan permintaan tersebut, lalu gabungkan aturan menggunakan pernyataan aturan logis sehingga Anda hanya cocok dengan permintaan yang tidak sesuai dengan kriteria positif palsu dan cocok dengan kriteria serangan injeksi SQL.

    • Tambahkan pernyataan scope-down- Untuk pernyataan berbasis tingkat dan pernyataan referensi grup aturan terkelola, kecualikan permintaan yang menghasilkan positif palsu dari evaluasi dengan menambahkan pernyataan lingkup bawah di dalam pernyataan utama.

      Permintaan yang tidak cocok dengan pernyataan scope-down tidak pernah mencapai grup aturan atau evaluasi berbasis tarif. Untuk informasi tentang pernyataan scope-down, lihatPernyataan lingkup-down. Sebagai contoh, lihat Kecualikan rentang IP dari manajemen bot.

    • Menambahkan aturan pencocokan label- Untuk kelompok aturan yang menggunakan pelabelan, identifikasi label yang diterapkan aturan bermasalah pada permintaan. Tambahkan aturan pencocokan label, diposisikan untuk dijalankan setelah grup aturan, yang cocok dengan label yang diidentifikasi. Dalam aturan pencocokan label, Anda dapat memfilter permintaan yang ingin Anda izinkan dari permintaan yang ingin Anda blokir.

      Jika Anda menggunakan pendekatan ini, setelah selesai melakukan pengujian, pertahankan aturan bermasalah dalam mode hitungan di grup aturan, dan pertahankan aturan pencocokan label khusus Anda. Untuk informasi tentang pernyataan pencocokan label, lihatPernyataan aturan pencocokan label. Sebagai contoh, lihat Izinkan bot tertentu yang diblokir dan Contoh ATP: Penanganan khusus untuk kredensyal yang hilang dan dikompromikan.

    • Mengubah versi grup aturan terkelola- Untuk grup aturan terkelola berversi, ubah versi yang Anda gunakan. Misalnya, Anda dapat beralih kembali ke versi statis terakhir yang berhasil Anda gunakan.

      Ini biasanya merupakan perbaikan sementara. Anda dapat mengubah versi lalu lintas produksi saat Anda terus menguji versi terbaru di lingkungan pengujian atau pementasan, atau saat menunggu versi yang lebih kompatibel dari penyedia. Untuk informasi tentang versi grup aturan terkelola, lihatGrup aturan Terkelola.

Ketika Anda puas bahwa aturan baru cocok permintaan yang Anda butuhkan, pindah ke tahap berikutnya pengujian Anda dan ulangi prosedur ini. Tahap akhir pengujian dan penyetelan harus ada di lingkungan produksi Anda.