**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**Nota**  
A partire dal 26 marzo 2026, l'DDoAnti-S Managed Rule Group (anti-DDoS AMR) for AWS WAF diventerà la soluzione predefinita per la protezione dagli attacchi HTTP Request Flood (vedi il blog di lancio di [DDoAnti-S](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) AMR). Sostituisce la funzionalità Layer 7 Auto Mitigation (L7AM). Se sei già cliente Shield Advanced, puoi continuare a utilizzare la soluzione precedente con AWS account esistenti o nuovi. Tuttavia, ti invitiamo ad adottare l'DDoAnti-S Managed Rule Group. L'Anti- DDo S Managed Rule Group rileva e mitiga gli attacchi in pochi secondi anziché in minuti. Se sei un nuovo cliente Shield Advanced e hai bisogno di accedere alla soluzione precedente, contatta il AWS supporto.

Questa pagina introduce l'argomento della mitigazione automatica del livello DDo S delle applicazioni ed elenca le avvertenze associate.

È possibile configurare Shield Advanced in modo che risponda automaticamente per mitigare gli attacchi a livello applicativo (livello 7) contro le risorse protette del livello applicativo, contando o bloccando le richieste Web che fanno parte dell'attacco. Questa opzione è un'aggiunta alla protezione a livello di applicazione aggiunta tramite Shield Advanced con un ACL AWS WAF Web e una regola basata sulla tariffa personalizzata. 

Quando la mitigazione automatica è abilitata per una risorsa, Shield Advanced mantiene un gruppo di regole nell'ACL web associato alla risorsa dove gestisce le regole di mitigazione per conto della risorsa. Il gruppo di regole contiene una regola basata sulla frequenza che tiene traccia del volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi S. DDo 

Inoltre, Shield Advanced confronta i modelli di traffico attuali con le linee di base del traffico storico per rilevare deviazioni che potrebbero indicare un attacco S. DDo Shield Advanced risponde agli attacchi DDo S rilevati creando, valutando e implementando AWS WAF regole personalizzate aggiuntive nel gruppo di regole. 

## Avvertenze relative all'utilizzo della mitigazione automatica del livello di applicazione S DDo
<a name="ddos-automatic-app-layer-response-caveats"></a>

L'elenco seguente descrive gli avvertimenti della mitigazione automatica del livello DDo S di applicazione Shield Advanced e descrive i passaggi che potresti voler intraprendere in risposta.
+ La mitigazione automatica del livello di applicazione DDo S funziona solo con i pacchetti di protezione (web ACLs) creati utilizzando l'ultima versione di AWS WAF (v2). 
+ Shield Advanced richiede tempo per stabilire una base del traffico normale e storico dell'applicazione, che sfrutta per rilevare e isolare il traffico di attacco dal traffico normale e mitigare il traffico di attacco. Il tempo necessario per stabilire una linea di base è compreso tra 24 ore e 30 giorni dal momento in cui si associa un ACL Web alla risorsa applicativa protetta. Per ulteriori informazioni sulle linee di base del traffico, vedere. [Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ L'abilitazione della mitigazione automatica del livello di applicazione DDo S aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità Web ACL (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).
+ Il gruppo di regole Shield Advanced genera AWS WAF metriche, ma non sono disponibili per la visualizzazione. È lo stesso di qualsiasi altro gruppo di regole che utilizzi nel tuo pacchetto di protezione (ACL web) ma che non possiedi, come i gruppi di regole AWS Managed Rules. Per ulteriori informazioni sulle AWS WAF metriche, consulta. [AWS WAF metriche e dimensioni](waf-metrics.md) Per informazioni su questa opzione di protezione Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](#ddos-automatic-app-layer-response). 
+ Per i siti Web ACLs che proteggono più risorse, la mitigazione automatica implementa solo mitigazioni personalizzate che non hanno un impatto negativo su nessuna delle risorse protette. 
+ Il tempo che intercorre tra l'inizio di un attacco DDo S e il momento in cui Shield Advanced imposta regole di mitigazione automatiche personalizzate varia a seconda dell'evento. Alcuni attacchi DDo S potrebbero terminare prima dell'implementazione delle regole personalizzate. Altri attacchi potrebbero verificarsi quando è già in atto una mitigazione e quindi potrebbero essere mitigati da tali regole sin dall'inizio dell'evento. Inoltre, le regole basate sulla frequenza nel gruppo di regole Web ACL e Shield Advanced potrebbero mitigare il traffico di attacco prima che venga rilevato come un possibile evento. 
+ Per gli Application Load Balancer che ricevono traffico attraverso una rete di distribuzione dei contenuti (CDN), come Amazon CloudFront, le funzionalità di mitigazione automatica a livello di applicazione di Shield Advanced per tali risorse di Application Load Balancer saranno ridotte. Shield Advanced utilizza gli attributi del traffico client per identificare e isolare il traffico di attacco dal traffico normale verso l'applicazione e CDNs potrebbe non conservare o inoltrare gli attributi originali del traffico client. Se lo utilizzi CloudFront, ti consigliamo di abilitare la mitigazione automatica sulla CloudFront distribuzione.
+ La mitigazione automatica del livello di applicazione DDo S non interagisce con i gruppi di protezione. È possibile abilitare la mitigazione automatica per le risorse che si trovano nei gruppi di protezione, ma Shield Advanced non applica automaticamente le mitigazioni degli attacchi in base ai risultati dei gruppi di protezione. Shield Advanced applica mitigazioni automatiche degli attacchi per le singole risorse.

**Contents**
+ [Avvertenze relative all'utilizzo della mitigazione automatica del livello di applicazione S DDo](#ddos-automatic-app-layer-response-caveats)
+ [Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-bp.md)
+ [Abilitazione della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-config.md)
  + [Cosa succede quando si abilita la mitigazione automatica](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md)
  + [In che modo Shield Advanced risponde agli attacchi DDo S con la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Cosa succede quando si disabilita la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md)
+ [Visualizzazione della configurazione di mitigazione automatica del livello di applicazione DDo S per una risorsa](view-automatic-app-layer-response-configuration.md)
+ [Abilitazione e disabilitazione della mitigazione automatica del livello DDo S delle applicazioni](enable-disable-automatic-app-layer-response.md)
+ [Modifica dell'azione utilizzata per la mitigazione automatica del livello DDo S dell'applicazione](change-action-of-automatic-app-layer-response.md)
+ [Utilizzo AWS CloudFormation con mitigazione automatica del livello DDo S dell'applicazione](manage-automatic-mitigation-in-cfn.md)

# Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni
<a name="ddos-automatic-app-layer-response-bp"></a>

Attenetevi alle indicazioni fornite in questa sezione quando utilizzate la mitigazione automatica.

**Gestione generale delle protezioni**  
Segui queste linee guida per pianificare e implementare le protezioni automatiche di mitigazione.
+ Gestisci tutte le tue protezioni automatiche di mitigazione tramite Shield Advanced o, se utilizzi AWS Firewall Manager per gestire le impostazioni di mitigazione automatica Shield Advanced, tramite Firewall Manager. Non mischiate l'uso di Shield Advanced e Firewall Manager per gestire queste protezioni.
+ Gestisci risorse simili utilizzando le stesse impostazioni web ACLs e di protezione e gestisci risorse diverse utilizzando siti Web diversi. ACLs Quando Shield Advanced mitiga un attacco DDo S su una risorsa protetta, definisce le regole per l'ACL Web associato alla risorsa e quindi verifica le regole rispetto al traffico di tutte le risorse associate all'ACL Web. Shield Advanced applicherà le regole solo se non hanno un impatto negativo su nessuna delle risorse associate. Per ulteriori informazioni, consulta [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md).
+ Per gli Application Load Balancer che hanno tutto il traffico Internet inoltrato tramite proxy tramite una CloudFront distribuzione Amazon, abilita solo la mitigazione automatica sulla distribuzione. CloudFront La CloudFront distribuzione avrà sempre il maggior numero di attributi di traffico originali, che Shield Advanced sfrutta per mitigare gli attacchi. 

**Ottimizzazione del rilevamento e della mitigazione**  
Segui queste linee guida per ottimizzare le protezioni che la mitigazione automatica fornisce alle risorse protette. Per una panoramica del rilevamento e della mitigazione a livello di applicazione, vedere. [Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Configura i controlli di integrità per le tue risorse protette e usali per abilitare il rilevamento basato sullo stato nelle tue protezioni Shield Advanced. Per le linee guida, consulta [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).
+ Abilita la mitigazione automatica in Count modalità fino a quando Shield Advanced non ha stabilito una linea di base per il traffico normale e storico. Shield Advanced richiede da 24 ore a 30 giorni per stabilire una linea di base. 

  La definizione di una linea di base dei normali modelli di traffico richiede quanto segue: 
  + L'associazione di un ACL web con la risorsa protetta. È possibile utilizzare AWS WAF direttamente per associare l'ACL Web oppure fare in modo che Shield Advanced lo associ quando si abilita la protezione a livello di applicazione Shield Advanced e si specifica un ACL Web da utilizzare. 
  + Flusso di traffico normale verso l'applicazione protetta. Se l'applicazione non riceve traffico normale, ad esempio prima del lancio dell'applicazione o se manca traffico di produzione per lunghi periodi di tempo, i dati storici non possono essere raccolti.

**Gestione Web ACL**  
Segui queste linee guida per gestire il Web ACLs che utilizzi con mitigazione automatica.
+ Se devi sostituire l'ACL web associato alla risorsa protetta, apporta le seguenti modifiche nell'ordine: 

  1. In Shield Advanced, disabilita la mitigazione automatica. 

  1. In AWS WAF, dissocia il vecchio ACL web e associa il nuovo ACL web. 

  1. In Shield Advanced, abilita la mitigazione automatica. 

  Shield Advanced non trasferisce automaticamente la mitigazione automatica dal vecchio ACL web a quello nuovo. 
+ Non eliminate dal Web alcuna regola del gruppo di regole il ACLs cui nome inizia con. `ShieldMitigationRuleGroup` Se elimini questo gruppo di regole, disabiliti le protezioni fornite dalla mitigazione automatica Shield Advanced per ogni risorsa associata all'ACL web. Inoltre, Shield Advanced potrebbe impiegare del tempo per ricevere la notifica della modifica e aggiornare le impostazioni. Durante questo periodo, le pagine della console Shield Advanced forniranno informazioni errate. 

  Per ulteriori informazioni sul gruppo di regole, vedere[Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Non modificare il nome di una regola del gruppo di regole il cui nome inizia con`ShieldMitigationRuleGroup`. Ciò può interferire con le protezioni fornite dalla mitigazione automatica Shield Advanced tramite l'ACL web. 
+ Quando crei regole e gruppi di regole, non utilizzare nomi che iniziano con. `ShieldMitigationRuleGroup` Questa stringa viene utilizzata da Shield Advanced per gestire le mitigazioni automatiche. 
+ Nella gestione delle regole ACL Web, non assegnate un'impostazione di priorità di 10.000.000. Shield Advanced assegna questa impostazione di priorità alla regola del gruppo di regole di mitigazione automatica quando la aggiunge. 
+ Mantieni la `ShieldMitigationRuleGroup` regola prioritaria in modo che venga eseguita quando vuoi rispetto alle altre regole del tuo ACL web. Shield Advanced aggiunge la regola del gruppo di regole all'ACL Web con priorità 10.000.000, da eseguire dopo le altre regole. Se utilizzi la procedura guidata della AWS WAF console per gestire l'ACL Web, modifica le impostazioni di priorità in base alle esigenze dopo aver aggiunto le regole all'ACL Web. 
+ Se utilizzi AWS CloudFormation per gestire il tuo Web ACLs, non è necessario gestire la `ShieldMitigationRuleGroup` regola del gruppo di regole. Segui le istruzioni riportate all'indirizzo[Utilizzo AWS CloudFormation con mitigazione automatica del livello DDo S dell'applicazione](manage-automatic-mitigation-in-cfn.md).

# Abilitazione della mitigazione automatica del livello DDo S delle applicazioni
<a name="ddos-automatic-app-layer-response-config"></a>

Questa pagina spiega come configurare Shield Advanced per rispondere automaticamente agli attacchi a livello di applicazione.

Abilita la mitigazione automatica Shield Advanced come parte delle protezioni del livello di applicazione DDo S per la tua risorsa. Per informazioni su come eseguire questa operazione tramite la console, consulta. [Configura le protezioni del livello DDo S dell'applicazione](manage-protection.md#configure-app-layer-protection)

La funzionalità di mitigazione automatica richiede le seguenti operazioni:
+ **Associa un ACL Web alla risorsa**: è necessario per qualsiasi protezione a livello di applicazione Shield Advanced. È possibile utilizzare lo stesso ACL Web per più risorse. Ti consigliamo di eseguire questa operazione solo per risorse con traffico simile. Per informazioni sul WebACLs, inclusi i requisiti per utilizzarlo con più risorse, consulta[Come AWS WAF funziona](how-aws-waf-works.md).
+ **Abilita e configura la mitigazione automatica del livello di applicazione DDo S di Shield Advanced**: quando abiliti questa opzione, specifichi se desideri che Shield Advanced blocchi o conti automaticamente le richieste web che ritiene facciano parte di un attacco DDo S. Shield Advanced aggiunge un gruppo di regole all'ACL Web associato e lo utilizza per gestire dinamicamente la risposta agli attacchi DDo S alla risorsa. Per informazioni sulle opzioni di azione delle regole, vedere. [Utilizzo delle azioni delle regole in AWS WAF](waf-rule-action.md)
+ **(Facoltativo, ma consigliato) Aggiungi una regola basata sulla frequenza all'ACL Web**: per impostazione predefinita, la regola basata sulla frequenza fornisce alla risorsa una protezione di base contro gli attacchi DDo S impedendo a un singolo indirizzo IP di inviare troppe richieste in breve tempo. Per informazioni sulle regole basate sulla tariffa, incluse opzioni ed esempi di aggregazione delle richieste personalizzate, consulta. [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md)

## Cosa succede quando si abilita la mitigazione automatica
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced esegue le seguenti operazioni quando si abilita la mitigazione automatica: 
+ Se **necessario, aggiunge un gruppo di regole per l'uso di Shield Advanced**: se l'ACL AWS WAF Web associato alla risorsa non dispone già di una AWS WAF regola del gruppo di regole dedicata alla mitigazione automatica del livello DDo S dell'applicazione, Shield Advanced ne aggiunge una. 

  Il nome della regola del gruppo di regole inizia con. `ShieldMitigationRuleGroup` Il gruppo di regole contiene sempre una regola basata sulla frequenza denominata`ShieldKnownOffenderIPRateBasedRule`, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDo S. Per ulteriori dettagli sul gruppo di regole Shield Advanced e sulla regola Web ACL che vi fa riferimento, vedere[Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Inizia a rispondere agli attacchi DDo S contro la risorsa**: Shield Advanced risponde automaticamente agli attacchi DDo S per la risorsa protetta. Oltre alla regola basata sulla frequenza, che è sempre presente, Shield Advanced utilizza il proprio gruppo di regole per implementare AWS WAF regole personalizzate per la mitigazione DDo degli attacchi S. Shield Advanced adatta queste regole alla tua applicazione e agli attacchi che subisce la tua applicazione e le testa rispetto al traffico storico della risorsa prima di implementarle. 

Shield Advanced utilizza una singola regola del gruppo di regole in qualsiasi ACL Web utilizzato per la mitigazione automatica. Se Shield Advanced ha già aggiunto il gruppo di regole per un'altra risorsa protetta, non aggiunge un altro gruppo di regole all'ACL Web. 

La mitigazione automatica del livello di applicazione DDo S dipende dalla presenza del gruppo di regole per mitigare gli attacchi. Se il gruppo di regole viene rimosso dall'ACL AWS WAF Web per qualsiasi motivo, la rimozione disabilita la mitigazione automatica per tutte le risorse associate all'ACL Web.

# Come Shield Advanced gestisce la mitigazione automatica
<a name="ddos-automatic-app-layer-response-behavior"></a>

Gli argomenti di questa sezione descrivono come Shield Advanced gestisce le modifiche alla configurazione per la mitigazione automatica del livello di applicazione DDo S e come gestisce gli attacchi DDo S quando la mitigazione automatica è abilitata. 

**Topics**
+ [In che modo Shield Advanced risponde agli attacchi DDo S con la mitigazione automatica](#ddos-automatic-app-layer-response-ddos-attack)
+ [In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole](#ddos-automatic-app-layer-response-rule-action)
+ [In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua](#ddos-automatic-app-layer-response-after-attack)
+ [Cosa succede quando si disabilita la mitigazione automatica](#ddos-automatic-app-layer-response-disable)

## In che modo Shield Advanced risponde agli attacchi DDo S con la mitigazione automatica
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Quando la mitigazione automatica è abilitata su una risorsa protetta, la regola `ShieldKnownOffenderIPRateBasedRule` basata sulla tariffa nel gruppo di regole Shield Advanced risponde automaticamente ai volumi di traffico elevati provenienti da fonti S note. DDo Questa limitazione della velocità viene applicata rapidamente e funge da difesa in prima linea contro gli attacchi. 

Quando Shield Advanced rileva un attacco, esegue le seguenti operazioni:

1. Tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. L'obiettivo è produrre regole di mitigazione DDo S di alta qualità che, se applicate, influiscano solo sul traffico di attacco e non influiscano sul normale traffico verso l'applicazione.

1. Valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa sotto attacco e per qualsiasi altra risorsa associata allo stesso ACL web. Shield Advanced esegue questa operazione prima di implementare qualsiasi regola in risposta all'evento. 

   A seconda dei risultati della valutazione, Shield Advanced esegue una delle seguenti operazioni: 
   + Se Shield Advanced determina che la firma di attacco isola solo il traffico coinvolto nell'attacco DDo S, implementa la firma nelle AWS WAF regole del gruppo di regole di mitigazione Shield Advanced nell'ACL web. Shield Advanced fornisce a queste regole l'impostazione di azione che hai configurato per la mitigazione automatica della risorsa, Count oppureBlock.
   + Altrimenti, Shield Advanced non prevede alcuna mitigazione.

Durante un attacco, Shield Advanced invia le stesse notifiche e fornisce le stesse informazioni sugli eventi delle protezioni di base a livello di applicazione Shield Advanced. Puoi visualizzare le informazioni sugli eventi e sugli attacchi DDo S e su qualsiasi mitigazione degli attacchi Shield Advanced nella console degli eventi Shield Advanced. Per informazioni, consulta [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md). 

Se hai configurato la mitigazione automatica per utilizzare l'azione della Block regola e riscontri falsi positivi nelle regole di mitigazione implementate da Shield Advanced, puoi modificare l'azione della regola in. Count Per informazioni su come eseguire questa operazione, consulta. [Modifica dell'azione utilizzata per la mitigazione automatica del livello DDo S dell'applicazione](change-action-of-automatic-app-layer-response.md) 

## In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Puoi impostare l'azione della regola per le tue mitigazioni automatiche su Block o. Count 

Quando si modifica l'impostazione dell'azione automatica delle regole di mitigazione per una risorsa protetta, Shield Advanced aggiorna tutte le impostazioni delle regole per la risorsa. Aggiorna tutte le regole attualmente in vigore per la risorsa nel gruppo di regole Shield Advanced e utilizza la nuova impostazione di azione quando crea nuove regole. 

Per le risorse che utilizzano lo stesso ACL Web, se si specificano azioni diverse, Shield Advanced utilizza l'impostazione dell'Blockazione per la regola basata sulla frequenza del gruppo di regole. `ShieldKnownOffenderIPRateBasedRule` Shield Advanced crea e gestisce altre regole nel gruppo di regole per conto di una specifica risorsa protetta e utilizza l'impostazione di azione specificata per la risorsa. Tutte le regole del gruppo di regole Shield Advanced in un ACL Web vengono applicate al traffico Web di tutte le risorse associate. 

La propagazione della modifica dell'impostazione dell'azione può richiedere alcuni secondi. Durante questo periodo, potresti vedere la vecchia impostazione in alcuni punti in cui è in uso il gruppo di regole e la nuova impostazione in altri. 

È possibile modificare l'impostazione dell'azione delle regole per la configurazione di mitigazione automatica nella pagina degli eventi della console e tramite la pagina di configurazione del livello di applicazione. Per informazioni sulla pagina degli eventi, vedere[Risposta agli eventi DDo S in AWS](ddos-responding.md). Per informazioni sulla pagina di configurazione, vedere[Configura le protezioni del livello DDo S dell'applicazione](manage-protection.md#configure-app-layer-protection).

## In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Quando Shield Advanced determina che le regole di mitigazione che sono state implementate per un particolare attacco non sono più necessarie, le rimuove dal gruppo di regole di mitigazione Shield Advanced. 

La rimozione delle regole di mitigazione non coinciderà necessariamente con la fine di un attacco. Shield Advanced monitora i modelli di attacco che rileva sulle risorse protette. Potrebbe difendersi in modo proattivo dalla recidiva di un attacco con una firma specifica mantenendo in vigore le regole che ha implementato contro il verificarsi iniziale di quell'attacco. Se necessario, Shield Advanced aumenta il lasso di tempo necessario per mantenere le regole in vigore. In questo modo, Shield Advanced potrebbe mitigare gli attacchi ripetuti con una firma specifica prima che abbiano un impatto sulle risorse protette. 

Shield Advanced non rimuove mai la regola basata sulla frequenza`ShieldKnownOffenderIPRateBasedRule`, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDo S. 

## Cosa succede quando si disabilita la mitigazione automatica
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced esegue le seguenti operazioni quando si disabilita la mitigazione automatica per una risorsa: 
+ **Smette di rispondere automaticamente agli attacchi DDo S**: Shield Advanced interrompe le attività di risposta automatica per la risorsa.
+ **Rimuove le regole non necessarie dal gruppo di regole Shield** Advanced: se Shield Advanced mantiene delle regole nel proprio gruppo di regole gestito per conto della risorsa protetta, le rimuove. 
+ **Rimuove il gruppo di regole Shield Advanced, se non è più in uso**: se l'ACL Web associato alla risorsa non è associato a nessun'altra risorsa con la mitigazione automatica abilitata, Shield Advanced rimuove la regola del gruppo di regole dall'ACL Web. 

# Protezione del livello applicativo con il gruppo di regole Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Questa pagina spiega come funziona il gruppo di regole Shield Advanced nell'ACL Web.

Shield Advanced gestisce le attività di mitigazione automatica utilizzando le regole di un gruppo di regole di cui è proprietario e gestisce per conto dell'utente. Shield Advanced fa riferimento al gruppo di regole con una regola nell'ACL Web associata alla risorsa protetta. 

**La regola del gruppo di regole nell'ACL web**  
La regola del gruppo di regole Shield Advanced nell'ACL Web ha le seguenti proprietà:
+ **Nome**: `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unità di capacità Web ACL (WCU**): 150. Queste vengono WCUs conteggiate ai fini dell'utilizzo della WCU nell'ACL web. 

Shield Advanced crea questa regola nell'ACL Web con un'impostazione di priorità di 10.000.000, in modo che venga eseguita dopo le altre regole e gruppi di regole nell'ACL Web. AWS WAF esegue le regole in un ACL web dall'impostazione di priorità numerica più bassa in poi. Durante la gestione dell'ACL Web, questa impostazione di priorità potrebbe cambiare. 

La funzionalità di mitigazione automatica non consuma AWS WAF risorse aggiuntive nel tuo account, oltre a quelle WCUs utilizzate dal gruppo di regole nell'ACL web. Ad esempio, il gruppo di regole Shield Advanced non viene conteggiato come uno dei gruppi di regole del tuo account. Per informazioni sui limiti degli account in AWS WAF, consulta[AWS WAF quote](limits.md).

**Regole nel gruppo di regole**  
All'interno del gruppo di regole Shield Advanced di riferimento, Shield Advanced mantiene una regola basata sulla frequenza`ShieldKnownOffenderIPRateBasedRule`, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi S. DDo Questa regola funge da prima linea di difesa contro qualsiasi attacco, perché è sempre presente nel gruppo di regole e non si basa sull'analisi dei modelli di traffico per contenere gli attacchi. L'azione di questa regola è impostata sull'azione scelta per le mitigazioni automatiche, proprio come le altre regole del gruppo di regole. Per informazioni sulle regole basate sulle tariffe, consulta. [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md)

**Nota**  
La regola basata sulla frequenza `ShieldKnownOffenderIPRateBasedRule` funziona indipendentemente dal rilevamento degli eventi Shield Advanced. Sebbene la mitigazione automatica sia abilitata, questa regola limita gli indirizzi IP noti per essere fonti di attacchi S. DDo Per questi indirizzi IP, la limitazione della velocità della regola può prevenire gli attacchi e anche impedire che gli attacchi compaiano nelle informazioni di rilevamento di Shield Advanced. Questo compromesso privilegia la prevenzione rispetto alla completa visibilità dei modelli di attacco. 

Oltre alla regola permanente basata sulla frequenza descritta sopra, il gruppo di regole contiene tutte le regole attualmente utilizzate da Shield Advanced per mitigare gli attacchi S. DDo Shield Advanced aggiunge, modifica e rimuove queste regole secondo necessità. Per informazioni, consulta [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md).

**Metriche**  
Il gruppo di regole genera AWS WAF metriche, ma poiché questo gruppo di regole è di proprietà di Shield Advanced, queste metriche non sono disponibili per la visualizzazione. Per ulteriori informazioni, consulta [AWS WAF metriche e dimensioni](waf-metrics.md).

# Visualizzazione della configurazione di mitigazione automatica del livello di applicazione DDo S per una risorsa
<a name="view-automatic-app-layer-response-configuration"></a>

È possibile visualizzare la configurazione di mitigazione automatica del livello di applicazione DDo S per una risorsa nella pagina **Risorse protette** e nelle pagine di protezione individuali. 

**Per visualizzare la configurazione automatica di mitigazione del livello di applicazione DDo S**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**. Nell'elenco delle risorse protette, la colonna Mitigazione **automatica del livello di applicazione DDo S indica se la mitigazione** automatica è abilitata e, se abilitata, l'azione che Shield Advanced deve utilizzare nelle sue mitigazioni. 

   Puoi anche selezionare qualsiasi risorsa del livello applicativo per visualizzare le stesse informazioni elencate nella pagina delle protezioni per la risorsa. 

# Abilitazione e disabilitazione della mitigazione automatica del livello DDo S delle applicazioni
<a name="enable-disable-automatic-app-layer-response"></a>

La procedura seguente mostra come abilitare o disabilitare la risposta automatica per una risorsa protetta. 

**Per abilitare o disabilitare la mitigazione automatica del livello DDo S dell'applicazione per una singola risorsa**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona la risorsa del livello di applicazione per cui desideri abilitare la mitigazione automatica. Viene visualizzata la pagina delle protezioni per la risorsa. 

1. **Nella pagina delle protezioni della risorsa, scegli Modifica.** 

1. Nella pagina **Configura la mitigazione del livello 7 DDo S per le risorse globali: *facoltativo***, per la **mitigazione automatica del livello DDo S dell'applicazione**, scegli l'opzione che desideri utilizzare per le mitigazioni automatiche. Le opzioni nella console sono le seguenti: 
   + **Mantieni le impostazioni correnti**: non apportare modifiche alle impostazioni di mitigazione automatica della risorsa protetta. 
   + **Abilita**: abilita la mitigazione automatica per la risorsa protetta. Quando scegli questa opzione, seleziona anche l'azione della regola che desideri che le mitigazioni automatiche utilizzino nelle regole ACL Web. Per informazioni sulle impostazioni delle azioni delle regole, consulta. [Utilizzo delle azioni delle regole in AWS WAF](waf-rule-action.md)

     Se la risorsa protetta non ha ancora una cronologia del normale traffico applicativo, abilita la mitigazione automatica in Count modalità fino a quando Shield Advanced non sarà in grado di stabilire una linea di base. Shield Advanced inizia a raccogliere informazioni per la sua linea di base quando si associa un ACL Web alla risorsa protetta e possono essere necessari da 24 ore a 30 giorni per stabilire una buona linea di base del traffico normale.
   + **Disabilita**: disabilita la mitigazione automatica per la risorsa protetta. 

1. Scorri il resto delle pagine fino a completare e salvare la configurazione. 

Nella pagina **Protezioni**, le impostazioni di mitigazione automatica vengono aggiornate per la risorsa.

# Modifica dell'azione utilizzata per la mitigazione automatica del livello DDo S dell'applicazione
<a name="change-action-of-automatic-app-layer-response"></a>

Puoi modificare l'azione utilizzata da Shield Advanced per la risposta automatica a livello di applicazione in più posizioni della console:
+ **Configurazione di mitigazione automatica**: modifica l'azione quando configuri la mitigazione automatica per la tua risorsa. Per la procedura, vedere la sezione precedente. [Abilitazione e disabilitazione della mitigazione automatica del livello DDo S delle applicazioni](enable-disable-automatic-app-layer-response.md)
+ **Pagina dei dettagli dell'evento**: modifica l'azione nella pagina dei dettagli dell'evento, quando visualizzi le informazioni sull'evento nella console. Per informazioni, consulta [Visualizzazione dei dettagli AWS Shield Advanced dell'evento](ddos-event-details.md).

Se si dispone di due risorse protette che condividono un ACL Web e si imposta l'azione su una e Block sull'altra, Shield Advanced imposta l'azione per la regola basata sulla frequenza del gruppo di regole su. Count `ShieldKnownOffenderIPRateBasedRule` Block

# Utilizzo AWS CloudFormation con mitigazione automatica del livello DDo S dell'applicazione
<a name="manage-automatic-mitigation-in-cfn"></a>

Questa pagina spiega come utilizzarla per CloudFormation gestire le protezioni e AWS WAF il web. ACLs 

**Abilitazione o disabilitazione della mitigazione automatica del livello DDo S delle applicazioni**  
È possibile abilitare e disabilitare la mitigazione automatica del livello di applicazione DDo S tramite AWS CloudFormation, utilizzando la risorsa. `AWS::Shield::Protection` L'effetto è lo stesso di quando abiliti o disabiliti la funzionalità tramite la console o qualsiasi altra interfaccia. Per informazioni sulla CloudFormation risorsa, consulta [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)la *guida per l'AWS CloudFormation utente*.

**Gestione del web ACLs utilizzato con mitigazione automatica**  
Shield Advanced gestisce la mitigazione automatica per la risorsa protetta utilizzando una regola del gruppo di regole nell'ACL AWS WAF Web della risorsa protetta. Tramite la AWS WAF console e APIs, vedrai la regola elencata nelle tue regole ACL web, con un nome che inizia con. `ShieldMitigationRuleGroup` Questa regola è dedicata alla mitigazione automatica del livello DDo S delle applicazioni ed è gestita per te da Shield Advanced e AWS WAF. Per ulteriori informazioni, consultare [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md).

Se lo utilizzi CloudFormation per gestire il tuo Web ACLs, non aggiungere la regola del gruppo di regole Shield Advanced al tuo modello ACL web. Quando aggiorni un ACL web che viene utilizzato con le tue protezioni di mitigazione automatiche, gestisce AWS WAF automaticamente la regola del gruppo di regole nell'ACL web. 

Vedrai le seguenti differenze rispetto ad altri siti Web tramite ACLs cui gestisci: CloudFormation
+ CloudFormation non segnalerà alcuna deviazione nello stato di deriva dello stack tra la configurazione effettiva dell'ACL Web, con la regola del gruppo di regole Shield Advanced, e il modello ACL Web, senza la regola. La regola Shield Advanced non verrà visualizzata nell'elenco effettivo della risorsa nei dettagli della deriva. 

  Potrai vedere la regola del gruppo di regole Shield Advanced negli elenchi ACL Web da cui richiami AWS WAF, ad esempio tramite la AWS WAF console o. AWS WAF APIs
+ Se modifichi il modello ACL Web in uno stack e AWS WAF Shield Advanced mantiene automaticamente la regola di mitigazione automatica Shield Advanced nell'ACL Web aggiornato. Le protezioni di mitigazione automatiche fornite da Shield Advanced non vengono interrotte dall'aggiornamento all'ACL Web.

Non gestite la regola Shield Advanced nel vostro modello ACL CloudFormation web. Il modello Web ACL non dovrebbe elencare la regola Shield Advanced. Segui le migliori pratiche per la gestione degli ACL Web all'indirizzo. [Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-bp.md)