Preparando-se para testar suas AWS WAF proteções

Esta seção descreve como se preparar para testar e ajustar suas AWS WAF proteções.

nota

Para seguir as orientações desta seção, você precisa entender geralmente como criar e gerenciar AWS WAF proteções, como pacotes de proteção (web ACLs), regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

Para se preparar para testes

1. Ative o registro do pacote de proteção (web ACL), CloudWatch métricas da Amazon e amostragem de solicitações da web para o pacote de proteção (web ACL)

   Use o registro em log, as métricas e a amostragem para monitorar a interação das regras de pacote de proteção (ACL da Web) com o tráfego da Web.

   • Registro — Você pode configurar AWS WAF para registrar as solicitações da web que um pacote de proteção (Web ACL) avalia. Você pode enviar registros para CloudWatch logs, um bucket do Amazon S3 ou um stream de entrega do Amazon Data Firehose. Você pode editar campos e aplicar filtragem. Para saber mais, consulte Registrando o tráfego do pacote de AWS WAF proteção (Web ACL).

   • Amazon Security Lake: você pode configurar o Security Lake para coletar dados do pacote de proteção (ACL da Web). O Security Lake coleta dados de logs e de eventos de várias origens na para normalização, análise e gerenciamento. Para obter informações sobre essa opção, consulte O que é o Amazon Security Lake? e Coleta de dados de AWS serviços no guia do usuário do Amazon Security Lake.

   • CloudWatch Métricas da Amazon — Na configuração do seu pacote de proteção (web ACL), forneça especificações métricas para tudo o que você deseja monitorar. Você pode ver as métricas por meio dos AWS WAF CloudWatch consoles e. Para obter mais informações, consulte Monitoramento com a Amazon CloudWatch.

   • Amostragem de solicitações da Web: você pode visualizar uma amostra de todas as solicitações da Web que o pacote de proteção (ACL da Web) avalia. Para obter informações sobre amostragem de solicitações da web, consulte Visualizar um exemplo de solicitações da web.

2. Defina suas proteções para o modo Count

   Na configuração do pacote de proteção (ACL da Web), alterne tudo o que você deseja testar para o modo de contagem. Isso faz com que as proteções de teste registrem correspondências com solicitações da web sem alterar a forma como as solicitações são tratadas. Você poderá ver as correspondências em suas métricas, logs e amostras de solicitações, para verificar os critérios de correspondência e entender quais podem ser os efeitos no seu tráfego da web. As regras que adicionam rótulos às solicitações correspondentes adicionarão rótulos independentemente da ação da regra.

   • Regra definida no pacote de proteção (ACL da Web): edite as regras no pacote de proteção (ACL da Web) e defina suas ações como Count.

   • Grupo de regras: na configuração do pacote de proteção (ACL da Web), edite a instrução da regra para o grupo de regras e, no painel Regras, abra o menu suspenso Substituir todas as ações de regra e escolha Count. Se você gerencia o pacote de proteção (ACL da Web) em JSON, adicione as regras às configurações RuleActionOverrides na instrução de referência do grupo de regras, com ActionToUse definido como Count. A lista de exemplos a seguir mostra as substituições de duas regras no grupo de regras de Regras AWSManagedRulesAnonymousIpList AWS Gerenciadas.

       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },

     Para saber mais sobre alterações de ações, consulte Substituir ações de regra para um grupo de regras.

     Para seu próprio grupo de regras, não modifique as ações da regra no próprio grupo de regras. As regras de grupo de regras com ação Count não geram as métricas ou outros artefatos necessários para seus testes. Além disso, a alteração de um grupo de regras afeta todos os pacotes de proteção (web ACLs) que o usam, enquanto as alterações na configuração do pacote de proteção (web ACL) afetam somente o pacote de proteção único (web ACL).

   • pacote de proteção (ACL da Web): se você estiver testando um novo pacote de proteção (ACL da Web), defina a ação padrão para que o pacote de proteção (ACL da Web) permita solicitações. Isso permite que você experimente a web ACL sem afetar o tráfego de forma alguma.

   Em geral, o modo de contagem gera mais correspondências do que a produção. Isso ocorre porque uma regra que conta as solicitações não interrompe a avaliação da solicitação pelo pacote de proteção (ACL da Web), portanto, as regras que são executadas posteriormente no pacote de proteção (ACL da Web) também podem corresponder à solicitação. Quando você altera suas ações de regra para as configurações de produção, as regras que permitem ou bloqueiam solicitações encerrarão a avaliação das solicitações correspondentes. Como resultado, as solicitações que correspondem à regra geralmente serão inspecionadas por menos regras no pacote de proteção (ACL da Web). Para saber mais sobre os efeitos das ações de regra na avaliação geral de uma solicitação da web, consulte Usando ações de regras em AWS WAF.

   Com essas configurações, suas novas proteções não alterarão o tráfego da Web, mas gerarão informações de correspondência em métricas, logs de pacote de proteção (ACL da Web) e amostras de solicitações.

3. Associar o pacote de proteção (ACL da Web) a um recurso

   Se o pacote de proteção (ACL da Web) ainda não estiver associado ao recurso, faça isso.

   Consulte Associar ou desassociar a proteção a um recurso AWS.

Agora você está pronto para monitorar e ajustar o pacote de proteção (ACL da Web).