Preparando-se para testar suas AWS WAF proteções

Esta seção descreve como se preparar para testar e ajustar suas AWS WAF proteções.

nota

Para seguir as orientações desta seção, você precisa entender geralmente como criar e gerenciar AWS WAF proteções, como pacotes de proteção (web ACLs), regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

Para se preparar para testes

1. Ative o registro do pacote de proteção (web ACL), CloudWatch métricas da Amazon e amostragem de solicitações da web para o pacote de proteção (web ACL)

   Use registros, métricas e amostragem para monitorar a interação das regras do pacote de proteção (Web ACL) com seu tráfego na web.

   • Registro — Você pode configurar AWS WAF para registrar as solicitações da web que um pacote de proteção (Web ACL) avalia. Você pode enviar registros para CloudWatch logs, um bucket do Amazon S3 ou um stream de entrega do Amazon Data Firehose. Você pode editar campos e aplicar filtragem. Para obter mais informações, consulte Registrando o tráfego do pacote de AWS WAF proteção (Web ACL).

   • Amazon Security Lake — Você pode configurar o Security Lake para coletar dados do pacote de proteção (web ACL). O Security Lake coleta dados de logs e eventos de várias fontes para normalização, análise e gerenciamento. Para obter informações sobre essa opção, consulte O que é o Amazon Security Lake? e Coleta de dados de AWS serviços no guia do usuário do Amazon Security Lake.

   • CloudWatch Métricas da Amazon — Na configuração do seu pacote de proteção (web ACL), forneça especificações métricas para tudo o que você deseja monitorar. Você pode ver as métricas por meio dos AWS WAF CloudWatch consoles e. Para obter mais informações, consulte Monitoramento com a Amazon CloudWatch.

   • Amostragem de solicitações da Web — Você pode ver uma amostra de todas as solicitações da Web que seu pacote de proteção (ACL da Web) avalia. Para obter informações sobre amostragem de solicitações da web, consulte Visualizar um exemplo de solicitações da web.

2. Defina suas proteções para o modo Count

   Na configuração do pacote de proteção (Web ACL), alterne tudo o que você deseja testar para o modo de contagem. Isso faz com que as proteções de teste registrem correspondências com solicitações da web sem alterar a forma como as solicitações são tratadas. Você poderá ver as correspondências em suas métricas, logs e amostras de solicitações, para verificar os critérios de correspondência e entender quais podem ser os efeitos no seu tráfego da web. As regras que adicionam rótulos às solicitações correspondentes adicionarão rótulos independentemente da ação da regra.

   • Regra definida no pacote de proteção (web ACL) — edite as regras no pacote de proteção (web ACL) e defina suas ações como. Count

   • Grupo de regras — Na configuração do pacote de proteção (Web ACL), edite a instrução da regra para o grupo de regras e, no painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha. Count Se você gerencia o pacote de proteção (web ACL) em JSON, adicione as regras às RuleActionOverrides configurações na declaração de referência do grupo de regras, com ActionToUse set to. Count A lista de exemplos a seguir mostra as substituições de duas regras no grupo de regras de Regras AWSManagedRulesAnonymousIpList AWS Gerenciadas.

       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },

     Para obter mais informações sobre alterações de ações, consulte Substituir ações de regra para um grupo de regras.

     Para seu próprio grupo de regras, não modifique as ações da regra no próprio grupo de regras. As regras de grupo de regras com ação Count não geram as métricas ou outros artefatos necessários para seus testes. Além disso, a alteração de um grupo de regras afeta todos os pacotes de proteção (web ACLs) que o usam, enquanto as alterações na configuração do pacote de proteção (web ACL) afetam somente o pacote de proteção único (web ACL).

   • pacote de proteção (web ACL) — Se você estiver testando um novo pacote de proteção (web ACL), defina a ação padrão do pacote de proteção (web ACL) para permitir solicitações. Isso permite que você experimente a web ACL sem afetar o tráfego de forma alguma.

   Em geral, o modo de contagem gera mais correspondências do que a produção. Isso ocorre porque uma regra que conta as solicitações não interrompe a avaliação da solicitação pelo pacote de proteção (Web ACL), portanto, as regras que são executadas posteriormente no pacote de proteção (Web ACL) também podem corresponder à solicitação. Quando você altera suas ações de regra para suas configurações de produção, as regras que permitem ou bloqueiam solicitações encerrarão a avaliação das solicitações correspondentes. Como resultado, as solicitações correspondentes geralmente serão inspecionadas por menos regras no pacote de proteção (Web ACL). Para obter mais informações sobre os efeitos das ações de regra na avaliação geral de uma solicitação da web, consulte Usando ações de regras em AWS WAF.

   Com essas configurações, suas novas proteções não alterarão o tráfego da web, mas gerarão informações de correspondência em métricas, registros de pacotes de proteção (Web ACL) e amostras de solicitações.

3. Associar o pacote de proteção (web ACL) a um recurso

   Se o pacote de proteção (Web ACL) ainda não estiver associado ao recurso, associe-o.

   Consulte Associar ou desassociar a proteção a um recurso AWS.

Agora você está pronto para monitorar e ajustar seu pacote de proteção (Web ACL).