**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**Anmerkung**  
Ab dem 26. März 2026 AWS WAF wird die DDo Anti-S Managed Rule Group (Anti-DDoS AMR) zur Standardlösung für den Schutz vor HTTP-Request-Flood-Angriffen (siehe den [DDoAnti-S AMR-Launch-Blog](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)). Sie ersetzt die Funktion Layer 7 Auto Mitigation (L7AM). Wenn Sie bereits Shield Advanced-Kunde sind, können Sie die Legacy-Lösung weiterhin mit bestehenden oder neuen AWS Konten verwenden. Wir empfehlen Ihnen jedoch, die DDo Anti-S Managed Rule Group zu übernehmen. Die DDo Anti-S Managed Rule Group erkennt und wehrt Angriffe innerhalb von Sekunden statt Minuten ab. Wenn Sie ein neuer Shield Advanced-Kunde sind und Zugriff auf die ältere Lösung benötigen, wenden Sie sich an den AWS Support.

Auf dieser Seite wird das Thema automatische Risikominderung auf Anwendungsebene DDo S vorgestellt und die damit verbundenen Vorbehalte aufgeführt.

Sie können Shield Advanced so konfigurieren, dass es automatisch reagiert, um Angriffe auf Anwendungsebene (Schicht 7) gegen Ihre geschützten Ressourcen auf Anwendungsebene abzuwehren, indem Webanfragen, die Teil des Angriffs sind, gezählt oder blockiert werden. Diese Option ist eine Ergänzung zum Schutz auf Anwendungsebene, den Sie über Shield Advanced mit einer AWS WAF Web-ACL und Ihrer eigenen ratenbasierten Regel hinzufügen. 

Wenn die automatische Risikominderung für eine Ressource aktiviert ist, verwaltet Shield Advanced eine Regelgruppe in der zugehörigen Web-ACL der Ressource, in der es Minderungsregeln im Namen der Ressource verwaltet. Die Regelgruppe enthält eine ratenbasierte Regel, die das Volumen der Anfragen von IP-Adressen verfolgt, von denen bekannt ist, dass sie Quellen von S-Angriffen sind. DDo 

Darüber hinaus vergleicht Shield Advanced aktuelle Verkehrsmuster mit historischen Verkehrsbasislinien, um Abweichungen zu erkennen, die auf einen DDo S-Angriff hinweisen könnten. Shield Advanced reagiert auf erkannte DDo S-Angriffe, indem es zusätzliche benutzerdefinierte AWS WAF Regeln in der Regelgruppe erstellt, auswertet und einsetzt. 

## Vorbehalte bei der Verwendung der automatischen Abwehr auf Anwendungsebene DDo S
<a name="ddos-automatic-app-layer-response-caveats"></a>

In der folgenden Liste werden die Vorbehalte der automatischen Abwehr der Anwendungsschicht DDo S von Shield Advanced beschrieben und die Schritte beschrieben, die Sie möglicherweise als Reaktion darauf ergreifen sollten.
+ Die automatische Abwehr auf Anwendungsebene DDo S funktioniert nur mit Schutzpaketen (Web ACLs), die mit der neuesten Version von AWS WAF (v2) erstellt wurden. 
+ Shield Advanced benötigt Zeit, um eine Basislinie des normalen, historischen Datenverkehrs Ihrer Anwendung zu erstellen, die es nutzt, um den Angriffsverkehr zu erkennen und vom normalen Verkehr zu isolieren, um den Angriffsverkehr einzudämmen. Die Erstellung einer Baseline dauert zwischen 24 Stunden und 30 Tagen ab dem Zeitpunkt, an dem Sie der geschützten Anwendungsressource eine Web-ACL zuordnen. Weitere Informationen zu Verkehrs-Baselines finden Sie unter. [Liste der Faktoren, die die Erkennung und Minderung von Ereignissen auf Anwendungsebene mit Shield Advanced beeinflussen](ddos-app-layer-detection-mitigation.md)
+ Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S aktivieren, wird Ihrem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt, die 150 Web-ACL-Kapazitätseinheiten () verwendet. WCUs Diese werden auf die WCU-Nutzung in Ihrem Protection Pack (Web-ACL) WCUs angerechnet. Weitere Informationen finden Sie unter [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md) und [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).
+ Die Shield Advanced-Regelgruppe generiert AWS WAF Metriken, die jedoch nicht angezeigt werden können. Das Gleiche gilt für alle anderen Regelgruppen, die Sie in Ihrem Protection Pack (Web-ACL) verwenden, die Sie aber nicht besitzen, wie z. B. Regelgruppen mit AWS verwalteten Regeln. Weitere Informationen zu AWS WAF Metriken finden Sie unter[AWS WAF Metriken und Dimensionen](waf-metrics.md). Informationen zu dieser Shield Advanced-Schutzoption finden Sie unter[Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](#ddos-automatic-app-layer-response). 
+ Bei Websites ACLs , die mehrere Ressourcen schützen, setzt die automatische Schadensbegrenzung nur benutzerdefinierte Abhilfemaßnahmen ein, die sich nicht negativ auf die geschützten Ressourcen auswirken. 
+ Die Zeit zwischen dem Beginn eines DDo S-Angriffs und dem Zeitpunkt, zu dem Shield Advanced benutzerdefinierte automatische Abwehrregeln festlegt, ist von Ereignis zu Ereignis unterschiedlich. Einige DDo S-Angriffe können enden, bevor die benutzerdefinierten Regeln implementiert werden. Andere Angriffe können auftreten, wenn bereits eine Abwehr vorhanden ist und daher von Beginn des Ereignisses an durch diese Regeln abgewehrt werden kann. Darüber hinaus können ratenbasierte Regeln in der Web-ACL- und Shield-Advanced-Regelgruppe den Angriffsverkehr abschwächen, bevor er als mögliches Ereignis erkannt wird. 
+ Für Application Load Balancer, die jeglichen Datenverkehr über ein Content Delivery Network (CDN) empfangen, wie Amazon CloudFront, werden die automatischen Abwehrfunktionen von Shield Advanced auf Anwendungsebene für diese Application Load Balancer-Ressourcen reduziert. Shield Advanced verwendet Client-Datenverkehrsattribute, um den Angriffsverkehr zu identifizieren und vom normalen Datenverkehr an Ihre Anwendung zu isolieren, und behält die ursprünglichen Client-Traffic-Attribute CDNs möglicherweise nicht bei oder leitet sie weiter. Wenn Sie dies verwenden CloudFront, empfehlen wir, die automatische Abwehr für die CloudFront Verteilung zu aktivieren.
+ Die automatische Abwehr auf Anwendungsebene DDo S interagiert nicht mit Schutzgruppen. Sie können die automatische Abwehr für Ressourcen aktivieren, die sich in Schutzgruppen befinden, aber Shield Advanced wendet nicht automatisch Angriffsabwehrmaßnahmen an, die auf den Ergebnissen der Schutzgruppe basieren. Shield Advanced wendet automatische Angriffsabwehrmaßnahmen für einzelne Ressourcen an.

**Contents**
+ [Vorbehalte bei der Verwendung der automatischen Abwehr auf Anwendungsebene DDo S](#ddos-automatic-app-layer-response-caveats)
+ [Bewährte Methoden für die Verwendung der automatischen DDo Application-Layer-S-Abwehr](ddos-automatic-app-layer-response-bp.md)
+ [Aktivierung der automatischen Schadensbegrenzung auf Anwendungsebene DDo S](ddos-automatic-app-layer-response-config.md)
  + [Was passiert, wenn Sie die automatische Schadensbegrenzung aktivieren](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [So verwaltet Shield Advanced die automatische Schadensbegrenzung](ddos-automatic-app-layer-response-behavior.md)
  + [So reagiert Shield Advanced mit automatischer Abwehr auf DDo S-Angriffe](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [So verwaltet Shield Advanced die Einstellung für Regelaktionen](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [So verwaltet Shield Advanced Abhilfemaßnahmen, wenn ein Angriff nachlässt](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Was passiert, wenn Sie die automatische Abwehr deaktivieren](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md)
+ [Konfiguration zur automatischen Abwehr der Anwendungsschicht DDo S für eine Ressource anzeigen](view-automatic-app-layer-response-configuration.md)
+ [Automatische Abwehr auf Anwendungsebene DDo S aktivieren und deaktivieren](enable-disable-automatic-app-layer-response.md)
+ [Änderung der Aktion, die für die automatische Abwehr von Anwendungsschicht DDo S verwendet wird](change-action-of-automatic-app-layer-response.md)
+ [Verwendung AWS CloudFormation mit automatischer DDo Application-Layer-S-Abwehr](manage-automatic-mitigation-in-cfn.md)

# Bewährte Methoden für die Verwendung der automatischen DDo Application-Layer-S-Abwehr
<a name="ddos-automatic-app-layer-response-bp"></a>

Halten Sie sich bei der Verwendung der automatischen Schadensbegrenzung an die Anweisungen in diesem Abschnitt.

**Verwaltung allgemeiner Schutzmaßnahmen**  
Halten Sie sich bei der Planung und Implementierung Ihrer automatischen Schutzmaßnahmen an diese Richtlinien.
+ Verwalten Sie Ihren gesamten automatischen Schadensbegrenzungsschutz entweder über Shield Advanced oder, falls Sie Ihre Einstellungen AWS Firewall Manager zur automatischen Abwehr von Shield Advanced verwenden, über Firewall Manager. Verwenden Sie Shield Advanced und Firewall Manager nicht gleichzeitig, um diese Schutzmaßnahmen zu verwalten.
+ Verwalten Sie ähnliche Ressourcen mit denselben Web ACLs - und Schutzeinstellungen und verwalten Sie unterschiedliche Ressourcen mit unterschiedlichen Websites. ACLs Wenn Shield Advanced einen DDo S-Angriff auf eine geschützte Ressource abwehrt, definiert es Regeln für die Web-ACL, die der Ressource zugeordnet ist, und testet dann die Regeln anhand des Datenverkehrs aller Ressourcen, die mit der Web-ACL verknüpft sind. Shield Advanced wendet die Regeln nur an, wenn sie sich nicht negativ auf die zugehörigen Ressourcen auswirken. Weitere Informationen finden Sie unter [So verwaltet Shield Advanced die automatische Schadensbegrenzung](ddos-automatic-app-layer-response-behavior.md).
+ Aktivieren Sie für Application Load Balancer, deren gesamter Internetverkehr über eine CloudFront Amazon-Distribution weitergeleitet wird, nur die automatische Schadensbegrenzung für die Verteilung. CloudFront Die CloudFront Distribution wird immer über die größte Anzahl an ursprünglichen Datenverkehrsattributen verfügen, die Shield Advanced zur Abwehr von Angriffen nutzt. 

**Optimierung der Erkennung und Abwehr**  
Folgen Sie diesen Richtlinien, um den Schutz zu optimieren, den die automatische Schadensbegrenzung für geschützte Ressourcen bietet. Einen Überblick über die Erkennung und Abwehr auf Anwendungsebene finden Sie unter. [Liste der Faktoren, die die Erkennung und Minderung von Ereignissen auf Anwendungsebene mit Shield Advanced beeinflussen](ddos-app-layer-detection-mitigation.md)
+ Konfigurieren Sie Integritätsprüfungen für Ihre geschützten Ressourcen und verwenden Sie sie, um eine gesundheitsbasierte Erkennung in Ihren Shield Advanced-Schutzmaßnahmen zu ermöglichen. Anleitungen finden Sie unter [Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53](ddos-advanced-health-checks.md).
+ Aktivieren Sie die automatische Schadensbegrenzung im Count Modus, bis Shield Advanced eine Ausgangsbasis für normalen, historischen Datenverkehr festgelegt hat. Shield Advanced benötigt zwischen 24 Stunden und 30 Tagen, um einen Basiswert festzulegen. 

  Um eine Basislinie für normale Verkehrsmuster zu erstellen, ist Folgendes erforderlich: 
  + Die Zuordnung einer Web-ACL zur geschützten Ressource. Sie können sie AWS WAF direkt verwenden, um Ihre Web-ACL zuzuordnen, oder Sie können sie von Shield Advanced zuordnen lassen, wenn Sie den Shield Advanced-Schutz auf Anwendungsebene aktivieren und eine zu verwendende Web-ACL angeben. 
  + Normaler Datenfluss zu Ihrer geschützten Anwendung. Wenn bei Ihrer Anwendung kein normaler Datenverkehr stattfindet, z. B. bevor die Anwendung gestartet wird, oder wenn es für längere Zeit zu wenig Produktionsdatenverkehr gibt, können die historischen Daten nicht erfasst werden.

**Verwaltung von Web-ACLS**  
Folgen Sie diesen Richtlinien für die Verwaltung des Webs ACLs , das Sie mit automatischer Schadensbegrenzung verwenden.
+ Wenn Sie die Web-ACL, die der geschützten Ressource zugeordnet ist, ersetzen müssen, nehmen Sie die folgenden Änderungen der Reihe nach vor: 

  1. Deaktivieren Sie in Shield Advanced die automatische Schadensbegrenzung. 

  1.  AWS WAF Trennen Sie in die alte Web-ACL und ordnen Sie die neue Web-ACL zu. 

  1. Aktivieren Sie in Shield Advanced die automatische Schadensbegrenzung. 

  Shield Advanced überträgt die automatische Abwehr nicht automatisch von der alten Web-ACL auf die neue. 
+ Löschen Sie keine Regelgruppenregel aus Ihrer Website ACLs , deren Name mit `ShieldMitigationRuleGroup` beginnt. Wenn Sie diese Regelgruppe löschen, deaktivieren Sie den Schutz, der durch die automatische Schadensbegrenzung von Shield Advanced für jede Ressource bereitgestellt wird, die mit der Web-ACL verknüpft ist. Darüber hinaus kann es einige Zeit dauern, bis Shield Advanced eine Benachrichtigung über die Änderung erhält und die Einstellungen aktualisiert. Während dieser Zeit werden auf den Seiten der Shield Advanced-Konsole falsche Informationen angezeigt. 

  Weitere Informationen zur Regelgruppe finden Sie unter[Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md). 
+ Ändern Sie nicht den Namen einer Regelgruppenregel, deren Name mit beginnt`ShieldMitigationRuleGroup`. Dies kann die Schutzmaßnahmen beeinträchtigen, die durch die automatische Abwehr von Shield Advanced über die Web-ACL bereitgestellt werden. 
+ Verwenden Sie beim Erstellen von Regeln und Regelgruppen keine Namen, die mit beginnen. `ShieldMitigationRuleGroup` Diese Zeichenfolge wird von Shield Advanced verwendet, um Ihre automatischen Gegenmaßnahmen zu verwalten. 
+ Weisen Sie bei der Verwaltung Ihrer Web-ACL-Regeln keine Prioritätseinstellung von 10.000.000 zu. Shield Advanced weist diese Prioritätseinstellung seiner Gruppenregel für automatische Schadensbegrenzung zu, wenn es sie hinzufügt. 
+ Ordnen Sie der `ShieldMitigationRuleGroup` Regel eine Priorität zu, sodass sie im Verhältnis zu den anderen Regeln in Ihrer Web-ACL ausgeführt wird, wann Sie möchten. Shield Advanced fügt der Web-ACL die Regelgruppenregel mit der Priorität 10.000.000 hinzu, sodass sie nach Ihren anderen Regeln ausgeführt wird. Wenn Sie den AWS WAF Konsolenassistenten zur Verwaltung Ihrer Web-ACL verwenden, passen Sie die Prioritätseinstellungen nach dem Hinzufügen von Regeln zur Web-ACL nach Bedarf an. 
+ Wenn Sie AWS CloudFormation Ihr Web verwalten ACLs, müssen Sie die `ShieldMitigationRuleGroup` Regelgruppenregel nicht verwalten. Folgen Sie den Anweisungen unter[Verwendung AWS CloudFormation mit automatischer DDo Application-Layer-S-Abwehr](manage-automatic-mitigation-in-cfn.md).

# Aktivierung der automatischen Schadensbegrenzung auf Anwendungsebene DDo S
<a name="ddos-automatic-app-layer-response-config"></a>

Auf dieser Seite wird erklärt, wie Shield Advanced so konfiguriert wird, dass es automatisch auf Angriffe auf Anwendungsebene reagiert.

Sie aktivieren die automatische Abwehr von Shield Advanced als Teil des Schutzes der Anwendungsebene DDo S für Ihre Ressource. Informationen dazu, wie Sie dies über die Konsole tun können, finden Sie unter. [Konfigurieren Sie den Schutz der Anwendungsebene DDo S](manage-protection.md#configure-app-layer-protection)

Für die automatische Schadensbegrenzungsfunktion müssen Sie wie folgt vorgehen:
+ **Ordnen Sie der Ressource eine Web-ACL** zu — Dies ist für jeden Shield Advanced-Schutz auf Anwendungsebene erforderlich. Sie können dieselbe Web-ACL für mehrere Ressourcen verwenden. Wir empfehlen, dies nur für Ressourcen mit ähnlichem Datenverkehr zu tun. Informationen zum InternetACLs, einschließlich der Anforderungen für deren Verwendung mit mehreren Ressourcen, finden Sie unter[Wie AWS WAF funktioniert](how-aws-waf-works.md).
+ **Automatische Abwehr von Shield Advanced auf Anwendungsebene DDo S aktivieren und konfigurieren** — Wenn Sie diese Option aktivieren, geben Sie an, ob Shield Advanced Webanfragen, die als Teil eines DDo S-Angriffs eingestuft werden, automatisch blockieren oder zählen soll. Shield Advanced fügt der zugehörigen Web-ACL eine Regelgruppe hinzu und verwendet sie, um ihre Reaktion auf DDo S-Angriffe auf die Ressource dynamisch zu verwalten. Informationen zu den Aktionsoptionen für Regeln finden Sie unter[Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).
+ **(Optional, aber empfohlen) Fügen Sie der Web-ACL eine ratenbasierte Regel hinzu** — Standardmäßig bietet die ratenbasierte Regel Ihrer Ressource grundlegenden Schutz vor DDo S-Angriffen, indem sie verhindert, dass eine einzelne IP-Adresse in kurzer Zeit zu viele Anfragen sendet. Informationen zu ratenbasierten Regeln, einschließlich Optionen für die Aggregation benutzerdefinierter Anfragen und Beispiele, finden Sie unter. [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md)

## Was passiert, wenn Sie die automatische Schadensbegrenzung aktivieren
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced macht Folgendes, wenn Sie die automatische Schadensbegrenzung aktivieren: 
+ **Fügt bei Bedarf eine Regelgruppe für die Verwendung von Shield Advanced** hinzu — Wenn die AWS WAF Web-ACL, die Sie der Ressource zugeordnet haben, nicht bereits über eine AWS WAF Regelgruppenregel verfügt, die der automatischen Abwehr von Anwendungsebenen DDo S gewidmet ist, fügt Shield Advanced eine hinzu. 

  Der Name der Regelgruppenregel beginnt mit`ShieldMitigationRuleGroup`. Die Regelgruppe enthält immer eine ratenbasierte Regel mit dem Namen`ShieldKnownOffenderIPRateBasedRule`, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Quellen von DDo S-Angriffen sind. Weitere Informationen zur Shield Advanced-Regelgruppe und der Web-ACL-Regel, die auf sie verweist, finden Sie unter[Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md).
+ **Beginnt, auf DDo S-Angriffe gegen die Ressource zu reagieren** — Shield Advanced reagiert automatisch auf DDo S-Angriffe für die geschützte Ressource. Zusätzlich zu der ratenbasierten Regel, die immer vorhanden ist, verwendet Shield Advanced seine Regelgruppe, um benutzerdefinierte AWS WAF Regeln zur Abwehr von DDo S-Angriffen bereitzustellen. Shield Advanced passt diese Regeln an Ihre Anwendung und die Angriffe an, denen Ihre Anwendung ausgesetzt ist, und testet sie vor der Bereitstellung anhand des historischen Datenverkehrs der Ressource. 

Shield Advanced verwendet eine einzige Regelgruppenregel in jeder Web-ACL, die Sie für die automatische Schadensbegrenzung verwenden. Wenn Shield Advanced die Regelgruppe für eine andere geschützte Ressource bereits hinzugefügt hat, fügt es der Web-ACL keine weitere Regelgruppe hinzu. 

Die automatische Abwehr von Angriffen auf Anwendungsebene DDo S hängt vom Vorhandensein der Regelgruppe ab. Wenn die Regelgruppe aus irgendeinem Grund aus der AWS WAF Web-ACL entfernt wird, deaktiviert das Entfernen die automatische Abwehr für alle Ressourcen, die der Web-ACL zugeordnet sind.

# So verwaltet Shield Advanced die automatische Schadensbegrenzung
<a name="ddos-automatic-app-layer-response-behavior"></a>

In den Themen in diesem Abschnitt wird beschrieben, wie Shield Advanced Ihre Konfigurationsänderungen für die automatische Abwehr von DDo Anwendungsebenen verarbeitet und wie DDo S-Angriffe behandelt werden, wenn die automatische Abwehr aktiviert ist. 

**Topics**
+ [So reagiert Shield Advanced mit automatischer Abwehr auf DDo S-Angriffe](#ddos-automatic-app-layer-response-ddos-attack)
+ [So verwaltet Shield Advanced die Einstellung für Regelaktionen](#ddos-automatic-app-layer-response-rule-action)
+ [So verwaltet Shield Advanced Abhilfemaßnahmen, wenn ein Angriff nachlässt](#ddos-automatic-app-layer-response-after-attack)
+ [Was passiert, wenn Sie die automatische Abwehr deaktivieren](#ddos-automatic-app-layer-response-disable)

## So reagiert Shield Advanced mit automatischer Abwehr auf DDo S-Angriffe
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Wenn Sie die automatische Risikominderung für eine geschützte Ressource aktiviert haben, reagiert die ratenbasierte Regel `ShieldKnownOffenderIPRateBasedRule` in der Shield Advanced-Regelgruppe automatisch auf erhöhte Datenverkehrsmengen aus bekannten DDo S-Quellen. Diese Ratenbegrenzung wird schnell angewendet und dient als Schutz an vorderster Front gegen Angriffe. 

Wenn Shield Advanced einen Angriff erkennt, geht es wie folgt vor:

1. Versucht, eine Angriffssignatur zu identifizieren, die den Angriffsverkehr vom normalen Datenverkehr zu Ihrer Anwendung isoliert. Ziel ist es, hochwertige DDo S-Abwehrregeln zu erstellen, die, wenn sie platziert werden, nur den Angriffsverkehr betreffen und den normalen Datenverkehr zu Ihrer Anwendung nicht beeinträchtigen.

1. Vergleicht die identifizierte Angriffssignatur anhand der historischen Datenverkehrsmuster für die angegriffene Ressource sowie für alle anderen Ressourcen, die derselben Web-ACL zugeordnet sind. Shield Advanced tut dies, bevor es irgendwelche Regeln als Reaktion auf das Ereignis einsetzt. 

   Abhängig von den Evaluierungsergebnissen führt Shield Advanced eine der folgenden Aktionen aus: 
   + Wenn Shield Advanced feststellt, dass die Angriffssignatur nur den Datenverkehr isoliert, der an dem DDo S-Angriff beteiligt ist, implementiert Shield Advanced die Signatur in AWS WAF Regeln in der Regelgruppe Shield Advanced-Mitigation in der Web-ACL. Shield Advanced gibt diesen Regeln die Aktionseinstellung, die Sie für die automatische Risikominderung der Ressource konfiguriert haben — entweder Count oderBlock.
   + Andernfalls führt Shield Advanced keine Abschwächung durch.

Während eines Angriffs sendet Shield Advanced dieselben Benachrichtigungen und stellt dieselben Ereignisinformationen bereit wie für grundlegende Shield Advanced-Schutzmaßnahmen auf Anwendungsebene. Sie können die Informationen über Ereignisse und DDo S-Angriffe sowie über alle Shield Advanced-Abhilfemaßnahmen für Angriffe in der Shield Advanced-Ereigniskonsole einsehen. Weitere Informationen finden Sie unter [Einblick in DDo S-Ereignisse mit Shield Advanced](ddos-viewing-events.md). 

Wenn Sie die automatische Schadensbegrenzung so konfiguriert haben, dass sie die Block Regelaktion verwendet, und Sie aufgrund der von Shield Advanced bereitgestellten Risikominderungsregeln Fehlalarme erhalten, können Sie die Regelaktion in ändern. Count Informationen dazu finden Sie unter. [Änderung der Aktion, die für die automatische Abwehr von Anwendungsschicht DDo S verwendet wird](change-action-of-automatic-app-layer-response.md) 

## So verwaltet Shield Advanced die Einstellung für Regelaktionen
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Sie können die Regelaktion für Ihre automatischen Abhilfemaßnahmen auf Block oder festlegen. Count 

Wenn Sie die Aktionseinstellung der automatischen Schadensbegrenzungsregel für eine geschützte Ressource ändern, aktualisiert Shield Advanced alle Regeleinstellungen für die Ressource. Es aktualisiert alle Regeln, die derzeit für die Ressource in der Shield Advanced-Regelgruppe gelten, und verwendet die neue Aktionseinstellung, wenn es neue Regeln erstellt. 

Wenn Sie für Ressourcen, die dieselbe Web-ACL verwenden, unterschiedliche Aktionen angeben, verwendet Shield Advanced die Block Aktionseinstellung für die ratenbasierte Regel der Regelgruppe. `ShieldKnownOffenderIPRateBasedRule` Shield Advanced erstellt und verwaltet andere Regeln in der Regelgruppe im Namen einer bestimmten geschützten Ressource und verwendet die Aktionseinstellung, die Sie für die Ressource angegeben haben. Alle Regeln in der Shield Advanced-Regelgruppe in einer Web-ACL werden auf den Webverkehr aller zugehörigen Ressourcen angewendet. 

Es kann einige Sekunden dauern, bis die Änderung der Aktionseinstellung wirksam wird. Während dieser Zeit werden Sie möglicherweise an einigen Stellen, an denen die Regelgruppe verwendet wird, die alte Einstellung und an anderen Stellen die neue Einstellung sehen. 

Sie können die Einstellung für die Regelaktion für Ihre automatische Schadensbegrenzungskonfiguration auf der Ereignisseite der Konsole und auf der Konfigurationsseite der Anwendungsebene ändern. Informationen zur Seite „Ereignisse“ finden Sie unter[Reagieren auf DDo S-Ereignisse in AWS](ddos-responding.md). Informationen zur Konfigurationsseite finden Sie unter[Konfigurieren Sie den Schutz der Anwendungsebene DDo S](manage-protection.md#configure-app-layer-protection).

## So verwaltet Shield Advanced Abhilfemaßnahmen, wenn ein Angriff nachlässt
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Wenn Shield Advanced feststellt, dass Abwehrregeln, die für einen bestimmten Angriff eingesetzt wurden, nicht mehr benötigt werden, werden sie aus der Shield Advanced-Regelgruppe zur Schadensbegrenzung entfernt. 

Das Entfernen von Regeln zur Schadensbegrenzung wird nicht unbedingt mit dem Ende eines Angriffs zusammenfallen. Shield Advanced überwacht Angriffsmuster, die es auf Ihren geschützten Ressourcen erkennt. Es kann sich proaktiv gegen die Wiederholung eines Angriffs mit einer bestimmten Signatur schützen, indem es die Regeln beibehält, die es gegen das erste Auftreten dieses Angriffs angewendet hat. Bei Bedarf verlängert Shield Advanced das Zeitfenster, in dem die Regeln eingehalten werden. Auf diese Weise kann Shield Advanced wiederholte Angriffe mit einer bestimmten Signatur abwehren, bevor sie sich auf Ihre geschützten Ressourcen auswirken. 

Shield Advanced entfernt niemals die ratenbasierte Regel`ShieldKnownOffenderIPRateBasedRule`, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Quellen von DDo S-Angriffen sind. 

## Was passiert, wenn Sie die automatische Abwehr deaktivieren
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced macht Folgendes, wenn Sie die automatische Schadensbegrenzung für eine Ressource deaktivieren: 
+ **Reagiert nicht mehr automatisch auf DDo S-Angriffe** — Shield Advanced stellt seine automatischen Reaktionsaktivitäten für die Ressource ein.
+ **Entfernt nicht benötigte Regeln aus der Shield Advanced-Regelgruppe** — Wenn Shield Advanced Regeln in seiner verwalteten Regelgruppe im Namen der geschützten Ressource verwaltet, werden sie entfernt. 
+ **Entfernt die Shield Advanced-Regelgruppe, wenn sie nicht mehr verwendet** wird — Wenn die Web-ACL, die Sie der Ressource zugeordnet haben, keiner anderen Ressource zugeordnet ist, für die automatische Schadensbegrenzung aktiviert ist, entfernt Shield Advanced ihre Regelgruppenregel aus der Web-ACL. 

# Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe
<a name="ddos-automatic-app-layer-response-rg"></a>

Auf dieser Seite wird erklärt, wie die Shield Advanced-Regelgruppe in Ihrer Web-ACL funktioniert.

Shield Advanced verwaltet automatische Minderungsaktivitäten mithilfe von Regeln in einer Regelgruppe, die es besitzt und für Sie verwaltet. Shield Advanced verweist auf die Regelgruppe mit einer Regel in der Web-ACL, die Sie mit Ihrer geschützten Ressource verknüpft haben. 

**Die Regelgruppenregel in Ihrer Web-ACL**  
Die Shield Advanced-Regelgruppenregel in Ihrer Web-ACL hat die folgenden Eigenschaften:
+ **Name (Name** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Web-ACL-Kapazitätseinheiten (WCU)** — 150. Diese werden WCUs auf die WCU-Nutzung in Ihrer Web-ACL angerechnet. 

Shield Advanced erstellt diese Regel in Ihrer Web-ACL mit einer Prioritätseinstellung von 10.000.000, sodass sie nach Ihren anderen Regeln und Regelgruppen in der Web-ACL ausgeführt wird. AWS WAF führt die Regeln in einer Web-ACL ab der Einstellung mit der niedrigsten numerischen Priorität aus. Während der Verwaltung der Web-ACL kann sich diese Prioritätseinstellung ändern. 

Die automatische Schadensbegrenzungsfunktion verbraucht keine zusätzlichen AWS WAF Ressourcen in Ihrem Konto, mit Ausnahme der Ressourcen, die von der Regelgruppe in Ihrer Web-ACL WCUs verwendet werden. Beispielsweise wird die Shield Advanced-Regelgruppe nicht zu den Regelgruppen Ihres Kontos gezählt. Informationen zu Kontolimits in AWS WAF finden Sie unter[AWS WAF Kontingente](limits.md).

**Regeln in der Regelgruppe**  
Innerhalb der referenzierten Shield Advanced-Regelgruppe unterhält Shield Advanced eine ratenbasierte Regel`ShieldKnownOffenderIPRateBasedRule`, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Quellen von DDo S-Angriffen sind. Diese Regel dient als erste Verteidigungslinie gegen Angriffe, da sie in der Regelgruppe immer präsent ist und sich nicht auf die Analyse von Datenverkehrsmustern stützt, um Angriffe einzudämmen. Die Aktion dieser Regel ist wie bei den anderen Regeln in der Regelgruppe auf die Aktion festgelegt, die Sie für Ihre automatischen Abhilfemaßnahmen auswählen. Weitere Informationen über ratenbasierte Regeln finden Sie unter [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).

**Anmerkung**  
Die ratenbasierte Regel `ShieldKnownOffenderIPRateBasedRule` funktioniert unabhängig von der Shield Advanced-Ereigniserkennung. Die automatische Abwehr ist zwar aktiviert, diese Regelrate begrenzt jedoch IP-Adressen, von denen bekannt ist, dass sie Quellen von DDo S-Angriffen sind. Bei diesen IP-Adressen kann die Ratenbegrenzung der Regel Angriffe verhindern und auch verhindern, dass Angriffe in den Erkennungsinformationen von Shield Advanced erscheinen. Bei diesem Kompromiss wird die Prävention der vollständigen Transparenz der Angriffsmuster vorgezogen. 

Zusätzlich zu der oben beschriebenen permanenten ratenbasierten Regel enthält die Regelgruppe alle Regeln, die Shield Advanced derzeit zur Abwehr DDo von S-Angriffen verwendet. Shield Advanced fügt diese Regeln nach Bedarf hinzu, ändert und entfernt sie. Weitere Informationen finden Sie unter [So verwaltet Shield Advanced die automatische Schadensbegrenzung](ddos-automatic-app-layer-response-behavior.md).

**Kennzahlen**  
Die Regelgruppe generiert AWS WAF Metriken, aber da diese Regelgruppe Shield Advanced gehört, können diese Metriken nicht angezeigt werden. Weitere Informationen finden Sie unter [AWS WAF Metriken und Dimensionen](waf-metrics.md).

# Konfiguration zur automatischen Abwehr der Anwendungsschicht DDo S für eine Ressource anzeigen
<a name="view-automatic-app-layer-response-configuration"></a>

Auf der Seite Geschützte **Ressourcen und auf den Seiten mit den einzelnen Schutzmaßnahmen** können Sie sich die Konfiguration der automatischen Schadensbegrenzung für Anwendungen auf Layer DDo S für eine Ressource ansehen. 

**So zeigen Sie die Konfiguration der automatischen Schadensbegrenzung auf Anwendungsebene DDo S an**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF & Shield-Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Wählen Sie im AWS Shield Navigationsbereich **Geschützte Ressourcen** aus. In der Liste der geschützten Ressourcen gibt die Spalte **Automatische Abwehr der Anwendungsschicht DDo S** an, ob die automatische Risikominderung aktiviert ist und, sofern aktiviert, welche Aktion Shield Advanced bei seinen Abhilfemaßnahmen verwenden soll. 

   Sie können auch eine beliebige Ressource auf Anwendungsebene auswählen, um dieselben Informationen auf der Schutzseite für die Ressource anzuzeigen. 

# Automatische Abwehr auf Anwendungsebene DDo S aktivieren und deaktivieren
<a name="enable-disable-automatic-app-layer-response"></a>

Das folgende Verfahren zeigt, wie Sie die automatische Antwort für eine geschützte Ressource aktivieren oder deaktivieren. 

**Um die automatische Abwehr auf Anwendungsebene DDo S für eine einzelne Ressource zu aktivieren oder zu deaktivieren**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF & Shield-Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Wählen Sie im AWS Shield Navigationsbereich die Option **Geschützte Ressourcen** aus.

1. Wählen Sie auf der Registerkarte **Schutz** die Ressource auf Anwendungsebene aus, für die Sie die automatische Schadensbegrenzung aktivieren möchten. Die Seite mit den Schutzmaßnahmen für die Ressource wird geöffnet. 

1. **Wählen Sie auf der Schutzseite der Ressource die Option Bearbeiten aus.** 

1. Wählen Sie auf der Seite ** DDoLayer-7-S-Abwehr für globale Ressourcen konfigurieren — *optional*** für **Automatische Schadensbegrenzung auf Anwendungsebene DDo** die Option aus, die Sie für automatische Abwehr verwenden möchten. In der Konsole stehen die folgenden Optionen zur Verfügung: 
   + **Aktuelle Einstellungen beibehalten** — Nehmen Sie keine Änderungen an den Einstellungen für die automatische Schadensbegrenzung der geschützten Ressource vor. 
   + **Aktivieren** — Aktiviert die automatische Schadensbegrenzung für die geschützte Ressource. Wenn Sie diese Option wählen, wählen Sie in den Web-ACL-Regeln auch die Regelaktion aus, die von den automatischen Risikominderungen verwendet werden soll. Weitere Informationen zu Einstellungen für Regelaktionen finden Sie unter [Verwenden von Regelaktionen in AWS WAF](waf-rule-action.md).

     Wenn Ihre geschützte Ressource noch keinen Verlauf des normalen Anwendungsverkehrs hat, aktivieren Sie die automatische Schadensbegrenzung im Count Modus, bis Shield Advanced einen Basiswert festlegen kann. Shield Advanced beginnt mit der Erfassung von Informationen für seine Baseline, wenn Sie Ihrer geschützten Ressource eine Web-ACL zuordnen. Es kann 24 Stunden bis 30 Tage dauern, bis eine gute Ausgangsbasis für normalen Datenverkehr erstellt ist.
   + **Deaktivieren** — Deaktiviert die automatische Schadensbegrenzung für die geschützte Ressource. 

1. Gehen Sie die restlichen Seiten durch, bis Sie fertig sind, und speichern Sie die Konfiguration. 

Auf der Seite **Schutzmaßnahmen werden** die Einstellungen für die automatische Schadensbegrenzung für die Ressource aktualisiert.

# Änderung der Aktion, die für die automatische Abwehr von Anwendungsschicht DDo S verwendet wird
<a name="change-action-of-automatic-app-layer-response"></a>

Sie können die Aktion, die Shield Advanced für seine automatische Antwort auf Anwendungsebene verwendet, an mehreren Stellen in der Konsole ändern:
+ **Konfiguration der automatischen Schadensbegrenzung** — Ändern Sie die Aktion, wenn Sie die automatische Schadensbegrenzung für Ihre Ressource konfigurieren. Das Verfahren finden Sie im vorherigen Abschnitt. [Automatische Abwehr auf Anwendungsebene DDo S aktivieren und deaktivieren](enable-disable-automatic-app-layer-response.md)
+ **Seite mit den Ereignisdetails** — Ändern Sie die Aktion auf der Seite mit den Ereignisdetails, wenn Sie die Ereignisinformationen in der Konsole anzeigen. Weitere Informationen finden Sie unter [AWS Shield Advanced Veranstaltungsdetails anzeigen](ddos-event-details.md).

Wenn Sie über zwei geschützte Ressourcen verfügen, die sich eine Web-ACL teilen, und Sie die Aktion für die eine und Count Block für die andere auf setzen, legt Shield Advanced die Aktion für die ratenbasierte Regel `ShieldKnownOffenderIPRateBasedRule` der Regelgruppe auf fest. Block

# Verwendung AWS CloudFormation mit automatischer DDo Application-Layer-S-Abwehr
<a name="manage-automatic-mitigation-in-cfn"></a>

Auf dieser Seite wird erklärt, wie Sie CloudFormation Ihre Schutzmaßnahmen und AWS WAF Ihr Internet verwalten können. ACLs 

**Automatische Schadensbegrenzung auf Anwendungsebene DDo S aktivieren oder deaktivieren**  
Sie können die automatische Risikominderung auf Anwendungsebene DDo S mithilfe der Ressource aktivieren AWS CloudFormation und deaktivieren. `AWS::Shield::Protection` Der Effekt ist derselbe wie bei der Aktivierung oder Deaktivierung der Funktion über die Konsole oder eine andere Schnittstelle. Informationen zu der CloudFormation Ressource finden Sie [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)im *AWS CloudFormation Benutzerhandbuch*.

**Verwaltung der Internetnutzung ACLs mit automatischer Schadensbegrenzung**  
Shield Advanced verwaltet die automatische Schadensbegrenzung für Ihre geschützte Ressource mithilfe einer Regelgruppenregel in der AWS WAF Web-ACL der geschützten Ressource. Über die AWS WAF Konsole und Sie sehen die Regel APIs, die in Ihren Web-ACL-Regeln aufgeführt ist, mit einem Namen, der mit `ShieldMitigationRuleGroup` beginnt. Diese Regel ist für Ihre automatische Schadensbegrenzung auf Anwendungsebene DDo S vorgesehen und wird von Shield Advanced und AWS WAF für Sie verwaltet. Weitere Informationen erhalten Sie unter [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md) und [So verwaltet Shield Advanced die automatische Schadensbegrenzung](ddos-automatic-app-layer-response-behavior.md).

Wenn Sie CloudFormation Ihr Web verwalten ACLs, fügen Sie die Shield Advanced-Regelgruppenregel nicht zu Ihrer Web-ACL-Vorlage hinzu. Wenn Sie eine Web-ACL aktualisieren, die mit Ihren automatischen Schutzmaßnahmen verwendet wird, verwaltet AWS WAF automatisch die Regelgruppenregel in der Web-ACL. 

Im Vergleich zu anderen Websites, über die Sie die Verwaltung durchführen, werden Sie ACLs die folgenden Unterschiede feststellen: CloudFormation
+ CloudFormation meldet keine Abweichung im Stack-Drift-Status zwischen der tatsächlichen Konfiguration der Web-ACL mit der Shield Advanced-Regelgruppenregel und Ihrer Web-ACL-Vorlage ohne die Regel. Die Shield Advanced-Regel wird nicht in der tatsächlichen Liste für die Ressource in den Drift-Details angezeigt. 

  Sie können die Shield Advanced-Regelgruppenregel in Web-ACL-Auflistungen sehen AWS WAF, aus denen Sie sie abrufen, z. B. über die AWS WAF Konsole oder AWS WAF APIs.
+ Wenn Sie die Web-ACL-Vorlage in einem Stapel ändern, AWS WAF behält Shield Advanced automatisch die automatische Schadensbegrenzungsregel von Shield Advanced in der aktualisierten Web-ACL bei. Die von Shield Advanced bereitgestellten automatischen Schutzmaßnahmen zur Schadensbegrenzung werden durch Ihr Update der Web-ACL nicht unterbrochen.

Verwalten Sie die Shield Advanced-Regel nicht in Ihrer CloudFormation Web-ACL-Vorlage. Die Web-ACL-Vorlage sollte die Shield Advanced-Regel nicht auflisten. Folgen Sie den bewährten Methoden für die Verwaltung von Web-ACLS unter[Bewährte Methoden für die Verwendung der automatischen DDo Application-Layer-S-Abwehr](ddos-automatic-app-layer-response-bp.md).