Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen

In diesem Abschnitt wird beschrieben, wie Sie Ihre überwachen und einstellen AWS WAF Schutzmaßnahmen.

Anmerkung

Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie Sie etwas erstellen und verwalten AWS WAF Schutzmaßnahmen wie InternetACLs, Regeln und Regelgruppen. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

Überwachen Sie den Webverkehr und Regelübereinstimmungen, um das Verhalten des Webs zu überprüfenACL. Wenn Sie Probleme feststellen, passen Sie Ihre Regeln an, um sie zu korrigieren, und überwachen Sie sie anschließend, um die Anpassungen zu überprüfen.

Wiederholen Sie das folgende Verfahren, bis ACL das Web Ihren Web-Traffic so verwaltet, wie Sie es benötigen.

Zur Überwachung und Abstimmung
  1. Überwachen Sie den Datenverkehr und die Regelübereinstimmungen

    Stellen Sie sicher, dass der Datenverkehr fließt und dass Ihre Testregeln passende Anfragen finden.

    Suchen Sie nach den folgenden Informationen für die Schutzmaßnahmen, die Sie testen:

    • Protokolle — Greifen Sie auf Informationen zu den Regeln zu, die einer Webanfrage entsprechen:

      • Deine Regeln — Regeln im WebACL, die Count Aktionen sind unter aufgeführtnonTerminatingMatchingRules. Regeln mit Allow or Block sind aufgeführt alsterminatingRule. Regeln mit CAPTCHA or Challenge können entweder beendend oder nicht beendend sein und werden daher je nach Ergebnis des Regelabgleichs in einer der beiden Kategorien aufgeführt.

      • Regelgruppen — Regelgruppen werden im ruleGroupId Feld identifiziert, wobei ihre Regelübereinstimmungen genauso kategorisiert werden wie bei eigenständigen Regeln.

      • Labels — Labels, die Regeln auf die Anfrage angewendet haben, werden in dem Labels Feld aufgeführt.

      Weitere Informationen finden Sie unter Protokollfelder für ACL Web-Traffic.

    • CloudWatch Amazon-Metriken — Sie können auf die folgenden Metriken für die Bewertung Ihrer ACL Webanfrage zugreifen.

      • Ihre Regeln — Die Metriken sind nach der Regelaktion gruppiert. Zum Beispiel, wenn Sie eine Regel testen in Count Im Modus werden die Treffer als Count Metriken für das Web aufgeführtACL.

      • Ihre Regelgruppen — Die Metriken für Ihre Regelgruppen sind unter den Regelgruppen-Metriken aufgeführt.

      • Regelgruppen, die einem anderen Konto gehören — Regelgruppen-Metriken sind in der Regel nur für den Eigentümer der Regelgruppe sichtbar. Wenn Sie jedoch die Regelaktion für eine Regel überschreiben, werden die Metriken für diese Regel unter Ihren ACL Web-Metriken aufgeführt. Darüber hinaus werden Labels, die von einer beliebigen Regelgruppe hinzugefügt wurden, in Ihren ACL Web-Metriken aufgeführt

        Regelgruppen in dieser Kategorie sindSchutz vor häufigen Internet-Bedrohungen mit AWS Managed Rules für AWS WAF, AWS Marketplace Verwaltete RegelgruppenVerwenden von Regelgruppen, die von anderen Diensten bereitgestellt werden, und Regelgruppen, die von einem anderen Konto mit Ihnen geteilt werden.

      • Labels — Labels, die während der Evaluierung zu einer Webanfrage hinzugefügt wurden, werden in den Metriken für ACL Weblabels aufgeführt. Sie können auf die Metriken für alle Labels zugreifen, unabhängig davon, ob sie durch Ihre Regeln und Regelgruppen oder durch Regeln in einer Regelgruppe hinzugefügt wurden, die einem anderen Konto gehört.

      Weitere Informationen finden Sie unter Metriken für Ihr Web anzeigen ACL.

    • Dashboards zur Übersicht über den ACL Web-Traffic — Rufen Sie Zusammenfassungen des Web-Traffics auf, den ein Web ausgewertet ACL hat, indem Sie die Webseite im ACL AWS WAF Konsole und Öffnen des Tabs mit der Übersicht über den Datenverkehr.

      Die Traffic-Übersichts-Dashboards bieten nahezu in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken, die AWS WAF sammelt, wenn es den Web-Traffic Ihrer Anwendung auswertet.

      Weitere Informationen finden Sie unter Dashboards zur Übersicht über den Web-ACL-Verkehr.

    • Stichproben von Webanfragen — Greifen Sie auf Informationen zu den Regeln zu, die einer Stichprobe der Webanfragen entsprechen. Die Beispielinformationen identifizieren übereinstimmende Regeln anhand des Metriknamens für die Regel im WebACL. Bei Regelgruppen identifiziert die Metrik die Referenzanweisung für die Regelgruppe. Für Regeln innerhalb von Regelgruppen listet das Beispiel den entsprechenden Regelnamen in aufRuleWithinRuleGroup.

      Weitere Informationen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.

  2. Konfigurieren Sie Abhilfemaßnahmen, um Fehlalarme zu beheben

    Wenn Sie feststellen, dass eine Regel Fehlalarme generiert, indem sie Webanfragen abgleicht, obwohl dies nicht der Fall sein sollte, können Ihnen die folgenden Optionen dabei helfen, Ihren ACL Web-Schutz so zu optimieren, dass dieser Fehler behoben wird.

    Korrektur der Kriterien für die Überprüfung von Regeln

    Für Ihre eigenen Regeln müssen Sie oft nur die Einstellungen anpassen, die Sie zur Überprüfung von Webanfragen verwenden. Beispiele hierfür sind das Ändern der Spezifikationen in einem Regex-Mustersatz, das Anpassen der Texttransformationen, die Sie vor der Überprüfung auf eine Anforderungskomponente anwenden, oder die Umstellung auf die Verwendung einer weitergeleiteten IP-Adresse. Die Anleitungen für den Regeltyp, der Probleme verursacht, finden Sie unter. Verwenden von Regelanweisungen in AWS WAF

    Korrigieren komplexerer Probleme

    Bei Prüfkriterien, die Sie nicht kontrollieren können, und bei einigen komplexen Regeln müssen Sie möglicherweise weitere Änderungen vornehmen, z. B. Regeln hinzufügen, die Anfragen explizit zulassen oder blockieren oder die Anfragen anhand der problematischen Regel von der Bewertung ausschließen. Für verwaltete Regelgruppen ist diese Art von Schadensbegrenzung am häufigsten erforderlich, aber auch für andere Regeln ist dies möglich. Beispiele hierfür sind die ratenbasierte Regelanweisung und die Regelanweisung für SQL Injection-Angriffe.

    Was Sie tun, um Fehlalarme zu vermeiden, hängt von Ihrem Anwendungsfall ab. Die folgenden Ansätze sind gebräuchlich:

    • Schadensbegrenzungsregel hinzufügen — Fügen Sie eine Regel hinzu, die vor der neuen Regel ausgeführt wird und Anfragen, die zu Fehlalarmen führen, ausdrücklich zulässt. Informationen zur Reihenfolge der Regelauswertung in einer Website finden Sie ACL unterRegelpriorität in einem Web festlegen ACL.

      Bei diesem Ansatz werden die zulässigen Anfragen an die geschützte Ressource gesendet, sodass sie nie die neue Regel zur Auswertung erreichen. Wenn es sich bei der neuen Regel um eine kostenpflichtige verwaltete Regelgruppe handelt, kann dieser Ansatz auch dazu beitragen, die Kosten für die Nutzung der Regelgruppe einzudämmen.

    • Eine logische Regel mit einer Schadensbegrenzungsregel hinzufügen — Verwenden Sie logische Regelanweisungen, um die neue Regel mit einer Regel zu kombinieren, die Fehlalarme ausschließt. Weitere Informationen finden Sie unter Verwendung logischer Regelanweisungen in AWS WAF.

      Nehmen wir zum Beispiel an, Sie fügen eine Match-Anweisung für SQL Injection-Angriffe hinzu, die Falschmeldungen für eine Kategorie von Anfragen generiert. Erstellen Sie eine Regel, die diesen Anforderungen entspricht, und kombinieren Sie die Regeln dann mithilfe logischer Regelanweisungen, sodass Sie nur bei Anfragen einen Treffer erzielen, die sowohl nicht den Kriterien für falsch positive Ergebnisse als auch den Kriterien für SQL Injektionsangriffe entsprechen.

    • Eine Aussage zum Umfang hinzufügen — Schließen Sie bei ratenbasierten Aussagen und Referenzanweisungen für verwaltete Regelgruppen Anfragen, die zu falsch positiven Ergebnissen führen, von der Bewertung aus, indem Sie der Hauptaussage eine Scopedown-Aussage hinzufügen.

      Eine Anfrage, die nicht mit der Scopedown-Aussage übereinstimmt, erreicht niemals die regelgruppen- oder ratenbasierte Bewertung. Informationen zu Eingrenzungsanweisungen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF. Ein Beispiel finden Sie unter IP-Bereich von der Bot-Verwaltung ausschließen.

    • Eine Regel zum Abgleich von Bezeichnungen hinzufügen — Identifizieren Sie für Regelgruppen, die Labels verwenden, die Bezeichnung, die die problematische Regel auf Anfragen anwendet. Möglicherweise müssen Sie die Regelgruppenregeln zuerst im Zählmodus einrichten, falls Sie das noch nicht getan haben. Fügen Sie eine Regel für die Zuordnung von Bezeichnungen hinzu, die so positioniert ist, dass sie hinter der Regelgruppe ausgeführt wird und mit der Bezeichnung übereinstimmt, die durch die problematische Regel hinzugefügt wurde. In der Regel für die Zuordnung von Bezeichnungen können Sie die Anfragen, die Sie zulassen möchten, von den Anfragen, die Sie blockieren möchten, filtern.

      Wenn Sie diesen Ansatz verwenden, behalten Sie nach Abschluss des Tests die problematische Regel in der Regelgruppe im Zählmodus und behalten Sie Ihre benutzerdefinierte Regel für den Labelabgleich bei. Informationen zu Anweisungen für Bezeichnungsabgleiche finden Sie unter Regelanweisung für Bezeichnungsübereinstimmung. Beispiele finden Sie unter Einen bestimmten blockierten Bot zulassen und ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen.

    • Ändern Sie die Version einer verwalteten Regelgruppe — Ändern Sie bei versionierten verwalteten Regelgruppen die Version, die Sie verwenden. Sie könnten beispielsweise zur letzten statischen Version zurückkehren, die Sie erfolgreich verwendet haben.

      Dies ist normalerweise eine vorübergehende Lösung. Sie können die Version für Ihren Produktionsdatenverkehr ändern, während Sie die neueste Version in Ihrer Test- oder Staging-Umgebung weiter testen oder während Sie auf eine kompatiblere Version des Anbieters warten. Informationen zu Versionen verwalteter Regelgruppen finden Sie unterVerwenden verwalteter Regelgruppen in AWS WAF.

Wenn Sie überzeugt sind, dass die neuen Regeln den Anforderungen wie gewünscht entsprechen, fahren Sie mit der nächsten Testphase fort und wiederholen Sie dieses Verfahren. Führen Sie die letzte Phase der Tests und Optimierungen in Ihrer Produktionsumgebung durch.