Surveillance et réglage de votre AWS WAF protections - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance et réglage de votre AWS WAF protections

Cette section décrit comment surveiller et régler votre AWS WAF protections.

Note

Pour suivre les instructions de cette section, vous devez comprendre de manière générale comment créer et gérer AWS WAF protections telles que le WebACLs, les règles et les groupes de règles. Ces informations sont abordées dans les sections précédentes de ce guide.

Surveillez le trafic Web et les correspondances entre les règles pour vérifier le comportement du WebACL. Si vous rencontrez des problèmes, ajustez vos règles pour les corriger, puis surveillez pour vérifier les ajustements.

Répétez la procédure suivante jusqu'à ce que le Web ACL gère votre trafic Web comme vous en avez besoin.

Pour surveiller et régler
  1. Surveillez le trafic et respectez les règles

    Assurez-vous que le trafic circule et que vos règles de test trouvent les demandes correspondantes.

    Consultez les informations suivantes concernant les protections que vous testez :

    • Journaux : accédez aux informations relatives aux règles qui correspondent à une requête Web :

      • Vos règles - Règles du Web ACL qui ont Count les actions sont répertoriées ci-dessousnonTerminatingMatchingRules. Règles avec Allow or Block sont répertoriés sous le nom determinatingRule. Règles avec CAPTCHA or Challenge peuvent être résilients ou non, et sont donc répertoriés dans l'une des deux catégories, en fonction du résultat de la correspondance des règles.

      • Groupes de règles : les groupes de règles sont identifiés ruleGroupId sur le terrain et leurs correspondances sont classées de la même manière que pour les règles autonomes.

      • Étiquettes : les étiquettes que les règles ont appliquées à la demande sont répertoriées dans le Labels champ.

      Pour de plus amples informations, veuillez consulter Champs de journal pour le ACL trafic Web.

    • CloudWatch Métriques Amazon — Vous pouvez accéder aux statistiques suivantes pour évaluer votre ACL demande Web.

      • Vos règles : les métriques sont regroupées en fonction de l'action de la règle. Par exemple, lorsque vous testez une règle dans Count mode, ses correspondances sont répertoriées sous forme de Count métriques pour le WebACL.

      • Vos groupes de règles : les statistiques de vos groupes de règles sont répertoriées sous les métriques des groupes de règles.

      • Groupes de règles appartenant à un autre compte : les statistiques des groupes de règles ne sont généralement visibles que par le propriétaire du groupe de règles. Toutefois, si vous annulez l'action d'une règle, les mesures associées à cette règle seront répertoriées sous vos ACL statistiques Web. En outre, les étiquettes ajoutées par n'importe quel groupe de règles sont répertoriées dans vos ACL statistiques Web

        Les groupes de règles de cette catégorie sont les groupes de règles Protection contre les menaces Web courantes grâce à des règles AWS gérées pour AWS WAF AWS Marketplace groupes de règles gérésUtilisation de groupes de règles fournis par d'autres services,, et les groupes de règles partagés avec vous par un autre compte.

      • Étiquettes : les étiquettes ajoutées à une demande Web lors de l'évaluation sont répertoriées dans les métriques des ACL étiquettes Web. Vous pouvez accéder aux statistiques de toutes les étiquettes, qu'elles aient été ajoutées par vos règles et groupes de règles ou par les règles d'un groupe de règles appartenant à un autre compte.

      Pour de plus amples informations, veuillez consulter Afficher les statistiques de votre site Web ACL.

    • Tableaux de bord d'aperçu du ACL trafic Web : accédez aux résumés du trafic Web évalué par un site Web ACL en accédant à la page Web ACL dans le AWS WAF console et ouverture de l'onglet Aperçu du trafic.

      Les tableaux de bord d'aperçu du trafic fournissent des résumés en temps quasi réel des indicateurs Amazon CloudWatch qui AWS WAF collecte lorsqu'il évalue le trafic Web de votre application.

      Pour de plus amples informations, veuillez consulter Tableaux de bord de présentation du trafic Web ACL.

    • Demandes Web échantillonnées : accédez aux informations relatives aux règles qui correspondent à un échantillon de requêtes Web. Les exemples d'informations identifient les règles correspondantes par le nom de métrique de la règle sur le WebACL. Pour les groupes de règles, la métrique identifie l'énoncé de référence du groupe de règles. Pour les règles au sein de groupes de règles, l'exemple répertorie le nom de règle correspondant dansRuleWithinRuleGroup.

      Pour de plus amples informations, veuillez consulter Affichage d'un exemple de demandes web.

  2. Configurer les mesures d'atténuation pour corriger les faux positifs

    Si vous déterminez qu'une règle génère des faux positifs, en faisant correspondre les requêtes Web alors qu'elle ne le devrait pas, les options suivantes peuvent vous aider à ajuster vos ACL protections Web afin de les atténuer.

    Corriger les critères d'inspection des règles

    Pour vos propres règles, il vous suffit souvent d'ajuster les paramètres que vous utilisez pour inspecter les requêtes Web. Les exemples incluent la modification des spécifications d'un ensemble de modèles regex, l'ajustement des transformations de texte que vous appliquez à un composant de demande avant l'inspection ou le passage à l'utilisation d'une adresse IP transférée. Consultez les instructions relatives au type de règle à l'origine des problèmes, sousUtilisation d'instructions de règle dans AWS WAF.

    Corriger des problèmes plus complexes

    Pour les critères d'inspection que vous ne contrôlez pas et pour certaines règles complexes, vous devrez peut-être apporter d'autres modifications, par exemple en ajoutant des règles qui autorisent ou bloquent explicitement les demandes ou qui éliminent les demandes de l'évaluation par la règle problématique. Les groupes de règles gérés ont le plus souvent besoin de ce type d'atténuation, mais d'autres règles le peuvent également. Les exemples incluent l'instruction de règle basée sur le débit et la déclaration de règle SQL d'attaque par injection.

    Les mesures à prendre pour atténuer les faux positifs dépendent de votre cas d'utilisation. Les approches les plus courantes sont les suivantes :

    • Ajouter une règle atténuante : ajoutez une règle qui s'exécute avant la nouvelle règle et qui autorise explicitement les demandes qui génèrent des faux positifs. Pour plus d'informations sur l'ordre d'évaluation des règles sur un site WebACL, consultezDéfinition de la priorité des règles sur un site Web ACL.

      Avec cette approche, les demandes autorisées sont envoyées à la ressource protégée, de sorte qu'elles n'atteignent jamais la nouvelle règle d'évaluation. Si la nouvelle règle est un groupe de règles géré payant, cette approche peut également contribuer à limiter le coût d'utilisation du groupe de règles.

    • Ajouter une règle logique avec une règle atténuante : utilisez des instructions de règle logique pour combiner la nouvelle règle avec une règle qui exclut les faux positifs. Pour plus d’informations, veuillez consulter Utilisation d'instructions de règles logiques dans AWS WAF.

      Supposons, par exemple, que vous ajoutiez une instruction de correspondance pour une attaque SQL par injection qui génère des faux positifs pour une catégorie de requêtes. Créez une règle qui correspond à ces demandes, puis combinez les règles à l'aide d'instructions de règles logiques afin de ne faire correspondre que les demandes qui ne répondent pas aux critères des faux positifs et qui répondent aux critères des attaques SQL par injection.

    • Ajouter une instruction de portée réduite : pour les instructions basées sur le taux et les instructions de référence à des groupes de règles gérés, excluez les demandes qui génèrent des faux positifs de l'évaluation en ajoutant une instruction de portée réduite dans l'instruction principale.

      Une demande qui ne correspond pas à l'instruction scope-down n'atteint jamais le groupe de règles ou l'évaluation basée sur le taux. Pour plus d'informations sur les instructions de portée réduite, consultez. Utilisation d'instructions scope-down dans AWS WAF Pour obtenir un exemple, consultez Exclure la plage d'adresses IP de la gestion des robots.

    • Ajouter une règle de correspondance des libellés : pour les groupes de règles qui utilisent l'étiquetage, identifiez l'étiquette que la règle problématique applique aux demandes. Vous devrez peut-être d'abord définir les règles du groupe de règles en mode décompte, si ce n'est déjà fait. Ajoutez une règle de correspondance des libellés, positionnée pour s'exécuter après le groupe de règles, qui correspond à l'étiquette ajoutée par la règle problématique. Dans la règle de correspondance des libellés, vous pouvez filtrer les demandes que vous souhaitez autoriser de celles que vous souhaitez bloquer.

      Si vous utilisez cette approche, lorsque vous aurez terminé le test, conservez la règle problématique en mode décompte dans le groupe de règles et maintenez votre règle de correspondance d'étiquettes personnalisée en place. Pour plus d'informations sur les déclarations de correspondance des étiquettes, voirDéclaration de règle de correspondance des étiquettes. Pour obtenir des exemples, veuillez consulter Autoriser un bot bloqué spécifique et Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises.

    • Modifier la version d'un groupe de règles géré : pour les groupes de règles gérés versionnés, modifiez la version que vous utilisez. Par exemple, vous pouvez revenir à la dernière version statique que vous avez utilisée avec succès.

      Il s'agit généralement d'une solution temporaire. Vous pouvez modifier la version pour votre trafic de production pendant que vous continuez à tester la dernière version dans votre environnement de test ou de préparation, ou pendant que vous attendez une version plus compatible de la part du fournisseur. Pour plus d'informations sur les versions des groupes de règles gérés, consultezUtilisation de groupes de règles gérés dans AWS WAF.

Lorsque vous êtes certain que les nouvelles règles correspondent aux demandes comme vous le souhaitez, passez à l'étape suivante de vos tests et répétez cette procédure. Effectuez la dernière étape de test et de réglage dans votre environnement de production.