Memantau dan menyetel AWS WAF perlindungan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau dan menyetel AWS WAF perlindungan

Bagian ini menjelaskan cara memantau dan menyetel AWS WAF perlindungan.

catatan

Untuk mengikuti panduan di bagian ini, Anda perlu memahami secara umum cara membuat dan mengelola AWS WAF perlindungan seperti webACLs, aturan, dan kelompok aturan. Informasi itu tercakup dalam bagian sebelumnya dari panduan ini.

Pantau lalu lintas web dan kecocokan aturan untuk memverifikasi perilaku webACL. Jika Anda menemukan masalah, sesuaikan aturan Anda untuk memperbaiki dan kemudian memantau untuk memverifikasi penyesuaian.

Ulangi prosedur berikut sampai web ACL mengelola lalu lintas web Anda seperti yang Anda butuhkan.

Untuk memantau dan menyetel
  1. Pantau lalu lintas dan kecocokan aturan

    Pastikan lalu lintas mengalir dan aturan pengujian Anda menemukan permintaan yang cocok.

    Cari informasi berikut untuk perlindungan yang Anda uji:

    • Log — Mengakses informasi tentang aturan yang cocok dengan permintaan web:

      • Aturan Anda - Aturan di web ACL yang memiliki Count tindakan tercantum di bawahnonTerminatingMatchingRules. Aturan dengan Allow atau Block terdaftar sebagaiterminatingRule. Aturan dengan CAPTCHA atau Challenge dapat berupa terminating atau non-terminating, dan terdaftar di bawah salah satu dari dua kategori, sesuai dengan hasil pertandingan aturan.

      • Grup aturan - Grup aturan diidentifikasi di ruleGroupId lapangan, dengan kecocokan aturan mereka dikategorikan sama dengan aturan mandiri.

      • Label - Label yang aturan telah diterapkan pada permintaan tercantum di Labels bidang.

      Untuk informasi selengkapnya, lihat Bidang log untuk ACL lalu lintas web.

    • CloudWatch Metrik Amazon — Anda dapat mengakses metrik berikut untuk evaluasi ACL permintaan web Anda.

      • Aturan Anda — Metrik dikelompokkan berdasarkan tindakan aturan. Misalnya, ketika Anda menguji aturan di Count mode, kecocokannya terdaftar sebagai Count metrik untuk webACL.

      • Grup aturan Anda — Metrik untuk grup aturan Anda tercantum di bawah metrik grup aturan.

      • Grup aturan yang dimiliki oleh akun lain — Metrik grup aturan umumnya hanya dapat dilihat oleh pemilik grup aturan. Namun, jika Anda mengganti tindakan aturan untuk aturan, metrik untuk aturan tersebut akan dicantumkan di bawah metrik web ACL Anda. Selain itu, label yang ditambahkan oleh grup aturan apa pun tercantum dalam ACL metrik web Anda

        Grup aturan dalam kategori ini adalahMelindungi terhadap ancaman web umum dengan AWS Aturan Terkelola untuk AWS WAF,AWS Marketplace kelompok aturan terkelola,Menggunakan grup aturan yang disediakan oleh layanan lain, dan grup aturan yang dibagikan dengan Anda oleh akun lain.

      • Label - Label yang ditambahkan ke permintaan web selama evaluasi tercantum dalam metrik ACL label web. Anda dapat mengakses metrik untuk semua label, terlepas dari apakah itu ditambahkan oleh aturan dan grup aturan Anda atau oleh aturan dalam grup aturan yang dimiliki akun lain.

      Untuk informasi selengkapnya, lihat Melihat metrik untuk web Anda ACL.

    • Dasbor ikhtisar ACL lalu lintas web — Akses ringkasan lalu lintas web yang ACL telah dievaluasi oleh web dengan membuka halaman web ACL di AWS WAF konsol dan membuka tab Ikhtisar lalu lintas.

      Dasbor ikhtisar lalu lintas menyediakan ringkasan hampir real-time dari metrik Amazon yang CloudWatch AWS WAF mengumpulkan ketika mengevaluasi lalu lintas web aplikasi Anda.

      Untuk informasi selengkapnya, lihat Dasbor ikhtisar lalu lintas ACL web.

    • Permintaan web sampel — Akses informasi untuk aturan yang cocok dengan pengambilan sampel permintaan web. Informasi sampel mengidentifikasi aturan yang cocok dengan nama metrik untuk aturan di webACL. Untuk grup aturan, metrik mengidentifikasi pernyataan referensi grup aturan. Untuk aturan di dalam grup aturan, sampel mencantumkan nama aturan yang cocok diRuleWithinRuleGroup.

      Untuk informasi selengkapnya, lihat Melihat contoh permintaan web.

  2. Konfigurasikan mitigasi untuk mengatasi kesalahan positif

    Jika Anda menentukan bahwa aturan menghasilkan positif palsu, dengan mencocokkan permintaan web ketika seharusnya tidak, opsi berikut dapat membantu Anda menyetel ACL perlindungan web Anda untuk mengurangi.

    Mengoreksi kriteria inspeksi aturan

    Untuk aturan Anda sendiri, Anda sering hanya perlu menyesuaikan pengaturan yang Anda gunakan untuk memeriksa permintaan web. Contohnya termasuk mengubah spesifikasi dalam kumpulan pola regex, menyesuaikan transformasi teks yang Anda terapkan ke komponen permintaan sebelum pemeriksaan, atau beralih menggunakan alamat IP yang diteruskan. Lihat panduan untuk jenis aturan yang menyebabkan masalah, di bawahMenggunakan pernyataan aturan di AWS WAF.

    Memperbaiki masalah yang lebih kompleks

    Untuk kriteria inspeksi yang tidak Anda kendalikan dan untuk beberapa aturan kompleks, Anda mungkin perlu membuat perubahan lain, seperti menambahkan aturan yang secara eksplisit mengizinkan atau memblokir permintaan atau yang menghilangkan permintaan dari evaluasi oleh aturan bermasalah. Kelompok aturan terkelola paling sering membutuhkan jenis mitigasi ini, tetapi aturan lain juga bisa. Contohnya termasuk pernyataan aturan berbasis laju dan pernyataan aturan serangan SQL injeksi.

    Apa yang Anda lakukan untuk mengurangi positif palsu tergantung pada kasus penggunaan Anda. Berikut ini adalah pendekatan umum:

    • Tambahkan aturan mitigasi — Tambahkan aturan yang berjalan sebelum aturan baru dan yang secara eksplisit mengizinkan permintaan yang menyebabkan kesalahan positif. Untuk informasi tentang urutan evaluasi aturan di webACL, lihatMenetapkan prioritas aturan di web ACL.

      Dengan pendekatan ini, permintaan yang diizinkan dikirim ke sumber daya yang dilindungi, sehingga mereka tidak pernah mencapai aturan baru untuk evaluasi. Jika aturan baru adalah grup aturan terkelola berbayar, pendekatan ini juga dapat membantu menahan biaya penggunaan grup aturan.

    • Tambahkan aturan logis dengan aturan mitigasi — Gunakan pernyataan aturan logis untuk menggabungkan aturan baru dengan aturan yang mengecualikan positif palsu. Untuk informasi, lihat Menggunakan pernyataan aturan logis di AWS WAF.

      Misalnya, Anda menambahkan pernyataan kecocokan serangan SQL injeksi yang menghasilkan positif palsu untuk kategori permintaan. Buat aturan yang cocok dengan permintaan tersebut, lalu gabungkan aturan menggunakan pernyataan aturan logis sehingga Anda hanya cocok pada permintaan yang keduanya tidak cocok dengan kriteria positif palsu dan cocok dengan kriteria serangan SQL injeksi.

    • Tambahkan pernyataan cakupan ke bawah — Untuk pernyataan berbasis tingkat dan pernyataan referensi grup aturan terkelola, kecualikan permintaan yang menghasilkan positif palsu dari evaluasi dengan menambahkan pernyataan cakupan ke bawah di dalam pernyataan utama.

      Permintaan yang tidak cocok dengan pernyataan scope-down tidak pernah mencapai kelompok aturan atau evaluasi berbasis tarif. Untuk informasi tentang pernyataan cakupan bawah, lihat. Menggunakan pernyataan scope-down di AWS WAF Sebagai contoh, lihat Tidak termasuk rentang IP dari manajemen bot.

    • Tambahkan aturan pencocokan label — Untuk grup aturan yang menggunakan pelabelan, identifikasi label yang diterapkan aturan bermasalah pada permintaan. Anda mungkin perlu mengatur aturan grup aturan dalam mode hitung terlebih dahulu, jika Anda belum melakukannya. Tambahkan aturan pencocokan label, diposisikan untuk dijalankan setelah grup aturan, yang cocok dengan label yang ditambahkan oleh aturan bermasalah. Dalam aturan pencocokan label, Anda dapat memfilter permintaan yang ingin Anda izinkan dari permintaan yang ingin Anda blokir.

      Jika Anda menggunakan pendekatan ini, saat Anda selesai menguji, pertahankan aturan bermasalah dalam mode hitungan di grup aturan, dan pertahankan aturan pencocokan label kustom Anda. Untuk informasi tentang pernyataan pencocokan label, lihatPernyataan aturan pencocokan label. Sebagai contoh, lihat Mengizinkan bot tertentu yang diblokir dan Contoh ATP: Penanganan khusus untuk kredensi yang hilang dan dikompromikan.

    • Mengubah versi grup aturan terkelola — Untuk grup aturan terkelola berversi, ubah versi yang Anda gunakan. Misalnya, Anda dapat beralih kembali ke versi statis terakhir yang berhasil Anda gunakan.

      Ini biasanya perbaikan sementara. Anda dapat mengubah versi untuk lalu lintas produksi saat melanjutkan pengujian versi terbaru di lingkungan pengujian atau pementasan, atau saat Anda menunggu versi yang lebih kompatibel dari penyedia. Untuk informasi tentang versi grup aturan terkelola, lihatMenggunakan grup aturan terkelola di AWS WAF.

Ketika Anda puas bahwa aturan baru cocok dengan permintaan yang Anda butuhkan, lanjutkan ke tahap pengujian berikutnya dan ulangi prosedur ini. Lakukan tahap akhir pengujian dan penyetelan di lingkungan produksi Anda.