As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controles CSPM do Security Hub para AWS WAF
Esses AWS Security Hub CSPM controles avaliam o AWS WAF serviço e os recursos. Os controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte [Disponibilidade de controles por região](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o registro está habilitado para uma ACL da web AWS WAF global. Esse controle falhará se o registro em log não estiver habilitado para a ACL da web.
O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho AWS WAF global. É um requisito comercial e de conformidade em muitas organizações e permite solucionar problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web que está associada ao AWS WAF.
### Correção
Para ativar o registro de uma ACL AWS WAF da web, consulte [Registro de informações de tráfego da ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) no Guia do *AWS WAF desenvolvedor*.
## [WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFRegional::Rule`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma regra AWS WAF regional tem pelo menos uma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra regional do WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra regional do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para adicionar uma condição a uma regra vazia, consulte [Adicionar e remover condições em uma regra](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) no *Guia do desenvolvedor do AWS WAF *.
## [WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFRegional::RuleGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de regras AWS WAF regionais tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF regional pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras regionais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para adicionar regras e condições de regras a um grupo de regras vazio, consulte [Adicionar e excluir regras de um grupo de regras AWS WAF clássico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) e [Adicionar e remover condições em uma regra](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) no *Guia do AWS WAF desenvolvedor*.
## [WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFRegional::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS WAF Classic regional Web ACL contém alguma regra WAF ou grupos de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.
Uma ACL da web do WAF Regional pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.
### Correção
Para adicionar regras ou grupos de regras a uma ACL da web regional AWS WAF clássica vazia, consulte [Editando uma ACL da Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) no Guia do *AWS WAF desenvolvedor*.
## [WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::Rule`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma regra AWS WAF global contém alguma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra global WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra global do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para obter instruções sobre como criar uma regra e adicionar condições, consulte [Criar uma regra e adicionar condições](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) no *Guia do desenvolvedor do AWS WAF *.
## [WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::RuleGroup`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se um grupo de regras AWS WAF global tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF Global pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras globais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
### Correção
Para obter instruções sobre como adicionar uma regra a um grupo de regras, consulte [Criação de um grupo de regras AWS WAF clássico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) no *Guia do AWS WAF desenvolvedor*.
## [WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAF::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma Web ACL AWS WAF global contém pelo menos uma regra WAF ou um grupo de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.
Uma ACL da web global do WAF pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.
### Correção
Para adicionar regras ou grupos de regras a uma ACL da web AWS WAF global vazia, consulte [Edição de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) no Guia do *AWS WAF desenvolvedor*. Em **Filtro**, escolha **Global (CloudFront)**.
## [WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Proteger > Configuração de rede segura
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFv2::WebACL`
**Regra do AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma lista de controle de acesso à web AWS WAF V2 (Web ACL) contém pelo menos uma regra ou grupo de regras. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras.
A web ACL é um recurso que oferece controle detalhado sobre todas as solicitações web HTTP (S) às quais o recurso protegido responde. Uma web ACL deve conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou manipulado, AWS WAF dependendo da ação padrão.
### Correção
Para adicionar regras ou grupos de regras a uma WAFV2 Web ACL vazia, consulte [Editando uma Web ACL no Guia](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) do *AWS WAF Desenvolvedor*.
## [WAF.11] O registro de ACL AWS WAF da web deve estar ativado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificar > Registro em log
**Gravidade:** baixa
**Tipo de recurso:** `AWS::WAFv2::WebACL`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Tipo de programação:** Periódico
**Parâmetros**: nenhum
Esse controle verifica se o registro está ativado para uma lista de controle de acesso à web AWS WAF V2 (Web ACL). Esse controle falhará se o registro em log não estiver habilitado para a web ACL.
**nota**
Esse controle não verifica se o registro de ACL AWS WAF na web está habilitado para uma conta por meio do Amazon Security Lake.
O registro mantém a confiabilidade, a disponibilidade e o desempenho do AWS WAF. Além disso, o registro em log é um requisito comercial e de conformidade em muitas organizações. Ao registrar em log o tráfego que é analisado pela sua ACL da web, você pode solucionar problemas de comportamento do aplicativo.
### Correção
Para ativar o registro de uma ACL AWS WAF da web, consulte [Gerenciando o registro de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) no Guia do *AWS WAF desenvolvedor*.
## As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Identificar > Registro em log
**Gravidade:** média
**Tipo de recurso:** `AWS::WAFv2::RuleGroup`
**AWS Config regra: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Tipo de programação:** acionado por alterações
**Parâmetros**: nenhum
Esse controle verifica se uma AWS WAF regra ou grupo de regras tem CloudWatch métricas da Amazon ativadas. O controle falhará se a regra ou o grupo de regras não tiver CloudWatch métricas ativadas.
A configuração de CloudWatch métricas em AWS WAF regras e grupos de regras fornece visibilidade do fluxo de tráfego. É possível ver quais regras de ACL são acionadas e quais solicitações são aceitas e bloqueadas. Essa visibilidade pode ajudar você a identificar atividades maliciosas nos recursos associados.
### Correção
Para ativar CloudWatch métricas em um grupo de AWS WAF regras, invoque a [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Para ativar CloudWatch métricas em uma AWS WAF regra, invoque a API da [ UpdateWebACL.](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) Defina o campo `CloudWatchMetricsEnabled` como `true`. Quando você usa o AWS WAF console para criar regras ou grupos de regras, as CloudWatch métricas são ativadas automaticamente.