Monitoramento e ajuste - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitoramento e ajuste

Esta seção descreve como monitorar e ajustar suas AWS WAF proteções.

nota

Para seguir as orientações desta seção, você precisa entender geralmente como criar e gerenciar AWS WAF proteções, como ACLs da web, regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

Monitore o tráfego da web e as correspondências de regras para verificar o comportamento da web ACL. Se você encontrar problemas, ajuste suas regras para corrigir e depois monitore para verificar os ajustes.

Repita o procedimento a seguir até que a web ACL esteja gerenciando seu tráfego da web conforme necessário.

Para monitorar e ajustar
  1. Monitore o tráfego e as correspondências de regras

    Verifique se o tráfego está fluindo e se suas regras de teste estão descobrindo solicitações correspondentes.

    Procure as seguintes informações sobre as proteções que você está testando:

    • Logs: acesse informações sobre as regras que correspondem a uma solicitação da web:

      • Suas regras: as regras na web ACL com ação Count estão listadas em nonTerminatingMatchingRules. As regras com Allow ou Block estão listadas como o terminatingRule. Regras com CAPTCHA ou Challenge podem ser de encerramento ou de não encerramento, portanto, são listadas em uma das duas categorias, de acordo com o resultado da correspondência de regras.

      • Grupos de regras: os grupos de regras são identificados no campo ruleGroupId, com suas correspondências de regras categorizadas da mesma forma que as regras autônomas.

      • Rótulos: os rótulos que as regras aplicaram à solicitação são listados no campo Labels.

      Para ter mais informações, consulte Campos de log.

    • CloudWatch Métricas da Amazon — Você pode acessar as seguintes métricas para avaliar sua solicitação de ACL na web.

      • Suas regras — As métricas são agrupadas pela ação da regra. Por exemplo, quando você testa uma regra no Count modo, suas correspondências são listadas como Count métricas para a Web ACL.

      • Seus grupos de regras — As métricas dos seus grupos de regras estão listadas nas métricas do grupo de regras.

      • Grupos de regras pertencentes a outra conta — As métricas do grupo de regras geralmente são visíveis somente para o proprietário do grupo de regras. No entanto, se você substituir a ação da regra por uma regra, as métricas dessa regra serão listadas em suas métricas de ACL da web. Além disso, os rótulos adicionados por qualquer grupo de regras são listados em suas métricas de ACL da web.

        Os grupos de regras nessa categoria sãoAWS Regras gerenciadas para AWS WAF,AWS Marketplace grupos de regras gerenciados,Grupos de regras fornecidos por outros serviços, e grupos de regras que são compartilhados com você por outra conta.

      • Rótulos - Os rótulos que foram adicionados a uma solicitação da web durante a avaliação são listados nas métricas dos rótulos da ACL da web. Você pode acessar as métricas de todos os rótulos, independentemente de terem sido adicionados por suas regras e grupos de regras ou por regras em um grupo de regras de propriedade de outra conta.

      Para ter mais informações, consulte Visualização de métricas para sua web ACL.

    • Painéis de visão geral do tráfego da Web ACL — Acesse resumos do tráfego da Web que uma ACL da Web avaliou acessando a página da ACL da Web no AWS WAF console e abrindo a guia Visão geral do tráfego.

      Os painéis de visão geral do tráfego fornecem resumos quase em tempo real das CloudWatch métricas da Amazon que são AWS WAF coletadas quando avalia o tráfego do seu aplicativo na web.

      Para ter mais informações, consulte Painéis de visão geral do tráfego de web ACL.

    • Solicitações da web amostradas:Acesse as informações das regras que correspondem a uma amostra das solicitações da web. As informações de amostra identificam as regras correspondentes pelo nome da métrica da regra na web ACL. Para grupos de regras, a métrica identifica a instrução de referência do grupo de regras. Para regras dentro de grupos de regras, o exemplo lista o nome da regra correspondente em RuleWithinRuleGroup.

      Para ter mais informações, consulte Visualizar um exemplo de solicitações da web.

  2. Configure mitigações para lidar com falsos positivos

    Se você determinar que uma regra está gerando falsos positivos, correspondendo solicitações da web quando não deveria, as opções a seguir podem ajudá-lo a ajustar suas proteções de web ACL para mitigar.

    Correção de critérios de inspeção de regras

    Para suas próprias regras, muitas vezes você só precisa ajustar as configurações que está usando para inspecionar solicitações da web. Os exemplos incluem alterar as especificações em um conjunto de padrões regex, ajustar as transformações de texto que você aplica a um componente de solicitação antes da inspeção ou mudar para o uso de um endereço IP encaminhado. Consulte a orientação sobre o tipo de regra que está causando problemas, em Princípios básicos da instrução de regras.

    Correção de problemas mais complexos

    Para critérios de inspeção que você não controla e para algumas regras complexas, talvez seja necessário fazer outras alterações, como adicionar regras que permitam ou bloqueiem solicitações explicitamente ou que eliminem as solicitações da avaliação pela regra problemática. Os grupos de regras gerenciadas geralmente precisam desse tipo de mitigação, mas outras regras também precisam. Os exemplos incluem a instrução de regra baseada em intervalos e a instrução de regra de ataque de injeção de SQL.

    O que você faz para mitigar falsos positivos depende do seu caso de uso. A seguir, são mostradas as abordagens comuns:

    • Adicionar uma regra atenuante:Adicione uma regra que seja executada antes da nova regra e que permita explicitamente solicitações que estejam causando falsos positivos. Para obter informações sobre a ordem de avaliação de regras em uma web ACL, consulte Ordem de processamento de regras e grupos de regras em uma web ACL.

      Com essa abordagem, as solicitações permitidas são enviadas ao recurso protegido, para que nunca cheguem à nova regra para avaliação. Se a nova regra for um grupo de regras gerenciadas pago, essa abordagem também poderá ajudar a conter o custo do uso do grupo de regras.

    • Adicionar uma regra lógica com uma regra de mitigação:Use instruções de regras lógicas para combinar a nova regra com uma regra que exclua os falsos positivos. Para mais informações, consulte Instruções de regras lógicas.

      Por exemplo, digamos que você esteja adicionando uma instrução de correspondência de ataque de injeção de SQL que está gerando falsos positivos para uma categoria de solicitações. Crie uma regra que corresponda a essas solicitações e, em seguida, combine as regras usando instruções de regras lógicas para que você corresponda somente às solicitações que em que ambas não correspondam aos critérios de falsos positivos e correspondam aos critérios de ataque de injeção de SQL.

    • Adicionar uma instrução de redução de escopo:Para instruções baseadas em taxas e instruções de referência de grupos de regras gerenciadas, exclua as solicitações que resultam em falsos positivos da avaliação adicionando uma instrução de redução de escopo dentro da instrução principal.

      Uma solicitação que não corresponda à instrução de escopo inferior nunca chega ao grupo de regras ou à avaliação baseada em intervalos. Para informações sobre instruções de redução de escopo, consulte Instruções de redução de escopo. Para ver um exemplo, consulte Excluir o intervalo de IP do gerenciamento de bots.

    • Adicionar uma regra de correspondência de rótulos:Para grupos de regras que usam rótulos, identifique o rótulo que a regra problemática está aplicando às solicitações. Talvez seja necessário definir primeiro as regras do grupo de regras no modo de contagem, caso ainda não tenha feito isso. Adicione uma regra de correspondência de rótulo, posicionada para ser executada após o grupo de regras, que corresponda ao rótulo que está sendo adicionado pela regra problemática. Na regra de correspondência de rótulos, você pode filtrar as solicitações que deseja permitir daquelas que deseja bloquear.

      Se você usar essa abordagem, ao terminar o teste, mantenha a regra problemática no modo de contagem no grupo de regras e mantenha sua regra de correspondência de rótulos personalizada em vigor. Para obter mais informações sobre instruções de correspondência de rótulo, consulte Instrução de regra de correspondência de rótulo. Veja exemplos em Permitir um bot bloqueado específico e Exemplo de ATP: tratamento personalizado para credenciais ausentes e comprometidas.

    • Alterar a versão de um grupo de regras gerenciadas:Para grupos versionados de regras gerenciadas, altere a versão que você está usando. Por exemplo, você pode voltar para a última versão estática que estava usando com sucesso.

      Geralmente, essa é uma solução temporária. Você pode alterar a versão do seu tráfego de produção enquanto continua testando a versão mais recente em seu ambiente de teste ou preparação, ou enquanto espera por uma versão mais compatível do provedor. Para obter informações sobre as versões de grupos de regras gerenciadas, consulte Grupos de regras gerenciadas.

Quando estiver convencido de que as novas regras estão correspondendo às solicitações conforme necessário, passe para a próxima etapa dos testes e repita esse procedimento. Execute a etapa final de testes e ajustes em seu ambiente de produção.