**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltete Reaktion auf DDo S-Ereignisse mit Unterstützung des Shield Response Team (SRT)
<a name="ddos-srt-support"></a>

Diese Seite beschreibt die Funktion des Shield Response Teams (SRT).

Das SRT bietet zusätzlichen Support für Shield Advanced-Kunden. Die SRT sind Sicherheitsingenieure, die sich auf DDo S Event Response spezialisiert haben. Als zusätzliche Unterstützungsebene zu Ihrem AWS Support Plan können Sie direkt mit dem SRT zusammenarbeiten und dessen Fachwissen als Teil Ihres Workflows zur Reaktion auf Ereignisse nutzen. Informationen zu den Optionen und Anleitungen zur Konfiguration finden Sie in den folgenden Themen.

**Anmerkung**  
Um die Dienste des Shield Response Teams (SRT) nutzen zu können, müssen Sie den [Business Support Plan oder den [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/) Plan](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben.
Das Shield Response Team (SRT) bietet Dienstleistungen in Regionen an, in denen Shield Advanced verfügbar ist, sowie für Kunden in den GovCloud Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West).

**Aktivitäten zur Unterstützung von SRT**  
Das Hauptziel einer Zusammenarbeit mit dem SRT besteht darin, die Verfügbarkeit und Leistung Ihrer Anwendung zu schützen. Je nach Art des DDo S-Ereignisses und der Architektur Ihrer Anwendung kann das SRT eine oder mehrere der folgenden Maßnahmen ergreifen: 
+ **AWS WAF Protokollanalyse und Regeln** — Bei Ressourcen, die eine AWS WAF Web-ACL verwenden, kann das SRT Ihre AWS WAF Protokolle analysieren, um Angriffsmerkmale in Ihren Anwendungs-Webanfragen zu identifizieren. Mit Ihrer Zustimmung während des Einsatzes kann das SRT Änderungen an Ihrer Web-ACL vornehmen, um die identifizierten Angriffe zu blockieren. 
+ **Erstellen Sie benutzerdefinierte Abwehrmaßnahmen für Ihr Netzwerk** — Das SRT kann für Sie maßgeschneiderte Abhilfemaßnahmen für Angriffe auf Infrastrukturebene erstellen. Das SRT kann mit Ihnen zusammenarbeiten, um den für Ihre Anwendung zu erwartenden Datenverkehr zu verstehen, unerwarteten Datenverkehr zu blockieren und die Geschwindigkeitsbegrenzungen für Pakete pro Sekunde zu optimieren. Weitere Informationen finden Sie unter [Einrichtung benutzerdefinierter Schutzmaßnahmen gegen DDo S-Angriffe mit dem SRT](ddos-srt-custom-mitigations.md).
+ **Netzwerkverkehrstechnik** — Das SRT arbeitet eng mit AWS Netzwerkteams zusammen, um Shield Advanced-Kunden zu schützen. AWS Kann bei Bedarf die Art und Weise ändern, wie Internetverkehr im AWS Netzwerk ankommt, um Ihrer Anwendung mehr Kapazität zur Schadensbegrenzung zuzuweisen. 
+ **Empfehlungen zur Architektur** — Das SRT kann feststellen, dass die beste Abwehr eines Angriffs Architekturänderungen erfordert, um sie besser an den AWS bewährten Methoden auszurichten, und diese helfen Ihnen bei der Implementierung dieser Verfahren. Weitere Informationen finden Sie unter [AWS Bewährte Methoden für DDo S-Resiliency](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency). 

Die folgenden Abschnitte enthalten Anweisungen für den Umgang mit dem SRT

**Topics**
+ [Zugriff für das SRT gewähren](ddos-srt-access.md)
+ [Einrichtung eines proaktiven Engagements für das SRT, um Sie direkt zu kontaktieren](ddos-srt-proactive-engagement.md)
+ [Wenden Sie sich an das SRT, um Hilfe bei einem vermuteten DDo S-Ereignis zu erhalten](ddos-srt-contacting.md)
+ [Einrichtung benutzerdefinierter Schutzmaßnahmen gegen DDo S-Angriffe mit dem SRT](ddos-srt-custom-mitigations.md)

# Zugriff für das SRT gewähren
<a name="ddos-srt-access"></a>

Auf dieser Seite finden Sie Anweisungen, wie Sie der SRT die Erlaubnis erteilen, in Ihrem Namen zu handeln, sodass sie auf Ihre AWS WAF Protokolle zugreifen und Anrufe an die SRT tätigen AWS Shield Advanced und Schutzmaßnahmen AWS WAF APIs verwalten können. 

 Bei Ereignissen auf Anwendungsebene DDo S kann das SRT AWS WAF Anfragen überwachen, um anomalen Datenverkehr zu identifizieren und dabei zu helfen, benutzerdefinierte AWS WAF Regeln zu erstellen, um schädliche Datenverkehrsquellen zu verhindern. 

Darüber hinaus können Sie dem SRT Zugriff auf andere Daten gewähren, die Sie in Amazon S3 S3-Buckets gespeichert haben, z. B. Paketerfassungen oder Protokolle von einem Application Load Balancer CloudFront, Amazon oder aus Quellen von Drittanbietern.

**Anmerkung**  
Um die Dienste des Shield Response Teams (SRT) nutzen zu können, müssen Sie den [Business Support Plan oder den [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/) Plan](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben. 

**Um die Berechtigungen für das SRT zu verwalten**

1. Wählen Sie auf der **Übersichtsseite** der AWS Shield Konsole unter ** AWS SRT-Unterstützung konfigurieren die Option SRT-Zugriff** **bearbeiten** aus. Die **Zugriffsseite für das AWS Shield Response Team (SRT) bearbeiten** wird geöffnet.

1. Wählen Sie für die **Einstellung für den SRT-Zugriff** eine der folgenden Optionen aus: 
   + **Gewähren Sie dem SRT keinen Zugriff auf mein Konto** — Shield entfernt alle Berechtigungen, die Sie dem SRT zuvor für den Zugriff auf Ihr Konto und Ihre Ressourcen erteilt haben.
   + **Eine neue Rolle für das SRT erstellen, um auf mein Konto zuzugreifen** — Shield erstellt eine Rolle, die dem Service Principal`drt.shield.amazonaws.com`, der das SRT darstellt, vertraut, und fügt ihm die verwaltete Richtlinie hinzu. `AWSShieldDRTAccessPolicy` Die verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe [AWS verwaltete Richtlinie: AWSShield DRTAccess Richtlinie](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Wählen Sie eine bestehende Rolle für das SRT aus, um auf meine Konten zuzugreifen**. Für diese Option müssen Sie die Konfiguration der Rolle in AWS Identity and Access Management (IAM) wie folgt ändern: 
     + Hängen Sie die verwaltete Richtlinie `AWSShieldDRTAccessPolicy` an die Rolle an. Diese verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe [AWS verwaltete Richtlinie: AWSShield DRTAccess Richtlinie](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Informationen zum Anhängen der verwalteten Richtlinie an Ihre Rolle finden Sie unter IAM-Richtlinien [anhängen und trennen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html). 
     + Ändern Sie die Rolle, um dem Service-Prinzipal `drt.shield.amazonaws.com` zu vertrauen. Dies ist der Dienstprinzipal, der die SRT repräsentiert. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). 

1. Für **(optional): Gewähren Sie SRT-Zugriff auf einen Amazon S3-Bucket**. Wenn Sie Daten teilen müssen, die nicht in Ihren AWS WAF Web-ACL-Protokollen enthalten sind, konfigurieren Sie dies. Zum Beispiel Application Load Balancer Balancer-Zugriffsprotokolle, CloudFront Amazon-Protokolle oder Protokolle aus Quellen von Drittanbietern. 
**Anmerkung**  
Sie müssen dies nicht für Ihre AWS WAF Web-ACL-Protokolle tun. Das SRT erhält Zugriff auf diese, wenn Sie Zugriff auf Ihr Konto gewähren. 

   1. Konfigurieren Sie die Amazon S3 S3-Buckets gemäß den folgenden Richtlinien: 
      + Die Bucket-Standorte müssen sich in dem befinden AWS-Konto , auf den Sie dem SRT im vorherigen Schritt Zugriff auf das **AWS Shield Response Team (SRT)** gewährt haben. 
      + Die Buckets können entweder Klartext- oder SSE-S3-verschlüsselt sein. Weitere Informationen zur Amazon S3 SSE-S3-Verschlüsselung finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3) im Amazon S3 S3-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html).

        Das SRT kann keine Protokolle anzeigen oder verarbeiten, die in Buckets gespeichert sind, die mit Schlüsseln verschlüsselt sind, die in () gespeichert sind. AWS Key Management Service AWS KMS

   1. Geben Sie im Abschnitt Shield Advanced **(optional): SRT-Zugriff auf einen Amazon S3-Bucket** für jeden Amazon S3-Bucket, in dem Ihre Daten oder Logs gespeichert sind, den Namen des Buckets ein und wählen Sie **Bucket hinzufügen**. Sie können bis zu 10 Buckets hinzufügen.

      Dadurch erhält das SRT die folgenden Berechtigungen für jeden Bucket:`s3:GetBucketLocation`,`s3:GetObject`, und. `s3:ListBucket`

      Wenn Sie dem SRT die Erlaubnis geben möchten, auf mehr als 10 Buckets zuzugreifen, können Sie dies tun, indem Sie die zusätzlichen Bucket-Richtlinien bearbeiten und die hier aufgeführten Berechtigungen für das SRT manuell gewähren.

      Im Folgenden finden Sie ein Beispiel für eine Richtlinienliste.

      ```
      {
          "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
          "Effect": "Allow",
          "Principal": {
              "Service": "drt.shield.amazonaws.com"
          },
          "Action": [
              "s3:GetBucketLocation",
              "s3:GetObject",
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name",
              "arn:aws:s3:::bucket-name/*"
          ]
      }
      ```

1. Wählen Sie **Speichern**, um Ihre Änderungen zu speichern.

[Sie können die SRT auch über die API autorisieren, indem Sie eine IAM-Rolle erstellen, ihr die AWSShield DRTAccess Richtlinienrichtlinie anhängen und die Rolle dann an die Operation Associate übergeben. DRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) 

# Einrichtung eines proaktiven Engagements für das SRT, um Sie direkt zu kontaktieren
<a name="ddos-srt-proactive-engagement"></a>

Diese Seite enthält Anweisungen zum Einrichten eines proaktiven Engagements mit dem SRT.

Bei proaktivem Engagement kontaktiert Sie das SRT direkt, wenn die Verfügbarkeit oder Leistung Ihrer Anwendung aufgrund eines möglichen Angriffs beeinträchtigt wird. Wir empfehlen dieses Interaktionsmodell, da es die schnellste Reaktion von SRT bietet und es dem SRT ermöglicht, mit der Fehlerbehebung zu beginnen, noch bevor es Kontakt mit Ihnen aufgenommen hat. 

Proaktives Engagement ist für Ereignisse auf Netzwerk- und Transportebene auf Elastic IP-Adressen und AWS Global Accelerator Standardbeschleunigern sowie für Webanforderungsfluten auf CloudFront Amazon-Distributionen und Application Load Balancers verfügbar. Proaktives Engagement ist nur für Shield Advanced-Ressourcenschutzmaßnahmen verfügbar, denen eine Amazon Route 53-Zustandsprüfung zugeordnet ist. Informationen zur Verwaltung und Verwendung von Integritätsprüfungen finden Sie unter[Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53](ddos-advanced-health-checks.md).

Während eines Ereignisses, das von Shield Advanced erkannt wird, verwendet das SRT den Status Ihrer Gesundheitschecks, um festzustellen, ob das Ereignis für ein proaktives Eingreifen in Frage kommt. In diesem Fall wird sich das SRT gemäß den Kontaktangaben, die Sie in Ihrer Konfiguration für proaktives Engagement angegeben haben, mit Ihnen in Verbindung setzen. 

Sie können bis zu zehn Kontakte für proaktives Engagement konfigurieren und Sie können Hinweise angeben, die das SRT bei der Kontaktaufnahme mit Ihnen unterstützen. Ihre Ansprechpartner für proaktives Engagement sollten verfügbar sein, um während Veranstaltungen mit dem SRT in Kontakt zu treten. Wenn Sie nicht über ein rund um die Uhr verfügbares Betriebszentrum verfügen, können Sie einen Pager-Kontakt angeben und diese Kontaktpräferenz in Ihren Kontaktnotizen angeben.

Für ein proaktives Engagement müssen Sie Folgendes tun: 
+ Sie müssen den [Business Support Plan oder den [Enterprise Support Plan](https://aws.amazon.com/premiumsupport/enterprise-support/)](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben.
+ Sie müssen jeder Ressource, die Sie durch proaktives Engagement schützen möchten, eine Amazon Route 53-Zustandsprüfung zuordnen. Das SRT verwendet den Status Ihrer Zustandsprüfungen, um festzustellen, ob ein Ereignis ein proaktives Eingreifen erfordert. Daher ist es wichtig, dass Ihre Zustandsprüfungen den Status Ihrer geschützten Ressourcen genau widerspiegeln. Weitere Informationen und Anleitungen finden Sie unter[Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53](ddos-advanced-health-checks.md).
+ Für eine Ressource, der eine AWS WAF Web-ACL zugeordnet ist, müssen Sie die Web-ACL mit AWS WAF (v2) erstellen, der neuesten Version von AWS WAF. 
+ Sie müssen mindestens einen Ansprechpartner angeben, den das SRT für proaktive Interaktionen während einer Veranstaltung nutzen kann. Halten Sie Ihre Kontaktinformationen vollständig und aktuell. 

**Um ein proaktives Engagement von SRT zu ermöglichen**

1. Wählen Sie auf der **Übersichtsseite** der AWS Shield Konsole unter **Proaktive Interaktion und Kontakte** im Bereich Kontakte die Option **Bearbeiten** aus.

   Geben Sie auf der Seite **Kontakte bearbeiten** die Kontaktinformationen der Personen ein, die das SRT für proaktive Interaktionen kontaktieren soll. 

   Wenn Sie mehr als einen Kontakt angeben, geben Sie in den **Anmerkungen** an, unter welchen Umständen jeder Kontakt verwendet werden soll. Geben Sie die Namen der primären und sekundären Kontaktpersonen an und geben Sie die Verfügbarkeitszeiten und Zeitzonen für jeden Kontakt an. 

   Beispiele für Kontaktnotizen: 
   + Dies ist eine Hotline, die rund um die Uhr besetzt ist. Bitte arbeiten Sie mit dem antwortenden Analysten zusammen und er wird die entsprechende Person für das Gespräch finden. 
   + Bitte kontaktieren Sie mich, wenn die Hotline nicht innerhalb von 5 Minuten antwortet.

1. Wählen Sie **Speichern**. 

   Die **Übersichtsseite** enthält die aktualisierten Kontaktinformationen.

1. Wählen Sie die **Funktion „Proaktive Interaktion bearbeiten“**, dann „**Aktivieren**“ und anschließend „**Speichern**“, um die proaktive Interaktion zu aktivieren. 

# Wenden Sie sich an das SRT, um Hilfe bei einem vermuteten DDo S-Ereignis zu erhalten
<a name="ddos-srt-contacting"></a>

Sie können das SRT auf eine der folgenden Arten kontaktieren: 

**Support-Fall**  
Sie können einen Fall unter **AWS Shield**in der **AWS Support Center-Konsole** öffnen. 

Anleitungen zur Erstellung eines Support-Falls finden Sie [AWS Support im Center](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html). 

Wählen Sie den Schweregrad aus, der Ihrer Situation entspricht, und geben Sie Ihre Kontaktdaten an. Geben Sie in der Beschreibung so viele Details wie möglich an. Geben Sie Informationen zu allen geschützten Ressourcen an, von denen Sie glauben, dass sie betroffen sein könnten, sowie zum aktuellen Stand Ihrer Endbenutzererfahrung. Wenn beispielsweise Ihre Benutzererfahrung beeinträchtigt ist oder Teile Ihrer Anwendung derzeit nicht verfügbar sind, geben Sie diese Informationen an.
+ **Bei vermuteten DDo S-Angriffen** — Wenn die Verfügbarkeit oder Leistung Ihrer Anwendung derzeit durch einen möglichen DDo S-Angriff beeinträchtigt wird, wählen Sie den folgenden Schweregrad und die folgenden Kontaktoptionen aus: 
  + Wählen Sie für den Schweregrad den höchsten Schweregrad aus, der für Ihren Supportplan verfügbar ist:
    + Für Business-Support ist das **Produktionssystem ausgefallen: < 1 Stunde**. 
    + Für Enterprise-Support ist dies ein **Ausfall des geschäftskritischen Systems: < 15 Minuten**. 
  + Wählen Sie als Kontaktoption entweder **Telefon** oder **Chat** und geben Sie Ihre Daten ein. Die Verwendung einer Live-Kontaktmethode bietet die schnellste Antwort.

**Proaktives Engagement**  
Bei AWS Shield Advanced proaktivem Einsatz kontaktiert das SRT Sie direkt, wenn der Amazon Route 53-Zustandstest, der mit Ihrer geschützten Ressource verknüpft ist, während eines erkannten Ereignisses fehlerhaft wird. Weitere Informationen zu dieser Option finden Sie unter [Einrichtung eines proaktiven Engagements für das SRT, um Sie direkt zu kontaktieren](ddos-srt-proactive-engagement.md).

# Einrichtung benutzerdefinierter Schutzmaßnahmen gegen DDo S-Angriffe mit dem SRT
<a name="ddos-srt-custom-mitigations"></a>

Diese Seite enthält Anweisungen für die Arbeit mit dem SRT zur Erstellung benutzerdefinierter Schutzmaßnahmen gegen S-Angriffe. DDo

Für Ihr Elastic IPs (EIPs) und Ihre AWS Global Accelerator Standard-Accelerators können Sie mit dem SRT zusammenarbeiten, um benutzerdefinierte Abwehrmaßnahmen zu konfigurieren. Dies ist nützlich, falls Sie eine bestimmte Logik kennen, die bei der Einführung einer Risikominderung durchgesetzt werden sollte. Beispielsweise möchten Sie möglicherweise nur Datenverkehr aus bestimmten Ländern zulassen, bestimmte Ratenbegrenzungen durchsetzen, optionale Validierungen konfigurieren, Fragmente nicht zulassen oder nur Datenverkehr zulassen, der einem bestimmten Muster in der Paketnutzlast entspricht. 

Zu den häufigsten benutzerdefinierten Abhilfemaßnahmen gehören die folgenden:
+ **Musterabgleich** — Wenn Sie einen Dienst betreiben, der mit clientseitigen Anwendungen interagiert, können Sie sich für den Abgleich nach bekannten Mustern entscheiden, die für diese Anwendungen spezifisch sind. Sie können beispielsweise einen Spiel- oder Kommunikationsdienst betreiben, bei dem der Endbenutzer bestimmte Software installieren muss, die Sie vertreiben. Sie können jedem Paket, das von der Anwendung an Ihren Dienst gesendet wird, eine magische Zahl hinzufügen. Sie können bis zu 128 Byte (getrennt oder zusammenhängend) einer nicht fragmentierten Nutzlast und Header eines nicht fragmentierten TCP- oder UDP-Pakets zuordnen. Die Übereinstimmung kann in hexadezimaler Schreibweise als spezifischer Offset vom Anfang der Paketnutzlast oder als dynamischer Offset nach einem bekannten Wert ausgedrückt werden. Die Schadensbegrenzung kann beispielsweise nach dem Byte suchen `0x01` und dann die nächsten vier Byte erwarten`0x12345678`.
+ **DNS-spezifisch** — Wenn Sie Ihren eigenen autoritativen DNS-Service mit Diensten wie Global Accelerator oder Amazon Elastic Compute Cloud (Amazon EC2) betreiben, können Sie eine benutzerdefinierte Schadensbegrenzung anfordern, die Pakete validiert, um sicherzustellen, dass es sich um gültige DNS-Abfragen handelt, und eine Verdachtsbewertung anwenden, bei der Attribute ausgewertet werden, die spezifisch für den DNS-Verkehr sind. 

Wenn Sie sich über die Zusammenarbeit mit SRT bei der Erstellung benutzerdefinierter Abhilfemaßnahmen erkundigen möchten, erstellen Sie einen Support-Fall unter. AWS Shield Weitere Informationen zum Erstellen von AWS Support Fällen finden Sie unter [Erste Schritte](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html) mit. AWS Support