**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS WAF Beispiele für Bot-Kontrolle
Dieser Abschnitt zeigt Beispielkonfigurationen, die eine Vielzahl gängiger Anwendungsfälle für AWS WAF Bot Control-Implementierungen erfüllen.
Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an.
**Anmerkung**
Die in diesen Beispielen gezeigten JSON-Auflistungen wurden in der Konsole erstellt, indem die Regel konfiguriert und dann mit dem **Rule JSON editor** (JSON-Regel-Editor) bearbeitet wurde.
**Topics**
+ [Beispiel Bot Control: Einfache Konfiguration](waf-bot-control-example-basic.md)
+ [Beispiel für Bot-Kontrolle: Verifizierte Bots explizit zulassen](waf-bot-control-example-allow-verified-bots.md)
+ [Beispiel für Bot-Kontrolle: Verifizierte Bots blockieren](waf-bot-control-example-block-verified-bots.md)
+ [Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen](waf-bot-control-example-allow-blocked-bot.md)
+ [Beispiel für Bot Control: Eine Ausnahme für einen blockierten Benutzeragenten erstellen](waf-bot-control-example-user-agent-exception.md)
+ [Beispiel für Bot Control: Bot Control nur für die Anmeldeseite verwenden](waf-bot-control-example-scope-down-login.md)
+ [Beispiel für Bot Control: Verwendung von Bot Control nur für dynamische Inhalte](waf-bot-control-example-scope-down-dynamic-content.md)
+ [Beispiel für Bot-Kontrolle: IP-Bereich von der Bot-Verwaltung ausschließen](waf-bot-control-example-scope-down-ip.md)
+ [Beispiel für Bot-Kontrolle: Traffic von einem Bot zulassen, den Sie kontrollieren](waf-bot-control-example-scope-down-your-bot.md)
+ [Beispiel für Bot-Kontrolle: Aktivierung einer gezielten Inspektionsstufe](waf-bot-control-example-targeted-inspection-level.md)
+ [Beispiel für Bot-Kontrolle: Verwendung von zwei Anweisungen, um die Verwendung der angestrebten Inspektionsebene einzuschränken](waf-bot-control-example-common-and-targeted-inspection-level.md)
# Beispiel Bot Control: Einfache Konfiguration
Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer von AWS WAF Bot Control verwalteten Regelgruppe. Beachten Sie die Sichtbarkeitskonfiguration, die AWS WAF dazu führt, dass Anforderungsmuster und Metriken zu Überwachungszwecken gespeichert werden.
```
{
"Name": "Bot-WebACL",
"Id": "...",
"ARN": "...",
"DefaultAction": {
"Allow": {}
},
"Description": "Bot-WebACL",
"Rules": [
{
...
},
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
}
],
"VisibilityConfig": {
...
},
"Capacity": 1496,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false
}
```
# Beispiel für Bot-Kontrolle: Verifizierte Bots explizit zulassen
AWS WAF Bot Control blockiert keine Bots, von denen bekannt ist, dass AWS sie häufig vorkommen und verifizierbar sind. Wenn Bot Control eine Webanforderung als von einem verifizierten Bot stammend identifiziert, fügt es eine Bezeichnung hinzu, die den Bot benennt, sowie eine Bezeichnung, die angibt, dass es sich um einen verifizierten Bot handelt. Bot Control fügt keine anderen Bezeichnungen hinzu, wie z. B. Signalbezeichnungen, um zu verhindern, dass bekannte gute Bots blockiert werden.
Möglicherweise haben Sie andere AWS WAF Regeln, die verifizierte Bots blockieren. Wenn Sie sicherstellen möchten, dass verifizierte Bots zugelassen werden, fügen Sie eine benutzerdefinierte Regel hinzu, um sie auf der Grundlage der Bezeichnungen von Bot Control zuzulassen. Die neue Regel muss nach der verwalteten Bot-Control-Regelgruppe ausgeführt werden, damit die Bezeichnungen für den Abgleich verfügbar sind.
Die folgende Regel erlaubt explizit verifizierte Bots.
```
{
"Name": "match_rule",
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
},
"RuleLabels": [],
"Action": {
"Allow": {}
}
}
```
# Beispiel für Bot-Kontrolle: Verifizierte Bots blockieren
Zum Blockieren verifizierter Bots müssen Sie eine Regel hinzufügen, die nach der verwalteten AWS WAF -Bot-Control-Regelgruppe ausgeführt wird, um sie zu blockieren. Identifizieren Sie dazu die Namen der Bots, die Sie blockieren möchten, und verwenden Sie eine Anweisung für den Bezeichnungsabgleich, um sie zu identifizieren und zu blockieren. Wenn Sie nur alle verifizierten Bots blockieren möchten, können Sie den Abgleich mit der `bot:name:`-Bezeichnung weglassen.
Die folgende Regel blockiert nur den verifizierten Bot `bingbot`. Diese Regel muss nach der verwalteten Bot-Control-Regelgruppe ausgeführt werden.
```
{
"Name": "match_rule",
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
}
},
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
}
]
}
},
"RuleLabels": [],
"Action": {
"Block": {}
}
}
```
Die folgende Regel blockiert alle verifizierten Bots.
```
{
"Name": "match_rule",
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
},
"RuleLabels": [],
"Action": {
"Block": {}
}
}
```
# Beispiel für Bot-Kontrolle: Einen bestimmten blockierten Bot zulassen
Es ist möglich, dass ein Bot durch mehr als eine der Bot-Control-Regeln blockiert wird. Führen Sie für jede Blockierungsregel die folgenden Schritte aus.
Wenn eine AWS WAF Bot-Kontrollregel einen Bot blockiert, den Sie nicht blockieren möchten, gehen Sie wie folgt vor:
1. Identifizieren Sie die Bot-Control-Regel, die den Bot blockiert, in den Protokollen. Die Blockierungsregel wird in den Protokollen in den Feldern angegeben, deren Namen mit `terminatingRule` beginnen. Hinweise zu den Protokollen des Protection Packs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). Merken Sie sich die Bezeichnung, die die Regel den Anforderungen hinzufügt.
1. Setzen Sie in Ihrem Schutzpaket (Web-ACL) die Aktion der Blockierungsregel außer Kraft, um sie zu zählen. Bearbeiten Sie dazu in der Konsole die Regelgruppenregel im Schutzpaket (Web-ACL) und wählen Sie Count für die Regel eine Regelaktion außer Kraft setzen. Dadurch wird sichergestellt, dass der Bot nicht durch die Regel blockiert wird, aber die Regel wendet ihre Bezeichnung trotzdem auf übereinstimmende Anfragen an.
1. Fügen Sie Ihrem Schutzpaket (Web-ACL) nach der verwalteten Regelgruppe von Bot Control eine Regel für den Label-Abgleich hinzu. Konfigurieren Sie die Regel so, dass sie mit der Bezeichnung der überschriebenen Regel übereinstimmt und alle passenden Anfragen blockiert werden, mit Ausnahme des Bots, den Sie nicht blockieren möchten.
Ihr Schutzpaket (Web-ACL) ist jetzt so konfiguriert, dass der Bot, den Sie zulassen möchten, nicht mehr durch die Blockierungsregel blockiert wird, die Sie in den Protokollen identifiziert haben.
Überprüfen Sie den Datenverkehr und die Protokolle erneut, um sicherzugehen, dass der Bot durchgelassen wird. Sollte das nicht der Fall sein, führen Sie die oben genannten Schritte erneut durch.
Angenommen, Sie möchten alle Überwachungs-Bots mit Ausnahme von `pingdom` blockieren. In diesem Fall überschreiben Sie die `CategoryMonitoring` Regel, um zu zählen, und schreiben dann eine Regel, um alle Überwachungs-Bots mit Ausnahme der Bots mit dem Bot-Namenslabel zu blockieren`pingdom`.
Die folgende Regel verwendet die von Bot Control verwaltete Regelgruppe, setzt jedoch die Regelaktion für `CategoryMonitoring` das Zählen außer Kraft. Die Kategorieüberwachungsregel wendet ihre Bezeichnungen wie üblich auf übereinstimmende Anforderungen an, zählt sie aber nur, anstatt die übliche Blockierungsaktion auszuführen.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryMonitoring"
}
],
"ExcludedRules": []
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
Die folgende Regel führt einen Abgleich mit der Bezeichung für die Kategorieüberwachung durch, die die vorangehende Regel `CategoryMonitoring` zu passenden Webanforderungen hinzufügt. Unter den Anforderungen der Kategorieüberwachung blockiert diese Regel alle bis auf diejenigen, die eine Bezeichnung für den Botnamen `pingdom` haben.
Die folgende Regel muss nach der vorherigen verwalteten Regelgruppe von Bot Control in der Verarbeitungsreihenfolge des Schutzpakets (Web-ACL) ausgeführt werden.
```
{
"Name": "match_rule",
"Priority": 10,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
}
}
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Beispiel für Bot Control: Eine Ausnahme für einen blockierten Benutzeragenten erstellen
Wenn der Datenverkehr von Benutzeragenten, die keine Browser sind, fälschlicherweise blockiert wird, können Sie eine Ausnahme erstellen, indem Sie die betreffende AWS WAF Bot-Kontrollregel `SignalNonBrowserUserAgent` auf Count setzen und dann die Bezeichnung der Regel mit Ihren Ausnahmekriterien kombinieren.
**Anmerkung**
Mobile Apps verfügen in der Regel über Benutzeragenten, die keine Browser sind. Diese werden von der `SignalNonBrowserUserAgent` Regel standardmäßig blockiert.
Die folgende Regel verwendet die von Bot Control verwaltete Regelgruppe, überschreibt jedoch die Regelaktion für `SignalNonBrowserUserAgent` To Count. Die Signalregel wendet ihre Bezeichnungen wie üblich auf übereinstimmende Anforderungen an, zählt sie aber nur, anstatt die übliche Blockierungsaktion auszuführen.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "SignalNonBrowserUserAgent"
}
],
"ExcludedRules": []
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
Die folgende Regel entspricht der Signalbezeichnung, die die `SignalNonBrowserUserAgent` Bot-Control-Regel ihren entsprechenden Webanfragen hinzufügt. Unter den Signalanfragen blockiert diese Regel alle bis auf diejenigen, die den Benutzeragenten haben, den wir zulassen möchten.
Die folgende Regel muss nach der vorherigen verwalteten Regelgruppe von Bot Control in der Verarbeitungsreihenfolge des Schutzpakets (Web-ACL) ausgeführt werden.
```
{
"Name": "match_rule",
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
}
},
{
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"SingleHeader": {
"Name": "user-agent"
}
},
"PositionalConstraint": "EXACTLY",
"SearchString": "PostmanRuntime/7.29.2",
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
}
}
]
}
},
"RuleLabels": [],
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Beispiel für Bot Control: Bot Control nur für die Anmeldeseite verwenden
Das folgende Beispiel verwendet eine Scopedown-Anweisung, um AWS WAF Bot Control nur auf Traffic anzuwenden, der auf die Anmeldeseite einer Website gelangt, die durch den URI-Pfad identifiziert wird. `login` Der URI-Pfad zu Ihrer Anmeldeseite kann sich je nach Anwendung und Umgebung von diesem Beispiel unterscheiden.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"ByteMatchStatement": {
"SearchString": "login",
"FieldToMatch": {
"UriPath": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "CONTAINS"
}
}
}
}
```
# Beispiel für Bot Control: Verwendung von Bot Control nur für dynamische Inhalte
In diesem Beispiel wird eine Scopedown-Anweisung verwendet, um AWS WAF Bot Control nur auf dynamische Inhalte anzuwenden.
Die Eingrenzungsanweisung schließt statische Inhalte aus, indem sie die Abgleichsergebnisse für einen Regex-Mustersatz negiert:
+ Der Regex-Mustersatz ist so konfiguriert, dass er auf Erweiterungen von *statischen Inhalten* passt. Die Spezifikation des Regex-Mustersatzes könnte zum Beispiel `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$` sein. Informationen zu Regex-Mustersätzen und -anweisungen finden Sie unter [Regex-Mustersatz Übereinstimmungsregelanweisung](waf-rule-statement-type-regex-pattern-set-match.md).
+ In der Eingrenzungsanweisung wird der übereinstimmende statische Inhalt ausgeschlossen, indem die Regex-Mustersatzanweisung in eine `NOT`-Anweisung geschachtelt wird. Informationen zu dieser `NOT`-Anweisung finden Sie unter [NOT-Regelanweisung](waf-rule-statement-type-not.md).
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"RegexPatternSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
"FieldToMatch": {
"UriPath": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
}
}
}
}
```
# Beispiel für Bot-Kontrolle: IP-Bereich von der Bot-Verwaltung ausschließen
Wenn Sie eine Teilmenge des Web-Traffics aus der Verwaltung von AWS WAF Bot Control ausschließen möchten und Sie diese Teilmenge anhand einer Regelanweisung identifizieren können, schließen Sie sie aus, indem Sie Ihrer von Bot Control verwalteten Regelgruppe eine Scopedown-Anweisung hinzufügen.
Die folgende Regel führt die normale Bot-Control-Verwaltung für den gesamten Webdatenverkehr durch, mit Ausnahme von Webanforderungen, die von einem bestimmten IP-Adressbereich stammen.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"IPSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
}
}
}
}
}
}
```
# Beispiel für Bot-Kontrolle: Traffic von einem Bot zulassen, den Sie kontrollieren
Sie können einige Website-Überwachungsbots und benutzerdefinierte Bots so konfigurieren, dass sie benutzerdefinierte Header senden. Wenn Sie Traffic von diesen Arten von Bots zulassen möchten, können Sie sie so konfigurieren, dass sie einem Header ein gemeinsames Geheimnis hinzufügen. Anschließend können Sie Nachrichten mit dem Header ausschließen, indem Sie der Anweisung für verwaltete Regelgruppen von AWS WAF Bot Control eine Scopedown-Anweisung hinzufügen.
Die folgende Beispielregel schließt Datenverkehr mit einem geheimen Header von der Prüfung durch Bot Control aus.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"SearchString": "YSBzZWNyZXQ=",
"FieldToMatch": {
"SingleHeader": {
"Name": "x-bypass-secret"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "EXACTLY"
}
}
}
}
}
}
```
# Beispiel für Bot-Kontrolle: Aktivierung einer gezielten Inspektionsstufe
Für ein erweitertes Schutzniveau können Sie die gezielte Inspektionsstufe in Ihrer verwalteten Regelgruppe von AWS WAF Bot Control aktivieren.
Im folgenden Beispiel sind Funktionen für maschinelles Lernen aktiviert. Sie können dieses Verhalten deaktivieren, indem Sie `EnableMachineLearning` auf einstellen`false`.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "TARGETED",
"EnableMachineLearning": true
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
}
```
# Beispiel für Bot-Kontrolle: Verwendung von zwei Anweisungen, um die Verwendung der angestrebten Inspektionsebene einzuschränken
Zur Kostenoptimierung können Sie in Ihrem Schutzpaket (Web-ACL) zwei von AWS WAF Bot Control verwaltete Regelgruppenanweisungen mit unterschiedlichen Inspektionsebenen und Geltungsbereichen verwenden. Sie könnten beispielsweise die Anweisung zur Zielinspektionsebene nur auf sensiblere Anwendungsendpunkte beschränken.
Die beiden Aussagen im folgenden Beispiel schließen sich gegenseitig aus. Ohne diese Konfiguration könnte eine Anfrage zu zwei Bot Control-Evaluierungen führen, die in Rechnung gestellt werden.
**Anmerkung**
Die Referenzierung `AWSManagedRulesBotControlRuleSet` mehrerer Anweisungen wird im Visual Editor in der Konsole nicht unterstützt. Verwenden Sie stattdessen den JSON-Editor.
```
{
"Name": "Bot-WebACL",
"Id": "...",
"ARN": "...",
"DefaultAction": {
"Allow": {}
},
"Description": "Bot-WebACL",
"Rules": [
{
...
},
{
"Name": "AWS-AWSBotControl-Common",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Common"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/sensitive-endpoint",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
},
{
"Name": "AWS-AWSBotControl-Targeted",
"Priority": 6,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "TARGETED",
"EnableMachineLearning": true
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Targeted"
},
"ScopeDownStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/sensitive-endpoint",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
],
"VisibilityConfig": {
...
},
"Capacity": 1496,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false
}
```