**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Arbeiten mit verwalteten Regelgruppen
Dieser Abschnitt enthält Anleitungen für den Zugriff auf und die Verwaltung Ihrer verwalteten Regelgruppen.
Wenn Sie Ihrem Schutzpaket (Web-ACL) eine verwaltete Regelgruppe hinzufügen, können Sie dieselben Konfigurationsoptionen wie Ihre eigenen Regelgruppen sowie zusätzliche Einstellungen wählen.
Über die Konsole greifen Sie während des Hinzufügens und Bearbeitens der Regeln in Ihren Schutzpaketen (Web ACLs) auf Informationen zu verwalteten Regelgruppen zu. Über die APIs Befehlszeilenschnittstelle (CLI) können Sie direkt Informationen zu verwalteten Regelgruppen anfordern.
Wenn Sie eine verwaltete Regelgruppe in Ihrem Protection Pack (Web-ACL) verwenden, können Sie die folgenden Einstellungen bearbeiten:
+ **Version** – Diese Einstellung ist nur verfügbar, wenn die Regelgruppe versioniert ist. Weitere Informationen finden Sie unter [Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Regelaktionen außer Kraft** setzen — Sie können die Aktionen für Regeln in der Regelgruppe durch jede Aktion außer Kraft setzen. Sie auf zu setzen, Count ist nützlich, um eine Regelgruppe zu testen, bevor Sie sie zur Verwaltung Ihrer Webanfragen verwenden. Weitere Informationen finden Sie unter [Regelgruppen-Regelaktionen überschreiben](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Scope-down statement** (Eingrenzungsanweisung) – Sie können eine Eingrenzungsanweisung hinzufügen, um Webanforderungen herauszufiltern, die Sie nicht mit der Regelgruppe auswerten möchten. Weitere Informationen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
+ **Override rule group action** (Aktion der Regelgruppe überschreiben) – Sie können die Aktion, die sich aus der Regelgruppenauswertung ergibt, überschreiben und auf Count festlegen. Diese Option wird nicht oft verwendet. Es ändert nichts daran, wie die Regeln in der Regelgruppe AWS WAF ausgewertet werden. Weitere Informationen finden Sie unter [Rückgabeaktion der Regelgruppe überschreiben zu Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).
**Um die Einstellungen der verwalteten Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu bearbeiten**
+ **Konsole**
+ (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen, können Sie **Bearbeiten** wählen, um die Einstellungen anzuzeigen und zu bearbeiten.
+ (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie auf der Seite mit den **Schutzpaketen (Web ACLs)** das Schutzpaket (Web-ACL) aus, das Sie gerade erstellt haben. Dadurch gelangen Sie zur Bearbeitungsseite des Protection Packs (Web-ACL).
+ Wählen Sie **Rules (Regeln)** aus.
+ Wählen Sie die Regelgruppe aus und wählen Sie dann **Edit** (Bearbeiten), um die Einstellungen anzuzeigen und zu bearbeiten.
+ **APIs und CLI** — Außerhalb der Konsole können Sie die Einstellungen für verwaltete Regelgruppen verwalten, wenn Sie das Protection Pack (Web-ACL) erstellen und aktualisieren.
# Abrufen der Liste der verwalteten Regelgruppen
Sie können die Liste der verwalteten Regelgruppen abrufen, die Sie in Ihren Schutzpaketen (Web ACLs) verwenden können. Die Liste umfasst Folgendes:
+ Alle Regelgruppen für AWS verwaltete Regeln.
+ Die AWS Marketplace Regelgruppen, die Sie abonniert haben.
**Anmerkung**
Informationen zum Abonnieren von AWS Marketplace Regelgruppen finden Sie unter. [AWS Marketplace Regelgruppen](marketplace-rule-groups.md)
Wenn Sie die Liste der verwalteten Regelgruppen abrufen, hängt der Inhalt der Liste davon ab, welche Schnittstelle Sie verwenden:
+ **Konsole** — Über die Konsole können Sie alle verwalteten Regelgruppen sehen, einschließlich der AWS Marketplace Regelgruppen, die Sie noch nicht abonniert haben. Für die noch nicht abonnierten Regelgruppen finden Sie auf der Benutzeroberfläche Links, mit denen Sie sie abonnieren können.
+ **APIs und CLI** — Außerhalb der Konsole gibt Ihre Anfrage nur die Regelgruppen zurück, die für Sie verfügbar sind.
**So rufen Sie die Liste der verwalteten Regelgruppen ab**
+ **Konsole** – Wählen Sie während des Erstellungsprozesses einer Web-ACL auf der Seite **Add rules and rule groups** (Regeln und Regelgruppen hinzufügen) die Option **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen). Auf der obersten Ebene werden die Anbieternamen aufgelistet. Erweitern Sie die Anbieterlisten, um die Liste der verwalteten Regelgruppen anzuzeigen. Für versionierte Regelgruppen werden auf dieser Ebene die Informationen für die Standardversion angezeigt. Wenn Sie Ihrem Protection Pack (Web-ACL) eine verwaltete Regelgruppe hinzufügen, listet sie in der Konsole auf der Grundlage des Benennungsschemas auf`-`.
+ **API** –
+ `ListAvailableManagedRuleGroups`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# Abrufen der Regeln in einer verwalteten Regelgruppe
Sie können eine Liste der Regeln in einer verwalteten Regelgruppe abrufen. Die API- und CLI-Aufrufe geben die Regelspezifikationen zurück, auf die Sie im JSON-Modell oder über dieses verweisen können AWS CloudFormation.
**So rufen Sie die Liste der Regeln in einer verwalteten Regelgruppe ab**
+ **Konsole**
+ (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Protection Pack (Web-ACL) hinzufügen, können Sie **Bearbeiten** auswählen, um die Regeln anzuzeigen.
+ (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie auf der Seite mit den **Schutzpaketen (Webseite ACLs)** das Schutzpaket (Web-ACL) aus, das Sie gerade erstellt haben. Dadurch gelangen Sie zur Bearbeitungsseite des Protection Packs (Web-ACL).
+ Wählen Sie **Rules (Regeln)** aus.
+ Wählen Sie die Regelgruppe aus, für die Sie eine Regelliste anzeigen möchten, und klicken Sie dann auf **Bearbeiten**. AWS WAF zeigt die Liste der Regeln in der Regelgruppe an.
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# Abrufen der verfügbaren Versionen für eine verwaltete Regelgruppe
Die verfügbaren Versionen einer verwalteten Regelgruppe sind diejenigen Versionen, deren Ablauf noch nicht geplant ist. In der Liste wird angegeben, welche Version die aktuelle Standardversion für die Regelgruppe ist.
**So rufen Sie eine Liste der verfügbaren Versionen einer verwalteten Regelgruppe ab**
+ **Konsole**
+ (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen, wählen Sie **Bearbeiten**, um die Informationen der Regelgruppe anzuzeigen. Erweitern Sie das Dropdownmenü **Version**, um die Liste der verfügbaren Versionen anzuzeigen.
+ (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie im Schutzpaket (Web-ACL) die Option **Bearbeiten** und wählen und bearbeiten Sie dann die Regelgruppenregel. Erweitern Sie das Dropdownmenü **Version**, um die Liste der verfügbaren Versionen anzuzeigen.
+ **API** –
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI** –
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole
In diesem Abschnitt wird erklärt, wie Sie über die Konsole eine verwaltete Regelgruppe zu einem Protection Pack (Web-ACL) hinzufügen. Diese Anleitung gilt für alle Regelgruppen mit AWS verwalteten Regeln und für die AWS Marketplace Regelgruppen, die Sie abonniert haben.
**Risiken rund um Produktionsdatenverkehr**
Bevor Sie Änderungen in Ihrem Protection Pack (Web-ACL) für den Produktionsdatenverkehr implementieren, sollten Sie diese in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie anschließend Ihre aktualisierten Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
**Anmerkung**
Wenn Sie mehr als 1.500 WCUs in einem Schutzpaket (Web-ACL) verwenden, fallen Kosten an, die über den Preis des Basic Protection Packs (Web ACL) hinausgehen. Weitere Informationen finden Sie unter [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md) und [Preise zu AWS WAF](https://aws.amazon.com/waf/pricing/).
**Um eine verwaltete Regelgruppe über die Konsole zu einem Protection Pack (Web-ACL) hinzuzufügen**
**So fügen Sie eine verwaltete Regelgruppe über die Konsole zu einer Web-ACL hinzu**
1. Melden Sie sich bei [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) an AWS-Managementkonsole und öffnen Sie die AWS WAF Konsole.
1. Wählen Sie im Navigationsbereich die Option **Protection Packs (Web ACLs)** aus.
1. Wählen Sie auf der Seite **Protection Packs (Web ACLs)** aus der Liste der Protection Packs (Web ACLs) das aus, zu dem Sie die Regelgruppe hinzufügen möchten. Dadurch gelangen Sie zur Seite für das Single Protection Pack (Web-ACL).
1. Wählen Sie auf der Seite Ihres Schutzpakets (Web-ACL) die Registerkarte **Regeln** aus.
1. Wählen Sie im Bereich **Rules** (Regeln) die Option **Add rules** (Regeln hinzufügen) und dann die Option **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) aus.
1. Erweitern Sie auf der Seite **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) die Auswahl für Ihren Regelgruppen-Anbieter, um die Liste der verfügbaren Regelgruppen anzuzeigen.
1. Wählen Sie für jede Regelgruppe, die Sie hinzufügen möchten, die Option **Zum Schutzpaket hinzufügen (Web-ACL)** aus. Wenn Sie die Konfiguration des Schutzpakets (Web-ACL) für die Regelgruppe ändern möchten, wählen Sie **Bearbeiten**, nehmen Sie Ihre Änderungen vor und wählen Sie dann **Regel speichern**. Informationen zu den Optionen finden Sie in den Anleitungen zur Versionierung unter [Verwenden von versionierten verwalteten Regelgruppen in AWS WAF](waf-managed-rule-groups-versioning.md) und in der Anleitung zur Verwendung einer verwalteten Regelgruppe in einem Schutzpaket (Web-ACL) unter[Verwendung verwalteter Regelgruppenanweisungen in AWS WAF](waf-rule-statement-type-managed-rule-group.md).
1. Wählen Sie unten auf der Seite **Add managed rule groups** (Verwaltete Regelgruppen hinzufügen) die Option **Add rules** (Regeln hinzufügen).
1. Passen Sie auf der Seite **Set rule priority** (Regelpriorität festlegen) die Reihenfolge, in der die Regeln ausgeführt werden, nach Bedarf an und wählen Sie dann **Save** (Speichern) aus. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md).
Auf der Seite Ihres Schutzpakets (Web-ACL) sind die verwalteten Regelgruppen, die Sie hinzugefügt haben, auf der Registerkarte **Regeln** aufgeführt.
Testen und optimieren Sie alle Änderungen an Ihren AWS WAF Schutzmaßnahmen, bevor Sie sie für den Produktionsdatenverkehr verwenden. Weitere Informationen finden Sie unter [Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
**Temporäre Inkonsistenzen bei Updates**
Wenn Sie ein Schutzpaket (Web-ACL) oder andere AWS WAF Ressourcen erstellen oder ändern, dauert es etwas länger, bis die Änderungen in allen Bereichen, in denen die Ressourcen gespeichert sind, wirksam werden. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen.
Im Folgenden finden Sie Beispiele für temporäre Inkonsistenzen, die Ihnen bei der Übertragung von Änderungen möglicherweise auffallen:
+ Wenn Sie nach der Erstellung eines Schutzpakets (Web-ACL) versuchen, es einer Ressource zuzuordnen, wird möglicherweise eine Ausnahme angezeigt, die darauf hinweist, dass das Schutzpaket (Web-ACL) nicht verfügbar ist.
+ Nachdem Sie einem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt haben, gelten die neuen Regelgruppenregeln möglicherweise in einem Bereich, in dem das Protection Pack (Web-ACL) verwendet wird, und nicht in einem anderen.
+ Nachdem Sie eine Einstellung für eine Regelaktion geändert haben, sehen Sie möglicherweise an einigen Stellen die alte Aktion und an anderen die neue Aktion.
+ Nachdem Sie einem IP-Satz, der in einer Sperrregel verwendet wird, eine IP-Adresse hinzugefügt haben, wird die neue Adresse möglicherweise in einem Bereich blockiert, während sie in einem anderen weiterhin zulässig ist.
# Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen einer verwalteten Regelgruppe
In diesem Abschnitt wird erklärt, wie Sie Amazon SNS SNS-Benachrichtigungen über neue Versionen und Updates erhalten.
Ein Anbieter verwalteter Regelgruppen verwendet SNS-Benachrichtigungen, um Regelgruppenänderungen wie bevorstehende neue Versionen und dringende Sicherheitsupdates anzukündigen.
**Wie abonniere ich SNS-Benachrichtigungen**
Um Benachrichtigungen für eine Regelgruppe zu abonnieren, erstellen Sie ein Amazon SNS-Abonnement für den Amazon SNS-Thema-ARN der Regelgruppe in der Region „USA Ost (Nord-Virginia)“ (us-east-1).
Weitere Informationen zum Abonnieren finden Sie im [Entwicklerhandbuch zu Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**Anmerkung**
Erstellen Sie Ihr Abonnement für das SNS-Thema nur in der Region „us-east-1“.
Die versionierten Regelgruppen für AWS verwaltete Regeln verwenden alle dasselbe SNS-Thema Amazon Resource Name (ARN). Weitere Informationen zu Benachrichtigungen über Regelgruppen mit AWS verwalteten Regeln finden Sie unter. [Benachrichtigungen über die Bereitstellung](waf-managed-rule-groups-deployments-notifications.md)
**Wo finde ich den Amazon SNS-Thema-ARN für eine verwaltete Regelgruppe?**
AWS Regelgruppen für verwaltete Regeln verwenden einen einzigen SNS-Themen-ARN, sodass Sie den Themen-ARN aus einer der Regelgruppen abrufen und abonnieren können, um Benachrichtigungen für alle Regelgruppen mit AWS verwalteten Regeln zu erhalten, die SNS-Benachrichtigungen bereitstellen.
+ **Konsole**
+ (Option) Wenn Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen, wählen Sie **Bearbeiten**, um die Informationen der Regelgruppe anzuzeigen, zu denen auch der Amazon SNS SNS-Themen-ARN der Regelgruppe gehört.
+ (Option) Nachdem Sie die verwaltete Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzugefügt haben, wählen Sie **Bearbeiten** für das Schutzpaket (Web-ACL) und wählen Sie dann die Regelgruppenregel aus und bearbeiten Sie sie, um den Amazon SNS SNS-Themen-ARN der Regelgruppe anzuzeigen.
+ **API** – `DescribeManagedRuleGroup`
+ **CLI** – `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Allgemeine Informationen zu Amazon SNS-Benachrichtigungsformaten und dazu, wie Sie die eingehenden Benachrichtigungen filtern, finden Sie unter [Analysieren von Nachrichtenformaten](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) und [Filterrichtlinien für Amazon SNS-Abonnements](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) im Amazon Simple Notification Service-Entwicklerhandbuch.
# Verfolgen des Versionsablaufs einer Regelgruppe
In diesem Abschnitt wird erklärt, wie Sie die Ablaufplanung für eine verwaltete Regelgruppe über Amazon überwachen können CloudWatch.
Wenn Sie eine bestimmte Version einer Regelgruppe verwenden, stellen Sie sicher, dass Sie eine Version nach ihrem Ablaufdatum nicht weiter verwenden.
**Tipp**
Melden Sie sich für Amazon SNS SNS-Benachrichtigungen für verwaltete Regelgruppen an und halten Sie sich über die Versionen verwalteter Regelgruppen auf dem Laufenden. Sie profitieren von den meisten up-to-date Schutzmaßnahmen der Regelgruppe und sind dem Ablauf immer einen Schritt voraus. Weitere Informationen finden Sie unter [Erhalten von Benachrichtigungen zu neuen Versionen und Aktualisierungen](waf-using-managed-rule-groups-sns-topic.md).
**Um die Ablaufplanung für eine verwaltete Regelgruppe über Amazon zu überwachen CloudWatch**
1. Suchen Sie CloudWatch unter nach den Ablaufmetriken AWS WAF für Ihre verwaltete Regelgruppe. Die Metriken haben die folgenden Metriknamen und Dimensionen:
+ Metrikname: DaysToExpiry
+ Metrikdimensionen: Region, ManagedRuleGroup, Vendor und Version
Wenn Ihr Schutzpaket (Web-ACL) über eine verwaltete Regelgruppe verfügt, die den Datenverkehr auswertet, erhalten Sie eine Metrik dafür. Die Metrik ist für Regelgruppen, die Sie nicht verwenden, nicht verfügbar.
1. Richten Sie einen Alarm für die Metriken ein, an denen Sie interessiert sind, sodass Sie rechtzeitig benachrichtigt werden, wenn Sie zu einer neueren Version der Regelgruppe wechseln müssen.
Informationen zur Verwendung von CloudWatch Amazon-Metriken und zur Konfiguration von Alarmen finden Sie im [ CloudWatch Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Beispielkonfigurationen für verwaltete Regelgruppen in JSON und YAML
Dieser Abschnitt enthält Beispielkonfigurationen für verwaltete Regelgruppen.
Die API- und CLI-Aufrufe geben eine Liste aller Regeln in der verwalteten Regelgruppe zurück, auf die Sie im JSON-Modell oder über dieses verweisen können AWS CloudFormation.
**JSON**
Mit JSON können Sie verwaltete Regelgruppen innerhalb einer Regelanweisung referenzieren und ändern. Die folgende Liste zeigt die Regelgruppe „ AWS Verwaltete Regeln“ im JSON-Format. `AWSManagedRulesCommonRuleSet` In der RuleActionOverrides Spezifikation ist eine Regel aufgeführt, deren Aktion überschrieben wurde. Count
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
Sie können verwaltete Regelgruppen innerhalb einer Regelanweisung mit der CloudFormation -YAML-Vorlage referenzieren und ändern. Die folgende Liste zeigt die Regelgruppe „ AWS Verwaltete Regeln“ in CloudFormation der `AWSManagedRulesCommonRuleSet` Vorlage. In der RuleActionOverrides Spezifikation ist eine Regel aufgeführt, deren Aktion überschrieben wurde. Count
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```