Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung und Optimierung Ihrer AWS WAF Schutzmaßnahmen

Überwachen und optimieren Sie Ihren AWS WAF Schutz.

Anmerkung

Um den Anleitungen in diesem Abschnitt folgen zu können, müssen Sie allgemein wissen, wie AWS WAF Schutzmaßnahmen wie Schutzpakete oder Web ACLs, Regeln und Regelgruppen erstellt und verwaltet werden. Diese Informationen wurden in früheren Abschnitten dieses Handbuchs behandelt.

Überwachen Sie den Webverkehr und Regelübereinstimmungen, um das Verhalten des Schutzpakets oder der Web-ACL zu überprüfen. Wenn Sie Probleme feststellen, passen Sie Ihre Regeln an, um sie zu korrigieren, und überwachen Sie dann, um die Anpassungen zu überprüfen.

Wiederholen Sie das folgende Verfahren, bis das Protection Pack oder die Web-ACL Ihren Webverkehr so verwaltet, wie Sie es benötigen.

Zur Überwachung und Feinabstimmung
  1. Überwachen Sie den Datenverkehr und die Regelübereinstimmungen

    Stellen Sie sicher, dass der Datenverkehr fließt und dass Ihre Testregeln passende Anfragen finden.

    Suchen Sie nach den folgenden Informationen für die Schutzmaßnahmen, die Sie testen:

    • Protokolle — Greifen Sie auf Informationen zu den Regeln zu, die einer Webanfrage entsprechen:

      • Ihre Regeln — Regeln im Schutzpaket oder der Web-ACL, die Count aktiv sind, sind unter aufgeführtnonTerminatingMatchingRules. Regeln mit Allow oder Block werden als aufgeführtterminatingRule. Regeln mit CAPTCHA oder Challenge können entweder beendend oder nicht beendend sein und werden daher je nach Ergebnis des Regelabgleichs in einer der beiden Kategorien aufgeführt.

      • Regelgruppen — Regelgruppen werden im ruleGroupId Feld identifiziert, wobei ihre Regelübereinstimmungen genauso kategorisiert werden wie bei eigenständigen Regeln.

      • Labels — Labels, die Regeln auf die Anfrage angewendet haben, werden in dem Labels Feld aufgeführt.

      Weitere Informationen finden Sie unter Protokollfelder für Protection Pack- oder Web-ACL-Verkehr.

    • CloudWatch Amazon-Metriken — Sie können auf die folgenden Metriken für die Bewertung Ihres Protection Packs oder Ihrer Web-ACL-Anfrage zugreifen.

      • Ihre Regeln — Die Metriken sind nach der Regelaktion gruppiert. Wenn Sie beispielsweise eine Regel im Count Modus testen, werden ihre Treffer als Count Metriken für das Protection Pack oder die Web-ACL aufgeführt.

      • Ihre Regelgruppen — Die Metriken für Ihre Regelgruppen sind unter den Regelgruppen-Metriken aufgeführt.

      • Regelgruppen, die einem anderen Konto gehören — Regelgruppen-Metriken sind in der Regel nur für den Eigentümer der Regelgruppe sichtbar. Wenn Sie jedoch die Regelaktion für eine Regel außer Kraft setzen, werden die Metriken für diese Regel unter Ihrem Protection Pack oder Ihren Web-ACL-Metriken aufgeführt. Darüber hinaus werden Labels, die von einer Regelgruppe hinzugefügt wurden, in Ihrem Protection Pack oder Ihren Web-ACL-Metriken aufgeführt

        Regelgruppen in dieser Kategorie sindAWS Verwaltete Regeln für AWS WAF, AWS Marketplace RegelgruppenErkennen von Regelgruppen, die von anderen Diensten bereitgestellt werden, und Regelgruppen, die von einem anderen Konto mit Ihnen geteilt werden.

      • Labels — Labels, die während der Evaluierung zu einer Webanfrage hinzugefügt wurden, sind in den Metriken des Protection Packs oder der Web-ACL-Label aufgeführt. Sie können auf die Metriken für alle Labels zugreifen, unabhängig davon, ob sie durch Ihre Regeln und Regelgruppen oder durch Regeln in einer Regelgruppe hinzugefügt wurden, die einem anderen Konto gehört.

      Weitere Informationen finden Sie unter Metriken für Ihre Web-ACL anzeigen.

    • Dashboards zur Übersicht über den Traffic über das Protection Pack oder die Web-ACL — Rufen Sie in der AWS WAF Konsole die Seite des Schutzpakets oder der Web-ACL auf und öffnen Sie dort die Registerkarte Traffic-Übersicht, um auf Zusammenfassungen des Web-Traffics zuzugreifen, den ein Protection Pack oder eine Web-ACL ausgewertet hat.

      Die Traffic-Übersichts-Dashboards bieten fast in Echtzeit Zusammenfassungen der CloudWatch Amazon-Metriken, die bei der Auswertung des Web-Traffics Ihrer Anwendung AWS WAF erfasst werden.

      Weitere Informationen finden Sie unter Dashboards mit Traffic-Übersicht für Protection Pack oder Web ACLs.

    • Stichproben von Webanfragen — Greifen Sie auf Informationen zu den Regeln zu, die einer Stichprobe der Webanfragen entsprechen. Die Beispielinformationen identifizieren übereinstimmende Regeln anhand des Metriknamens für die Regel im Protection Pack oder der Web-ACL. Bei Regelgruppen identifiziert die Metrik die Referenzanweisung für die Regelgruppe. Für Regeln innerhalb von Regelgruppen listet das Beispiel den entsprechenden Regelnamen in aufRuleWithinRuleGroup.

      Weitere Informationen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.

  2. Konfigurieren Sie Abhilfemaßnahmen, um Fehlalarme zu beheben

    Wenn Sie feststellen, dass eine Regel Fehlalarme generiert, indem sie Webanfragen abgleicht, obwohl dies nicht der Fall sein sollte, können Ihnen die folgenden Optionen dabei helfen, Ihr Schutzpaket oder Ihre Web-ACL-Schutzmaßnahmen zur Abschwächung zu optimieren.

    Korrektur der Kriterien für die Überprüfung von Regeln

    Für Ihre eigenen Regeln müssen Sie oft nur die Einstellungen anpassen, die Sie zur Überprüfung von Webanfragen verwenden. Beispiele hierfür sind das Ändern der Spezifikationen in einem Regex-Mustersatz, das Anpassen der Texttransformationen, die Sie vor der Überprüfung auf eine Anforderungskomponente anwenden, oder die Umstellung auf die Verwendung einer weitergeleiteten IP-Adresse. Die Anleitungen für den Regeltyp, der Probleme verursacht, finden Sie unter. Verwenden von Regelanweisungen in AWS WAF

    Korrigieren komplexerer Probleme

    Bei Prüfkriterien, die Sie nicht kontrollieren können, und bei einigen komplexen Regeln müssen Sie möglicherweise weitere Änderungen vornehmen, z. B. Regeln hinzufügen, die Anfragen explizit zulassen oder blockieren oder die Anfragen anhand der problematischen Regel von der Bewertung ausschließen. Für verwaltete Regelgruppen ist diese Art von Schadensbegrenzung am häufigsten erforderlich, aber auch für andere Regeln ist dies möglich. Beispiele hierfür sind die ratenbasierte Regelanweisung und die SQL-Injection-Angriffsregelanweisung.

    Was Sie tun, um Fehlalarme zu vermeiden, hängt von Ihrem Anwendungsfall ab. Die folgenden Ansätze sind gebräuchlich:

    • Schadensbegrenzungsregel hinzufügen — Fügen Sie eine Regel hinzu, die vor der neuen Regel ausgeführt wird und Anfragen, die zu Fehlalarmen führen, ausdrücklich zulässt. Informationen zur Reihenfolge der Regelauswertung in einer Web-ACL finden Sie unterRegelpriorität festlegen.

      Bei diesem Ansatz werden die zulässigen Anfragen an die geschützte Ressource gesendet, sodass sie nie die neue Regel zur Auswertung erreichen. Wenn es sich bei der neuen Regel um eine kostenpflichtige verwaltete Regelgruppe handelt, kann dieser Ansatz auch dazu beitragen, die Kosten für die Nutzung der Regelgruppe einzudämmen.

    • Eine logische Regel mit einer Schadensbegrenzungsregel hinzufügen — Verwenden Sie logische Regelanweisungen, um die neue Regel mit einer Regel zu kombinieren, die Fehlalarme ausschließt. Weitere Informationen finden Sie unter Verwendung logischer Regelanweisungen in AWS WAF.

      Angenommen, Sie fügen eine SQL-Injection-Abgleichsanweisung hinzu, die Falschmeldungen für eine Kategorie von Anfragen generiert. Erstellen Sie eine Regel, die diesen Anforderungen entspricht, und kombinieren Sie die Regeln dann mithilfe logischer Regelanweisungen, sodass Sie nur bei Anfragen eine Übereinstimmung erzielen, die sowohl nicht den Kriterien für falsch positive Ergebnisse als auch den Kriterien für SQL-Injection-Angriffe entsprechen.

    • Eine Scopedown-Aussage hinzufügen — Schließen Sie bei ratenbasierten Aussagen und Referenzanweisungen für verwaltete Regelgruppen Anfragen, die zu falsch positiven Ergebnissen führen, von der Auswertung aus, indem Sie der Hauptanweisung eine Scopedown-Aussage hinzufügen.

      Eine Anfrage, die nicht mit der Scopedown-Aussage übereinstimmt, erreicht niemals die regelgruppen- oder ratenbasierte Bewertung. Informationen zu Eingrenzungsanweisungen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF. Ein Beispiel finden Sie unter IP-Bereich von der Bot-Verwaltung ausschließen.

    • Eine Regel zum Abgleich von Bezeichnungen hinzufügen — Identifizieren Sie für Regelgruppen, die Labels verwenden, die Bezeichnung, die die problematische Regel auf Anfragen anwendet. Möglicherweise müssen Sie die Regelgruppenregeln zuerst im Zählmodus einrichten, falls Sie das noch nicht getan haben. Fügen Sie eine Regel für die Zuordnung von Bezeichnungen hinzu, die so positioniert ist, dass sie hinter der Regelgruppe ausgeführt wird und mit der Bezeichnung übereinstimmt, die durch die problematische Regel hinzugefügt wurde. In der Regel zur Zuordnung von Bezeichnungen können Sie die Anfragen, die Sie zulassen möchten, von den Anfragen, die Sie blockieren möchten, filtern.

      Wenn Sie diesen Ansatz verwenden, behalten Sie nach Abschluss des Tests die problematische Regel in der Regelgruppe im Zählmodus und behalten Sie Ihre benutzerdefinierte Regel für den Labelabgleich bei. Informationen zu Anweisungen für Bezeichnungsabgleiche finden Sie unter Regelanweisung für Bezeichnungsübereinstimmung. Beispiele finden Sie unter Einen bestimmten blockierten Bot zulassen und ATP-Beispiel: Benutzerdefinierte Behandlung fehlender und kompromittierter Anmeldeinformationen.

    • Ändern Sie die Version einer verwalteten Regelgruppe — Ändern Sie bei versionierten verwalteten Regelgruppen die Version, die Sie verwenden. Sie könnten beispielsweise zur letzten statischen Version zurückkehren, die Sie erfolgreich verwendet haben.

      Dies ist normalerweise eine vorübergehende Lösung. Sie können die Version für Ihren Produktionsdatenverkehr ändern, während Sie die neueste Version in Ihrer Test- oder Staging-Umgebung weiter testen oder während Sie auf eine kompatiblere Version des Anbieters warten. Informationen zu Versionen verwalteter Regelgruppen finden Sie unterVerwenden verwalteter Regelgruppen in AWS WAF.

Wenn Sie überzeugt sind, dass die neuen Regeln den Anforderungen wie gewünscht entsprechen, fahren Sie mit der nächsten Testphase fort und wiederholen Sie dieses Verfahren. Führen Sie die letzte Phase der Tests und Optimierungen in Ihrer Produktionsumgebung durch.