**Presentamos una nueva experiencia de consola para AWS WAF**
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS WAF Control de bots
En esta sección se explica lo que hace el control de bots.
Con el control de bots, puede supervisar, bloquear o limitar fácilmente la tasa de los bots, como rastreadores, escáneres, monitores de estado y motores de búsqueda. Si utiliza el nivel de inspección específico del grupo de reglas, también puede desafiar a los bots que no se identifiquen a sí mismos, lo que dificulta y encarece que los robots malintencionados operen contra su sitio web. Puede proteger sus aplicaciones utilizando solo el grupo de reglas gestionado por Bot Control o en combinación con otros grupos de reglas AWS gestionadas y sus propias reglas personalizadas. AWS WAF
El control de bots incluye un panel de control de consola que muestra qué parte del tráfico actual proviene de bots, en función del muestreo de solicitudes. Con el grupo de reglas administradas de control de bots agregado a su paquete de protección (ACL web), puede tomar medidas contra el tráfico de bots y recibir información detallada y en tiempo real sobre el tráfico de bots comunes que llega a sus aplicaciones.
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
El grupo de reglas administradas de control de bots proporciona un nivel de protección básico y común que añade etiquetas a los bots que se identifican automáticamente, verifica los bots generalmente deseables y detecta las firmas de bots de alta fiabilidad. Esto le permite monitorizar y controlar las categorías comunes de tráfico de bots.
El grupo de reglas de control de bots también proporciona un nivel de protección específico que permite detectar los bots sofisticados que no se identifican a sí mismos. Todas las protecciones objetivo utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado. Además, las protecciones específicas ofrecen un análisis opcional automatizado y de machine learning de las estadísticas de tráfico del sitio web para detectar actividades relacionadas con los bots. Al habilitar el machine learning, AWS WAF utiliza estadísticas sobre el tráfico del sitio web, como las marcas de tiempo, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de machine learning de control de bots.
Cuando AWS WAF compara una solicitud web con el grupo de reglas gestionado por el Control de bots, el grupo de reglas añade etiquetas a las solicitudes que detecta como relacionadas con un bot, por ejemplo, la categoría y el nombre del bot. Puedes hacer coincidir estas etiquetas en tus propias AWS WAF reglas para personalizar la gestión. Las etiquetas que genera el grupo de reglas gestionado por Bot Control se incluyen en CloudWatch las métricas de Amazon y en los registros del paquete de protección (ACL web).
También puedes usar AWS Firewall Manager AWS WAF políticas para implementar el grupo de reglas gestionado por Bot Control en todas tus aplicaciones y en varias cuentas que formen parte de tu organización AWS Organizations.
Para obtener más información acerca del grupo de reglas administradas para Control de bots, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
## Autenticación mediante bots web para agentes de IA
AWS WAF Bot Control ahora admite la autenticación de bots web (WBA) como método de verificación criptográfica para que los bots y los agentes de IA accedan a sus CloudFront distribuciones. Esta función permite a los rastreadores y agentes de IA legítimos demostrar su identidad sin necesidad de los mecanismos tradicionales de impugnación y respuesta.
Requisito de versión: `AWSManagedRulesBotControlRuleSet` Versión\$14.0 o posterior. (La versión estática debe seleccionarse de forma explícita). Para obtener información detallada sobre la taxonomía de las etiquetas y el comportamiento de las reglas, consulte:
+ [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)
+ [Etiquetado de solicitudes web en AWS WAF](waf-labels.md)
+ [AWS Registro de cambios de reglas administradas](aws-managed-rule-groups-changelog.md)
# AWS WAF Componentes de Bot Control
Los componentes principales de la implementación de un control de bots son los siguientes:
+ **`AWSManagedRulesBotControlRuleSet`**: el grupo de reglas administradas de control de bots, cuyas reglas detectan y gestionan varias categorías de bots. Este grupo de reglas añade etiquetas a las solicitudes web que detecta como tráfico de bots.
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
El grupo de reglas administradas de control de bots ofrece dos niveles de protección entre los que puede elegir:
+ **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar.
+ **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano.
+ **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado.
+ **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas.
Para obtener detalles, incluida la información sobre las reglas del grupo de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
Para incluir este grupo de reglas en su paquete de protección (ACL web), use una instrucción de referencia de un grupo de reglas administradas e indique el nivel de inspección que desea usar. Para el nivel objetivo, también debe indicar si desea habilitar el machine learning. Para obtener más información sobre cómo agregar este grupo de reglas administradas a su paquete de protección (ACL web), consulte [Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web](waf-bot-control-rg-using.md).
+ **Panel de control de bots**: el panel de control de bots para su paquete de protección (ACL web), disponible en la pestaña de control de bots del paquete de protección (ACL web). Use este panel de control para monitorizar su tráfico y comprender qué parte proviene de varios tipos de bots. Este puede ser un punto de partida para personalizar la administración de los bots, tal y como se describe en este tema. También puede usarlo para verificar los cambios y monitorizar la actividad de varios bots y categorías de bots.
+ Panel de **análisis de tráfico de IA: panel** especializado para un análisis detallado de la actividad de los bots y agentes de IA, disponible en la pestaña de análisis del tráfico de IA del paquete de protección (ACL web). Proporciona una visibilidad mejorada de los patrones de tráfico específicos de la IA, la intención de los bots y los comportamientos de acceso, más allá de las métricas estándar de control de bots.
+ **JavaScript e integración de aplicaciones móviles SDKs**: SDKs si utiliza el nivel de protección específico del grupo de reglas del control de bots, debería implementar la tecnología AWS WAF JavaScript y la movilidad. Las reglas específicas utilizan la información proporcionada por los SDKs tokens del cliente para mejorar la detección de los bots maliciosos. Para obtener más información sobre el SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md).
+ **Registro y métricas**: puede supervisar el tráfico de bots y comprender cómo el grupo de reglas gestionado por Bot Control evalúa y gestiona su tráfico estudiando los datos que los AWS WAF registros, Amazon Security Lake y Amazon CloudWatch recopilan para su paquete de protección (ACL web). Las etiquetas que el control de bots agrega a las solicitudes web se incluyen en los datos. Para obtener información sobre estas opciones, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md), [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md) y [What is Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).
En función de sus necesidades y del tráfico que detecte, es posible que desee personalizar la implementación del Control de bots. A continuación se muestran algunas opciones de uso más frecuente:
+ **Instrucciones de restricción de acceso**: puede excluir parte del tráfico de las solicitudes web que evalúa el grupo de reglas administradas de control de bots añadiendo una instrucción de restricción de acceso dentro de la instrucción de referencia del grupo de reglas administradas de control de bots. Una instrucción de restricción de acceso puede ser cualquier instrucción de regla anidable. Cuando una solicitud no coincide con la declaración de alcance, AWS WAF evalúa que no coincide con la declaración de referencia del grupo de reglas sin compararla con el grupo de reglas. Para obtener más información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
El precio del grupo de reglas administradas de control de bots aumenta en función del número de solicitudes web que AWS WAF evalúa con él. Puede ayudar a reducir estos costos utilizando una instrucción de restricción de acceso para limitar las solicitudes que evalúa el grupo de reglas. Por ejemplo, tal vez quieras permitir que tu página de inicio se cargue para todo el mundo, incluidos los bots, y luego aplicar las reglas del grupo de reglas a las solicitudes que se dirijan a tu aplicación APIs o que contengan un tipo de contenido concreto.
+ **Etiquetas y reglas de coincidencia de etiquetas**: puedes personalizar la forma en que el grupo de reglas de control de bots gestiona parte del tráfico de bots que identifica mediante la declaración de la regla de coincidencia de AWS WAF etiquetas. El grupo de reglas de control de bots añade etiquetas a sus solicitudes web. Puede agregar reglas de coincidencia de etiquetas después del grupo de reglas de control de bots que coincidan con las etiquetas de control de bots y aplicar la gestión que necesites. Para obtener más información sobre el etiquetado y el uso de las instrucciones de coincidencia de etiquetas, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md) y [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
+ **Solicitudes y respuestas personalizadas**: puedes añadir encabezados personalizados a las solicitudes que aceptes y enviar respuestas personalizadas a las solicitudes que bloquees combinando la coincidencia de etiquetas con las funciones de solicitud y respuesta AWS WAF personalizadas. Para obtener más información sobre cómo personalizar las solicitudes y las respuestas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
# Uso de la integración de aplicaciones SDKs con Bot Control
En esta sección se explica cómo utilizar la integración de aplicaciones SDKs con Bot Control.
La mayoría de las protecciones específicas del grupo de reglas gestionado por Bot Control requieren los símbolos de desafío que SDKs genera la integración de la aplicación. Las reglas que no requieren un token de desafío en la solicitud son las protecciones de nivel común de control de bots y las reglas de nivel objetivo de machine learning. Para obtener descripciones de los niveles de protección y las reglas del grupo de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
Recomendamos encarecidamente implementar la integración SDKs de aplicaciones para aprovechar al máximo el grupo de reglas de Bot Control. El script de desafío debe ejecutarse antes del grupo de reglas del control de bots para que el grupo de reglas se beneficie de los tokens que adquiere el script.
+ Con la integración de la aplicación SDKs, el script se ejecuta automáticamente.
+ Si no puede utilizarla SDKs, puede configurar su paquete de protección (ACL web) para que ejecute la acción Challenge o la CAPTCHA regla contra todas las solicitudes que vaya a inspeccionar el grupo de reglas de control de bots. El uso de la acción de regla Challenge o CAPTCHA puede generar tarifas adicionales. Para obtener más información sobre precios, consulte [precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
Cuando implementa la integración de aplicaciones SDKs en sus clientes o utiliza una de las acciones de regla que ejecuta el script de desafío, amplía las capacidades del grupo de reglas y de la seguridad general de sus aplicaciones cliente.
Los tokens proporcionan información del cliente con cada solicitud web. Esta información adicional permite al grupo de reglas del control de bots separar las sesiones de clientes legítimas de las sesiones de clientes que se comportan mal, incluso cuando ambas se originan en una sola dirección IP. El grupo de reglas usa la información de los tokens para agregar el comportamiento de las solicitudes de sesión de los clientes con el fin de lograr una detección y mitigación más precisas que proporciona el nivel de protecciones específicas.
Para obtener información acerca de SDKs, consulte[Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información sobre AWS WAF los tokens, consulte[Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Para obtener información sobre las acciones de las reglas, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md).
# Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web
En esta sección, se explica cómo se agrega y configura el grupo de reglas `AWSManagedRulesBotControlRuleSet`.
El grupo de reglas administradas de control de bots `AWSManagedRulesBotControlRuleSet` requiere una configuración adicional para identificar el nivel de protección que se quiere implementar.
Para ver la descripción del grupo de reglas y la lista de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su paquete de protección (ACL web), consulte [Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola](waf-using-managed-rule-group.md).
**Seguir las prácticas recomendadas**
Utilice el grupo de reglas del control de bots de acuerdo con las prácticas recomendadas de [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).
**Uso del grupo de reglas de `AWSManagedRulesBotControlRuleSet` en su paquete de protección (ACL web)**
1. Agregue el grupo de reglas AWS administrado `AWSManagedRulesBotControlRuleSet` a su paquete de protección (ACL web). Para ver la descripción completa del grupo de reglas, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Cuando añada el grupo de reglas, edítelo para abrir la página de configuración del grupo de reglas.
1. En la página de configuración del grupo de reglas, en el panel **Nivel de inspección**, seleccione el nivel de inspección que desee usar.
+ **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar.
+ **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano.
+ **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado.
+ **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar un comportamiento anómalo indicativo de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas.
1. Si utilizas el nivel de protección específico y no quieres usar el aprendizaje automático (ML) AWS WAF para analizar el tráfico web y detectar actividades distribuidas y coordinadas de bots, desactiva la opción de aprendizaje automático. El machine learning es necesario para las reglas de control de bots cuyos nombres comiencen por `TGT_ML_`. Para obtener más detalles acerca de estas reglas, consulte [Listado de reglas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
1. Agregue una instrucción de restricción de acceso para el grupo de reglas con el fin de incluir los costos de su uso. Una instrucción de restricción de acceso reduce el conjunto de solicitudes que inspecciona el grupo de reglas. Por ejemplo, en los casos de uso, comience con [Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión](waf-bot-control-example-scope-down-login.md) y [Ejemplo de control de bots: uso del control de bots solo para contenido dinámico](waf-bot-control-example-scope-down-dynamic-content.md).
1. Proporcione cualquier configuración adicional que necesite para el grupo de reglas.
1. Guarde los cambios en el paquete de protección (ACL web).
Antes de implementar cambios en su control de bots para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte las secciones siguientes para obtener orientación.
# Ejemplos de escenarios de falsos positivos con AWS WAF Bot Control
En esta sección se proporcionan ejemplos de situaciones en las que podrías encontrar falsos positivos con AWS WAF Bot Control.
Hemos seleccionado cuidadosamente las reglas del grupo de reglas gestionado por el control de AWS WAF bots para minimizar los falsos positivos. Comprobamos las reglas comparándolas con el tráfico global y supervisamos su impacto en los paquetes de protección de prueba (web ACLs). Sin embargo, aún es posible obtener falsos positivos debido a los cambios en los patrones de tráfico. Además, se sabe que algunos casos de uso provocan falsos positivos y requieren una personalización específica para el tráfico web.
Entre las situaciones en las que podría encontrar falsos positivos, se incluyen las siguientes:
+ Las aplicaciones para móviles suelen tener agentes de usuario distintos de los navegadores, que la regla `SignalNonBrowserUserAgent` bloquea de forma predeterminada. Si espera que el tráfico provenga de aplicaciones para móviles o de cualquier otro tráfico legítimo con agentes de usuario distintos de los navegadores, tendrá que agregar una excepción para permitirlo.
+ Puede confiar en un tráfico de bots específico para tareas como la supervisión del tiempo de actividad, las pruebas de integración o las herramientas de marketing. Si el control de bots identifica y bloquea el tráfico de bots que quiere permitir, tendrá que modificar la gestión añadiendo sus propias reglas. Si bien no se trata de un escenario de falso positivo para todos los clientes, si lo es para usted, tendrá que gestionarlo de la misma manera que si se tratara de un falso positivo.
+ El grupo de reglas gestionado por Bot Control verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita usando una regla personalizada. Para obtener información acerca de cómo crear una regla personalizada de este tipo, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ Una regla de control de bots con una tasa de falsos positivos global baja podría afectar gravemente a dispositivos o aplicaciones específicos. Por ejemplo, durante las pruebas y la validación, es posible que no hayamos observado solicitudes de aplicaciones con volúmenes de tráfico bajos o de navegadores o dispositivos menos habituales.
+ Una regla de control de bots que tenga una tasa de falsos positivos históricamente baja podría haber aumentado el número de falsos positivos en el tráfico válido. Esto puede deberse a la aparición de nuevos patrones de tráfico o a la aparición de nuevos atributos de solicitud en el tráfico válido, lo que hace que coincidan con la regla donde no coincidía antes. Estos cambios pueden deberse a situaciones como las siguientes:
+ Detalles del tráfico que se modifican a medida que el tráfico fluye a través de los dispositivos de red, como los equilibradores de carga o las redes de distribución de contenido (CDN).
+ Cambios emergentes en los datos de tráfico, por ejemplo, nuevos navegadores o nuevas versiones de los navegadores existentes.
Para obtener información sobre cómo administrar los falsos positivos que puedan derivarse del grupo de reglas administradas de control de bots de AWS WAF , consulte las instrucciones de la sección siguiente [Prueba e implementación de AWS WAF Bot Control](waf-bot-control-deploying.md).
# Prueba e implementación de AWS WAF Bot Control
En esta sección se proporcionan instrucciones generales para configurar y probar una implementación de AWS WAF Bot Control para su sitio. Los pasos específicos que elija seguir dependerán de sus necesidades, recursos y las solicitudes web que reciba.
Esta información se suma a la información general sobre las pruebas y los ajustes que se proporcionan en [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su control de bots para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas.
Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar paquetes de AWS WAF protección (web ACLs), reglas y grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía.
**Configuración y prueba de una implementación de control de bots**
Realice estos pasos primero en un entorno de prueba y, después, en producción.
1.
**Adición del grupo de reglas administradas de control de bots**
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Agregue el grupo de AWS reglas administrado `AWSManagedRulesBotControlRuleSet` a un paquete de protección (ACL web) nuevo o existente y configúrelo de manera que no altere el comportamiento actual del paquete de protección (ACL web).
+ Cuando añada el grupo de reglas administradas, edítelo y haga lo siguiente:
+ En el panel **Nivel de inspección**, seleccione el nivel de inspección que desea utilizar.
+ **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar.
+ **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano.
+ **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado.
+ **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico del sitio web para detectar un comportamiento anómalo indicativo de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas.
Para obtener más información sobre esta opción, consulte [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
+ En el panel **Reglas**, abra el menú desplegable **Anular todas las acciones de reglas** y elija **Count**. Con esta configuración, AWS WAF evalúa las solicitudes comparándolas con todas las reglas del grupo de reglas y solo cuenta las coincidencias resultantes, sin dejar de añadir etiquetas a las solicitudes. Para obtener más información, consulte [Invalidar acciones de reglas en un grupo de reglas](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).
Con esta modificación, puede supervisar el posible impacto de las reglas de control de bots en su tráfico para determinar si desea agregar excepciones para casos de uso interno o para los bots deseados.
+ Sitúe el grupo de reglas de forma que se evalúe de último en el paquete de protección (ACL web), con una configuración de prioridad que sea numéricamente superior a la de cualquier regla o grupo de reglas que ya esté en uso. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).
De esta forma, no se interrumpe su gestión actual del tráfico. Por ejemplo, si tiene reglas que detectan tráfico malicioso, como la inyección de código SQL o el uso de scripts entre sitios, seguirán detectando y registrando estas solicitudes. Como alternativa, si tiene reglas que permiten el tráfico no malicioso conocido, estas pueden seguir permitiéndolo sin que el grupo de reglas administradas del control de bots lo bloquee. Puede decidir ajustar el procesamiento de pedidos durante sus actividades de prueba y ajuste. Esta es una buena forma de empezar.
1.
**Habilitación del registro y las métricas para el paquete de protección (ACL web)**
Según sea necesario, configure el registro, la recopilación de datos de Amazon Security Lake, el muestreo de solicitudes y CloudWatch las métricas de Amazon para el paquete de protección (ACL web). Puede utilizar estas herramientas de visibilidad para supervisar la interacción del grupo de reglas administradas del control de bots con su tráfico.
+ Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).
+ Para obtener información acerca de Amazon Security Lake, consulte [¿Qué es Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) y [Recopilación de datos de AWS los servicios de](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) la *guía del usuario de Amazon Security Lake*.
+ Para obtener información sobre CloudWatch las métricas de Amazon, consulta[Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md).
+ Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte [Visualizar una muestra de solicitudes web](web-acl-testing-view-sample.md).
1.
**Asociar el paquete de protección (ACL web) con un recurso**
Si el paquete de protección (ACL web) aún no está asociado a un recurso, asócielo. Para obtener información, consulte [Asociar o disociar la protección a un recurso AWS](web-acl-associating-aws-resource.md).
1.
**Supervise el tráfico y las coincidencias de las reglas del control de bots**
Asegúrese de que el tráfico fluya y de que las reglas del grupo de reglas administradas del control de bots agreguen etiquetas a las solicitudes web coincidentes. Puedes ver las etiquetas en los registros y ver las métricas de bots y etiquetas en las CloudWatch métricas de Amazon. En los registros, las reglas que ha anulado para el recuento en el grupo de reglas aparecen en `ruleGroupList` con `action` establecida para el recuento y con `overriddenAction` indicando la acción de regla configurada que ha anulado.
**nota**
El grupo de reglas administradas de control de bots verifica los bots mediante las direcciones IP de AWS WAF. Si utiliza el control de bots y ha verificado bots enrutados a través de un proxy o un equilibrador de carga, debe permitirlos de forma explícita usando una regla personalizada. Para obtener información sobre cómo crear una regla personalizada, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md). Para obtener información sobre cómo puede usar la regla para personalizar la gestión de las solicitudes web de control de bots, consulte el siguiente paso.
Revise detenidamente la gestión de las solicitudes web para ver si hay falsos positivos que deba mitigar con una gestión personalizada. Para ver ejemplos de falsos positivos, consulte [Ejemplos de escenarios de falsos positivos con AWS WAF Bot Control](waf-bot-control-false-positives.md).
1.
**Personalización la gestión de las solicitudes web del control de bots**
Según sea necesario, añada sus propias reglas que permitan o bloqueen las solicitudes de forma explícita para cambiar la forma en que las reglas del control de bots las gestionarían.
La forma de hacerlo depende del caso de uso, pero las siguientes son soluciones habituales:
+ Permita solicitudes de forma explícita con una regla que añada antes del grupo de reglas administradas de control de bots. De este modo, las solicitudes permitidas nunca llegan al grupo de reglas para su evaluación. Esto puede ayudar a reducir el coste de usar el grupo de reglas administradas de control de bots.
+ Excluya las solicitudes de la evaluación del control de bots añadiendo una instrucción de restricción de acceso dentro de la instrucción del grupo de reglas administradas de control de bots. Funciona igual que la opción anterior. Puede ayudar a reducir el coste de usar el grupo de reglas administradas de control de bots, ya que las solicitudes que no coinciden con la instrucción de restricción de acceso nunca llegan a la evaluación del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
Para ver ejemplos de , consulte lo siguiente:
+ [Exclusión de un rango de IP de la administración de bots](waf-bot-control-example-scope-down-ip.md)
+ [Permisión del tráfico de un bot que usted controla](waf-bot-control-example-scope-down-your-bot.md)
+ Use las etiquetas de control de bots en la gestión de solicitudes para permitir o bloquear las solicitudes. Añada una regla de coincidencia de etiquetas después del grupo de reglas administradas de control de bots para filtrar las solicitudes etiquetadas que quiera permitir de las que quiera bloquear.
Tras realizar las pruebas, mantenga las reglas del control de bots en modo de recuento y mantenga las decisiones de gestión de las solicitudes en su regla personalizada. Para obtener información sobre las instrucciones del control de bots, consulte [Instrucción de regla de coincidencia de etiquetas](waf-rule-statement-type-label-match.md).
Para ver ejemplos de este tipo de personalización, consulte lo siguiente:
+ [Creación de una excepción para un agente de usuario bloqueado](waf-bot-control-example-user-agent-exception.md)
+ [Permisión de un bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md)
+ [Bloqueo de los bots verificados](waf-bot-control-example-block-verified-bots.md)
Para ver otros ejemplos, consulte [AWS WAF Ejemplos de control de bots](waf-bot-control-examples.md).
1.
**Habilite la configuración del grupo de reglas administradas de control de bots, según sea necesario.**
Según su situación, es posible que haya decidido dejar algunas reglas del control de bots en modo de recuento o con una regla de anulación diferente. Para las reglas que quiera que se ejecuten tal como están configuradas dentro del grupo de reglas, habilite la configuración de reglas normal. Para ello, edite la instrucción del grupo de reglas en su paquete de protección (ACL web) y realice los cambios en el panel **Reglas**.
# AWS WAF Ejemplos de control de bots
En esta sección se muestran ejemplos de configuraciones que se adaptan a una variedad de casos de uso habituales de las implementaciones de AWS WAF Bot Control.
Cada ejemplo proporciona una descripción del caso de uso y, a continuación, muestra la solución en las listas JSON para las reglas configuradas de forma personalizada.
**nota**
Las listas JSON que se muestran en estos ejemplos se crearon en la consola configurando la regla y, a continuación, editándola con el **Editor de reglas JSON**.
**Topics**
+ [Ejemplo de control de bots: configuración sencilla](waf-bot-control-example-basic.md)
+ [Ejemplo de control de bots: permitir de forma explícita los bots verificados](waf-bot-control-example-allow-verified-bots.md)
+ [Ejemplo de control de bots: bloqueo de los bots verificados](waf-bot-control-example-block-verified-bots.md)
+ [Ejemplo de control de bots: permitir un bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md)
+ [Ejemplo de control de bots: creación de una excepción para un agente de usuario bloqueado](waf-bot-control-example-user-agent-exception.md)
+ [Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión](waf-bot-control-example-scope-down-login.md)
+ [Ejemplo de control de bots: uso del control de bots solo para contenido dinámico](waf-bot-control-example-scope-down-dynamic-content.md)
+ [Ejemplo de control de bots: exclusión de un rango de IP de la administración de bots](waf-bot-control-example-scope-down-ip.md)
+ [Ejemplo de control de bots: permisión del tráfico de un bot que usted controla](waf-bot-control-example-scope-down-your-bot.md)
+ [Ejemplo de control de bots: habilitación de un nivel de inspección específico](waf-bot-control-example-targeted-inspection-level.md)
+ [Ejemplo de control de bots: utilizar dos instrucciones para limitar el uso del nivel de inspección objetivo](waf-bot-control-example-common-and-targeted-inspection-level.md)
# Ejemplo de control de bots: configuración sencilla
La siguiente lista de JSON muestra un ejemplo de paquete de protección (ACL web) con un grupo de reglas gestionado por AWS WAF Bot Control. Tenga en cuenta la configuración de visibilidad, que hace AWS WAF que se almacenen las muestras y métricas de las solicitudes con fines de supervisión.
```
{
"Name": "Bot-WebACL",
"Id": "...",
"ARN": "...",
"DefaultAction": {
"Allow": {}
},
"Description": "Bot-WebACL",
"Rules": [
{
...
},
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
}
],
"VisibilityConfig": {
...
},
"Capacity": 1496,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false
}
```
# Ejemplo de control de bots: permitir de forma explícita los bots verificados
AWS WAF Bot Control no bloquea los bots que se AWS consideran bots comunes y verificables. Cuando el control de bots identifica una solicitud web como procedente de un bot verificado, añade una etiqueta con el nombre del bot y otra que indica que se trata de un bot verificado. El control de bots no añade ninguna otra etiqueta, como etiquetas de señales, para evitar que se bloqueen los bots que se sabe que funcionan correctamente.
Es posible que tengas otras AWS WAF reglas que bloqueen los bots verificados. Si quiere asegurarse de que los bots verificados están permitidos, añada una regla personalizada para permitirlos en función de las etiquetas del control de bots. La nueva regla debe ejecutarse después del grupo de reglas administradas de control de bots, de modo que las etiquetas estén disponibles para compararlas con ellas.
La siguiente regla permite explícitamente los bots verificados.
```
{
"Name": "match_rule",
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
},
"RuleLabels": [],
"Action": {
"Allow": {}
}
}
```
# Ejemplo de control de bots: bloqueo de los bots verificados
Para bloquear los bots verificados, debe agregar una regla para bloquearlos que se ejecute según el grupo de reglas administradas de control de bots de AWS WAF . Para ello, identifique los nombres de los bots que quiera bloquear y utilice una instrucción de coincidencia de etiquetas para identificarlos y bloquearlos. Si solo quiere bloquear todos los bots verificados, puede omitir la coincidencia con la etiqueta `bot:name:`.
La siguiente regla bloquea solo el bot verificado `bingbot`. Esta regla debe ejecutarse después del grupo de reglas administradas de control de bots.
```
{
"Name": "match_rule",
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
}
},
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
}
]
}
},
"RuleLabels": [],
"Action": {
"Block": {}
}
}
```
La siguiente regla bloquea todos los bots verificados.
```
{
"Name": "match_rule",
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:verified"
}
},
"RuleLabels": [],
"Action": {
"Block": {}
}
}
```
# Ejemplo de control de bots: permitir un bot bloqueado específico
Es posible que un bot esté bloqueado por más de una de las reglas de control de bots. Siga el procedimiento a continuación para cada regla de bloqueo.
Si una AWS WAF regla de control de bots bloquea un bot que no quieres bloquear, haz lo siguiente:
1. Compruebe los registros para identificar la regla de control de bots que bloquea el bot. La regla de bloqueo se especificará en los registros de los campos cuyos nombres comiencen por `terminatingRule`. Para obtener información acerca de los registros de paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). Tenga en cuenta que la etiqueta que es la regla se añade a las solicitudes.
1. En su paquete de protección (ACL web), anule la acción de regla de bloqueo para el recuento. Para hacerlo en la consola, edite la regla del grupo de reglas del paquete de protección (ACL web) y elija la anulación de una acción de regla Count para la regla. Esto garantiza que el bot no esté bloqueado por la regla, pero la regla seguirá aplicando su etiqueta a las solicitudes coincidentes.
1. Añada una regla de coincidencia de etiquetas a su paquete de protección (ACL web) después del grupo de reglas administradas de control de bots. Configure la regla para que coincida con la etiqueta de la regla anulada y bloquee todas las solicitudes coincidentes, excepto las del bot que no desee bloquear.
Su paquete de protección (ACL web) ya está configurado para que la regla de bloqueo que identificó en los registros no bloquee el bot que desea permitir.
Compruebe de nuevo el tráfico y sus registros para asegurarse de que el bot esté autorizado a pasar. Si no es así, vuelva a realizar el procedimiento anterior.
Por ejemplo, suponga que desea bloquear todos los bots de monitorización, excepto `pingdom`. En este caso, anule la regla `CategoryMonitoring` para el recuento y, a continuación, escriba una regla para bloquear todos los bots de supervisión, excepto los que tengan la etiqueta `pingdom` con el nombre del bot.
La siguiente regla usa el grupo de reglas administradas por el control de bots, pero anula la acción de regla para `CategoryMonitoring` para el recuento. La regla de supervisión de categorías aplica sus etiquetas como de costumbre a las solicitudes coincidentes, pero solo las cuenta en lugar de realizar su acción habitual de bloqueo.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryMonitoring"
}
],
"ExcludedRules": []
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
La siguiente regla coincide con la etiqueta de monitorización de categorías que la regla `CategoryMonitoring` anterior añade a las solicitudes web coincidentes. Entre las solicitudes de monitorización por categorías, esta regla bloquea todas excepto las que tienen una etiqueta para el nombre del bot `pingdom`.
La siguiente regla debe ejecutarse después del grupo de reglas administradas de control de bots anterior en el orden de procesamiento del paquete de protección (ACL web).
```
{
"Name": "match_rule",
"Priority": 10,
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
}
},
{
"NotStatement": {
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
}
}
}
}
]
}
},
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Ejemplo de control de bots: creación de una excepción para un agente de usuario bloqueado
Si se bloquea por error el tráfico de algunos agentes de usuario ajenos al navegador, puede crear una excepción configurando la regla de control de AWS WAF bots infractora en Recuento y, `SignalNonBrowserUserAgent` a continuación, combinando el etiquetado de la regla con sus criterios de excepción.
**nota**
Las aplicaciones para móviles suelen tener agentes de usuario distintos de los navegadores, que la regla `SignalNonBrowserUserAgent` bloquea de forma predeterminada.
La siguiente regla usa el grupo de reglas administradas por el control de bots, pero anula la acción de regla para `SignalNonBrowserUserAgent` para el recuento. La regla de señal aplica sus etiquetas como de costumbre a las solicitudes coincidentes, pero solo las cuenta en lugar de realizar su acción habitual de bloqueo.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "SignalNonBrowserUserAgent"
}
],
"ExcludedRules": []
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
La siguiente regla coincide con la etiqueta de monitorización de categorías que la regla del control de bots de `SignalNonBrowserUserAgent` anterior añade a las solicitudes web coincidentes. Entre las solicitudes de señal, esta regla bloquea todas excepto las que tienen el agente de usuario que queremos permitir.
La siguiente regla debe ejecutarse después del grupo de reglas administradas de control de bots anterior en el orden de procesamiento del paquete de protección (ACL web).
```
{
"Name": "match_rule",
"Statement": {
"AndStatement": {
"Statements": [
{
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
}
},
{
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"SingleHeader": {
"Name": "user-agent"
}
},
"PositionalConstraint": "EXACTLY",
"SearchString": "PostmanRuntime/7.29.2",
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
}
}
]
}
},
"RuleLabels": [],
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "match_rule"
}
}
```
# Ejemplo de control de bots: uso del control de bots solo para la página de inicio de sesión
En el siguiente ejemplo, se utiliza una sentencia de alcance reducido para aplicar el control de AWS WAF bots únicamente al tráfico que llega a la página de inicio de sesión de un sitio web, que se identifica mediante la ruta URI. `login` La ruta de URI a la página de inicio de sesión puede ser diferente a la del ejemplo, en función de la aplicación y el entorno.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"ByteMatchStatement": {
"SearchString": "login",
"FieldToMatch": {
"UriPath": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "CONTAINS"
}
}
}
}
```
# Ejemplo de control de bots: uso del control de bots solo para contenido dinámico
En este ejemplo, se utiliza una declaración de alcance reducido para aplicar el control de AWS WAF bots únicamente al contenido dinámico.
La instrucción de restricción de acceso excluye el contenido estático al anular los resultados de las coincidencias de un conjunto de patrones de regex:
+ El conjunto de patrones de regex está configurado para coincidir con las extensiones del *contenido estático*. Por ejemplo, la especificación del conjunto de patrones de regex podría ser `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$`. Para obtener más información acerca de la administración de conjuntos de patrones de expresiones regulares e instrucciones , consulte [Instrucción de regla de coincidencia de conjuntos de patrones de regex](waf-rule-statement-type-regex-pattern-set-match.md).
+ En la instrucción de restricción de acceso, excluimos el contenido estático coincidente anidando la instrucción del conjunto de patrones de regex dentro de una instrucción `NOT`. Para obtener información sobre la instrucción de `NOT`, consulte [Instrucción de reglas de NOT](waf-rule-statement-type-not.md).
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"RegexPatternSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
"FieldToMatch": {
"UriPath": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
}
}
}
}
}
```
# Ejemplo de control de bots: exclusión de un rango de IP de la administración de bots
Si quieres excluir un subconjunto del tráfico web de la administración de AWS WAF Bot Control y puedes identificar ese subconjunto mediante una declaración de regla, entonces exclúyelo añadiendo una declaración de alcance reducido a la declaración del grupo de reglas gestionado por Bot Control.
La siguiente regla realiza una administración normal de los bots de control de bots en todo el tráfico web, excepto en el caso de las solicitudes web procedentes de un rango de direcciones IP específico.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"IPSetReferenceStatement": {
"ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
}
}
}
}
}
}
```
# Ejemplo de control de bots: permisión del tráfico de un bot que usted controla
Puede configurar algunos bots de monitorización de sitios y bots personalizados para que envíen encabezados personalizados. Si quiere permitir el tráfico de estos tipos de bots, puede configurarlos para que añadan un secreto compartido en un encabezado. A continuación, puedes excluir los mensajes que tengan el encabezado añadiendo una declaración de alcance reducido a la declaración del grupo de reglas gestionado por AWS WAF Bot Control.
El siguiente ejemplo de regla excluye el tráfico con un encabezado secreto de la inspección de control de bots.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"SearchString": "YSBzZWNyZXQ=",
"FieldToMatch": {
"SingleHeader": {
"Name": "x-bypass-secret"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
],
"PositionalConstraint": "EXACTLY"
}
}
}
}
}
}
```
# Ejemplo de control de bots: habilitación de un nivel de inspección específico
Para mejorar el nivel de protección, puede habilitar el nivel de inspección específica en su grupo de reglas gestionado por AWS WAF Bot Control.
En el siguiente ejemplo, las características de machine learning están habilitadas. Puede desactivar este comportamiento si establece `EnableMachineLearning` en `false`.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "TARGETED",
"EnableMachineLearning": true
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
}
```
# Ejemplo de control de bots: utilizar dos instrucciones para limitar el uso del nivel de inspección objetivo
Para optimizar los costes, puede utilizar dos declaraciones de grupos de reglas gestionadas por AWS WAF Bot Control en su paquete de protección (ACL web), con niveles y alcances de inspección independientes. Por ejemplo, podría limitar la instrucción del nivel de inspección objetivo únicamente a los puntos de conexión de las aplicaciones más sensibles.
Las dos instrucciones del siguiente ejemplo tienen un alcance mutuamente excluyente. Sin esta configuración, una solicitud podría dar lugar a la facturación de dos evaluaciones del Control de bots.
**nota**
El editor visual de la consola no admite varias instrucciones que hagan referencia a `AWSManagedRulesBotControlRuleSet`. En su lugar, utilice el editor JSON.
```
{
"Name": "Bot-WebACL",
"Id": "...",
"ARN": "...",
"DefaultAction": {
"Allow": {}
},
"Description": "Bot-WebACL",
"Rules": [
{
...
},
{
"Name": "AWS-AWSBotControl-Common",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "COMMON"
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Common"
},
"ScopeDownStatement": {
"NotStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/sensitive-endpoint",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
},
{
"Name": "AWS-AWSBotControl-Targeted",
"Priority": 6,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesBotControlRuleSet": {
"InspectionLevel": "TARGETED",
"EnableMachineLearning": true
}
}
],
"RuleActionOverrides": [],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Targeted"
},
"ScopeDownStatement": {
"Statement": {
"ByteMatchStatement": {
"FieldToMatch": {
"UriPath": {}
},
"PositionalConstraint": "STARTS_WITH",
"SearchString": "/sensitive-endpoint",
"TextTransformations": [
{
"Type": "NONE",
"Priority": 0
}
]
}
}
}
}
}
],
"VisibilityConfig": {
...
},
"Capacity": 1496,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false
}
```