**Presentamos una nueva experiencia de consola para AWS WAF**
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# AWS WAF grupos de reglas
En esta sección, se explica qué es un grupo de reglas y cómo funciona.
Un grupo de reglas es un conjunto de reglas reutilizable que puede agregar a un paquete de protección (ACL web). Para obtener más información sobre los paquetes de protección (web ACLs), consulte[Configuración de la protección en AWS WAF](web-acl.md).
Los grupos de reglas se dividen en las categorías principales:
+ Grupos de reglas que crea y mantiene.
+ Grupos de reglas AWS administradas que los equipos de reglas administradas crean y mantienen para usted.
+ Grupos de reglas gestionados que AWS Marketplace los vendedores crean y mantienen para ti.
+ Grupos de reglas que son propiedad y están administrados por otros servicios, como AWS Firewall Manager Shield Advanced.
**Diferencias entre los grupos de reglas y los paquetes de protección (web ACLs)**
Tanto los grupos de reglas como los paquetes de protección (web ACLs) contienen reglas, que se definen de la misma manera en ambos lugares. Los grupos de reglas se diferencian de los paquetes de protección (web ACLs) en los siguientes aspectos:
+ Los grupos de reglas no pueden contener instrucciones de referencia de grupos de reglas.
+ Puede reutilizar un único grupo de reglas en varios paquetes de protección (web ACLs) añadiendo una declaración de referencia del grupo de reglas a cada paquete de protección (ACL web). No puede reutilizar un paquete de protección (ACL web).
+ Los grupos de reglas no tienen acciones predeterminadas. En un paquete de protección (ACL web), se establece una acción predeterminada para cada regla o grupo de reglas que se incluya. Cada regla individual dentro de un grupo de reglas o paquete de protección (ACL web) tiene una acción definida.
+ No se asocia directamente un grupo de reglas a un AWS recurso. Para proteger recursos mediante un grupo de reglas, utilice el grupo de reglas en un paquete de protección (ACL web).
+ El sistema define una capacidad máxima de 5000 unidades de capacidad de paquete de protección (ACL webWCUs) () para cada paquete de protección (ACL web). Cada grupo de reglas tiene una configuración de WCU que debe establecerse en la creación. Puede utilizar esta configuración para calcular los requisitos de capacidad adicionales que el uso de un grupo de reglas agregaría al paquete de protección (ACL web). Para obtener más información al respecto WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md).
Para obtener más información acerca de las reglas, consulte [AWS WAF reglas](waf-rules.md).
En esta sección se proporciona orientación para crear y administrar sus propios grupos de reglas, describe los grupos de reglas administrados que están disponibles y se proporciona orientación para utilizar los grupos de reglas gestionados.
**Topics**
+ [Uso de grupos de reglas gestionados en AWS WAF](waf-managed-rule-groups.md)
+ [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md)
+ [AWS Marketplace grupos de reglas](marketplace-rule-groups.md)
+ [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md)
# Uso de grupos de reglas gestionados en AWS WAF
En esta sección se explica qué son los grupos de reglas administradas y cómo funcionan.
Los grupos de reglas gestionados son conjuntos de ready-to-use reglas predefinidas que AWS AWS Marketplace los vendedores redactan y mantienen por ti. AWS WAF El precio básico se aplica al uso de cualquier grupo de reglas gestionado. Para obtener información sobre AWS WAF precios, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
+ *Los grupos de reglas de AWS Managed Rules para el control de AWS WAF bots, AWS WAF la prevención de apropiación de cuentas (ATP) y la prevención del AWS WAF fraude en la creación de cuentas (ACFP) de Fraud Control* están disponibles por cargos adicionales, además de los cargos básicos AWS WAF . Para obtener más información sobre precios, consulte [precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
+ *Todos los demás grupos de reglas de AWS Managed* Rules están disponibles para AWS WAF los clientes sin coste adicional.
+ *AWS Marketplace Los grupos de reglas* están disponibles mediante suscripción a través de AWS Marketplace. Cada uno de estos grupos de reglas es propiedad del AWS Marketplace vendedor y está gestionado por él. Para obtener información sobre precios y utilizar un grupo de AWS Marketplace reglas, ponte en contacto con el AWS Marketplace vendedor.
Algunos grupos de reglas gestionados están diseñados para ayudar a proteger tipos específicos de aplicaciones webWordPress, como Joomla o PHP. Otros ofrecen una amplia protección frente a amenazas conocidas o vulnerabilidades de aplicaciones web comunes, que incluyen algunas de las que se enumeran en [OWASP Top 10](https://owasp.org/www-project-top-ten/). Si está sujeto a la conformidad normativa de PCI o HIPAA, podría utilizar grupos de reglas administradas para cumplir los requisitos de firewall de las aplicaciones web.
**Actualizaciones automáticas**
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Los grupos de reglas gestionadas le permiten ahorrar tiempo a la hora de implementar y utilizar AWS WAF. Muchos AWS AWS Marketplace vendedores actualizan automáticamente los grupos de reglas administrados y proporcionan nuevas versiones de los grupos de reglas cuando surgen nuevas vulnerabilidades y amenazas.
En algunos casos, AWS se le notifican las nuevas vulnerabilidades antes de su divulgación pública, debido a su participación en varias comunidades de divulgación privada. En esos casos, AWS puede actualizar los grupos de reglas de AWS Managed Rules e implementarlos por usted incluso antes de que se conozca ampliamente una nueva amenaza.
**Acceso restringido a las reglas en un grupo de reglas administradas**
Cada grupo de reglas administradas ofrece una descripción completa de los tipos de ataques y vulnerabilidades para los que se ha diseñado. Para proteger la propiedad intelectual de los proveedores de grupos de reglas, no puede ver todos los detalles de las reglas individuales que hay dentro de un grupo de reglas. Esta restricción también ayuda a impedir que usuarios malintencionados diseñen amenazas que eludan específicamente las reglas publicadas.
**Topics**
+ [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md)
+ [Trabajo con grupos de reglas administradas](waf-using-managed-rule-groups.md)
+ [AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md)
# Uso de grupos de reglas gestionados versionados en AWS WAF
En esta sección se explica cómo se gestiona el control de versiones para los grupos de reglas administradas.
Muchos proveedores de grupos de reglas administradas utilizan el control de versiones para actualizar las opciones y las capacidades de un grupo de reglas. Por lo general, una versión específica de un grupo de reglas administradas es estática. En ocasiones, es posible que un proveedor necesite actualizar algunas o todas las versiones estáticas de un grupo de reglas administradas, por ejemplo, para responder a una amenaza de seguridad emergente.
Cuando usa un grupo de reglas administradas con control de versiones en su paquete de protección (ACL web), puede seleccionar la versión predeterminada y dejar que el proveedor administre la versión estática que usa, o puede seleccionar una versión estática específica.
**¿No encuentra la versión que busca?**
Si no ve una versión en la lista de versiones de un grupo de reglas, es probable que la versión esté programada para caducar o que ya haya caducado. Una vez programada la caducidad de una versión, ya AWS WAF no permite elegirla para el grupo de reglas.
**Notificaciones de SNS para grupos de reglas de AWS Managed Rules**
Todos los grupos de reglas de reglas AWS administradas proporcionan notificaciones de control de versiones y actualizaciones de SNS, excepto los grupos de reglas de reputación IP. Todos los grupos de reglas de AWS Managed Rules que proporcionan notificaciones utilizan el mismo tema de SNS: Amazon Resource Name (ARN). Para registrarse y recibir notificaciones de SNS, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
**Topics**
+ [Ciclo de vida de las versiones para los grupos de reglas administradas](waf-managed-rule-groups-versioning-lifecycle.md)
+ [Caducidad de la versión de los grupos de reglas administradas](waf-managed-rule-groups-versioning-expiration.md)
+ [Prácticas recomendadas para administrar las versiones de los grupos de reglas administradas](waf-managed-rule-groups-best-practice.md)
# Ciclo de vida de las versiones para los grupos de reglas administradas
Los proveedores gestionan las siguientes etapas del ciclo de vida de una versión estática de un grupo de reglas administradas:
+ **Versión y actualizaciones**: un proveedor de grupos de reglas administradas anuncia las versiones estáticas nuevas y futuras de sus grupos de reglas administradas mediante notificaciones a un tema de Amazon Simple Notification Service (Amazon SNS). Los proveedores también pueden utilizar el tema para comunicar otra información importante sobre sus grupos de reglas, como las actualizaciones que se requieren con urgencia.
Puede suscribirse al tema del grupo de reglas y configurar la forma en que desea recibir las notificaciones. Para obtener más información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
+ **Programación de la caducidad**: un proveedor de grupos de reglas administradas programa la caducidad de las versiones anteriores de un grupo de reglas. No se puede agregar una versión que esté programada para caducar a las reglas del paquete de protección (ACL web). Una vez programada la caducidad de una versión, AWS WAF realiza un seguimiento de la caducidad con una métrica de cuenta regresiva en Amazon CloudWatch.
+ **Caducidad de la versión**: si tiene un paquete de protección (ACL web) configurado para usar una versión caducada de un grupo de reglas administrado, durante la evaluación del paquete de protección (ACL web), AWS WAF utilizará la versión predeterminada del grupo de reglas. Además, AWS WAF bloquea cualquier actualización del paquete de protección (ACL web) que no elimine el grupo de reglas ni cambie su versión por una que no haya caducado.
Si usa grupos de reglas AWS Marketplace administrados, solicite al proveedor cualquier información adicional sobre los ciclos de vida de las versiones.
# Caducidad de la versión de los grupos de reglas administradas
En esta sección se explica cómo funciona la caducidad de la versión para un grupo de reglas administradas con control de versiones.
Si usa una versión específica de un grupo de reglas, asegúrese de no seguir usando una versión después de su fecha de caducidad. Puedes supervisar la caducidad de las versiones mediante las notificaciones de SNS del grupo de reglas y mediante las CloudWatch métricas de Amazon.
Si una versión que está utilizando en un paquete de protección (ACL web) ha caducado, AWS WAF bloquea cualquier actualización del paquete de protección (ACL web) que no incluya el traslado del grupo de reglas a una versión que no haya caducado. Puede actualizar el grupo de reglas a una versión disponible o eliminarlo de su paquete de protección (ACL web).
La gestión de la caducidad de un grupo de reglas administradas depende del proveedor del grupo de reglas. En el caso de los grupos de reglas administradas de AWS , una versión que caducó se cambia de manera automática a la versión predeterminada del grupo de reglas. En el AWS Marketplace caso de los grupos de reglas, pregunte al proveedor cómo gestionan la caducidad.
Cuando el proveedor crea una nueva versión del grupo de reglas, establece la vida útil prevista de la versión. Si bien la versión no está programada para caducar, el valor de la CloudWatch métrica de Amazon se establece en la configuración de vida útil prevista y CloudWatch, en, verás un valor fijo para la métrica. Una vez que el proveedor programa el vencimiento de la métrica, el valor de la métrica disminuye cada día hasta llegar a cero el día de la caducidad. Para obtener más información acerca de la supervisión de la caducidad, consulte [Seguimiento de la caducidad de la versión](waf-using-managed-rule-groups-expiration.md).
# Prácticas recomendadas para administrar las versiones de los grupos de reglas administradas
Siga esta guía de prácticas recomendadas para administrar el control de versiones cuando utilice un grupo de reglas administradas con control de versiones.
Cuando usa un grupo de reglas administradas en su paquete de protección (ACL web), puede elegir usar una versión estática específica del grupo de reglas o puede optar por usar la versión predeterminada:
+ **Versión predeterminada**: AWS WAF siempre establece la versión predeterminada en la versión estática recomendada actualmente por el proveedor. Cuando el proveedor actualiza la versión estática recomendada, AWS WAF actualiza automáticamente la configuración de la versión predeterminada para el grupo de reglas de su paquete de protección (ACL web).
Cuando utilice la versión predeterminada de un grupo de reglas administradas, siga los pasos a continuación como práctica recomendada:
+ **Suscribirse a las notificaciones**: suscríbase a las notificaciones de cambios en el grupo de reglas y esté pendiente. La mayoría de los proveedores envían notificaciones avanzadas sobre las nuevas versiones estáticas y los cambios en las versiones predeterminadas. Estas permiten comprobar los efectos de una nueva versión estática antes AWS de cambiar a la versión predeterminada. Para obtener más información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
+ **Revise los efectos de la configuración de la versión estática y realice los ajustes necesarios antes de establecer la versión predeterminada**: antes de establecer una nueva versión estática como predeterminada, revise los efectos de la versión estática en la supervisión y la administración de las solicitudes web. Es posible que la nueva versión estática tenga nuevas reglas que revisar. En caso de que necesite modificar la forma en que utiliza el grupo de reglas, busque falsos positivos u otros comportamientos inesperados. Puede establecer reglas de recuento, por ejemplo, para evitar que bloqueen el tráfico mientras decide cómo quiere gestionar el nuevo comportamiento. Para obtener más información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
+ **Versión estática**: si elige usar una versión estática, debe actualizar manualmente la configuración de la versión cuando esté listo para adoptar una nueva versión del grupo de reglas.
Cuando utilice una versión estática de un grupo de reglas administradas, haga lo siguiente como práctica recomendada:
+ **Mantener la versión actualizada**: mantenga su grupo de reglas administradas lo más cerca posible de la última versión. Cuando se publique una nueva versión, pruébela, ajuste la configuración según sea necesario e impleméntela de manera oportuna. Para obtener información acerca de las pruebas, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
+ **Suscribirse a las notificaciones**: suscríbase a las notificaciones de cambios en el grupo de reglas para saber cuándo su proveedor lanza nuevas versiones estáticas. La mayoría de los proveedores notifican con antelación los cambios de versión. Además, es posible que su proveedor necesite actualizar la versión estática que está utilizando para cerrar una laguna de seguridad o por otros motivos urgentes. Sabrá lo que sucede si está suscrito a las notificaciones del proveedor. Para obtener más información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
+ **Evita la caducidad de la versión**: no permita que una versión estática caduque mientras la usa. La gestión por parte del proveedor de las versiones caducadas puede variar y puede implicar forzar la actualización a una versión disponible u otros cambios que puedan tener consecuencias inesperadas. Realice un seguimiento de la métrica de AWS WAF caducidad y configure una alarma que le dé un número de días suficiente para actualizar correctamente a una versión compatible. Para obtener más información, consulte [Seguimiento de la caducidad de la versión](waf-using-managed-rule-groups-expiration.md).
# Trabajo con grupos de reglas administradas
En esta sección se proporciona orientación para acceder a su grupos de reglas administradas y administrarlos.
Cuando agrega un grupo de reglas administradas a su paquete de protección (ACL web), puede elegir las mismas opciones de configuración que sus propios grupos de reglas, además de configuraciones adicionales.
A través de la consola, puede acceder a la información de los grupos de reglas gestionados durante el proceso de añadir y editar las reglas de sus paquetes de protección (web ACLs). A través de la interfaz de línea de comandos (CLI), puede solicitar directamente información sobre grupos de reglas administrados. APIs
Cuando usa un grupo de reglas administradas en su paquete de protección (ACL web), puede editar las siguientes configuraciones:
+ **Versión**: solo está disponible si el grupo de reglas presenta control de versiones. Para obtener más información, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Acciones de anular regla**: puede sustituir las acciones de reglas del grupo de reglas por cualquier acción. Definirlas en Count es útil para probar un grupo de reglas antes de usarlo para administrar las solicitudes web. Para obtener más información, consulte [Anulación de acciones de reglas de un grupo de reglas](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Declaración de alcance reducido**: puede añadir una declaración de alcance reducido, para filtrar las solicitudes web que no desee evaluar con el grupo de reglas. Para obtener más información, consulte [Uso de declaraciones de alcance reducido en AWS WAF](waf-rule-scope-down-statements.md).
+ **Invalidar la acción del grupo de reglas**: puede anular la acción que se deriva de la evaluación del grupo de reglas y configurarla solo como Count. Esta opción no se utiliza habitualmente. No altera la forma en que AWS WAF se evalúan las reglas del grupo de reglas. Para obtener más información, consulte [Anulación de la acción de retorno del grupo de reglas para Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).
**Edición de la configuración del grupo de reglas administradas en su paquete de protección (ACL web)**
+ **Consola**
+ (Opción) Cuando agrega el grupo de reglas administradas a su paquete de protección (ACL web), puede elegir **Editar** para ver y editar la configuración.
+ (Opción) Una vez que haya agregado el grupo de reglas administrado a su paquete de protección (ACL web), en la página de **paquetes de protección (web ACLs)**, elija el paquete de protección (ACL web) que acaba de crear. Esto lo lleva a la página web de edición de paquetes de protección (ACL web).
+ Elija **Rules (Reglas)**.
+ Seleccione el grupo de reglas y, a continuación, elija **Editar** para ver y editar la configuración.
+ **APIs y CLI**: fuera de la consola, puede administrar la configuración del grupo de reglas administrado al crear y actualizar el paquete de protección (ACL web).
# Recuperación de la lista de grupos de reglas administradas
Puede recuperar la lista de grupos de reglas administrados que están disponibles para su uso en sus paquetes de protección (web ACLs). La lista incluye lo siguiente:
+ Todos los grupos de reglas de reglas AWS administradas.
+ Los grupos de AWS Marketplace reglas a los que se ha suscrito.
**nota**
Para obtener información sobre la suscripción a grupos de AWS Marketplace reglas, consulte. [AWS Marketplace grupos de reglas](marketplace-rule-groups.md)
Al recuperar la lista de grupos de reglas administradas, la lista que obtenga dependerá de la interfaz que utilice:
+ **Consola**: a través de la consola, puede ver todos los grupos de reglas administrados, incluidos los grupos de AWS Marketplace reglas a los que aún no se ha suscrito. Para aquellos a los que aún no se haya suscrito, la interfaz proporciona enlaces que puede seguir para suscribirse.
+ **APIs y CLI**: fuera de la consola, la solicitud devuelve solo los grupos de reglas que están disponibles para su uso.
**Recuperación de la lista de grupos de reglas administradas**
+ **Consola**: durante el proceso de creación de una ACL web, en la página **Añadir reglas y grupos de reglas**, elija **Añadir grupos de reglas administradas**. En el nivel superior, se enumeran los nombres de los proveedores. Expanda cada descripción de proveedores para ver la lista de grupos de reglas administradas. En el caso de los grupos de reglas con control de versiones, la información que se muestra en este nivel corresponde a la versión predeterminada. Cuando agrega un grupo de reglas administradas al paquete de protección (ACL web), la consola lo agrega a una lista según el esquema de nomenclatura `-`.
+ **API**:
+ `ListAvailableManagedRuleGroups`
+ **CLI**:
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# Cómo recuperar las reglas de un grupo de reglas administradas
Puede recuperar una lista de reglas de un grupo de reglas administradas. Las llamadas a la API y a la CLI devuelven las especificaciones de las reglas a las que puede hacer referencia en el modelo JSON o a través de él AWS CloudFormation.
**Para recuperar la lista de reglas de un grupo de reglas administradas**
+ **Consola**
+ (Opción) Cuando agrega el grupo de reglas administradas a su paquete de protección (ACL web), puede elegir **Editar** para ver las reglas.
+ (Opción) Tras añadir el grupo de reglas gestionado al paquete de protección (ACL web), en la página de **paquetes de protección (web ACLs)**, elija el paquete de protección (ACL web) que acaba de crear. Esto lo lleva a la página web de edición de paquetes de protección (ACL web).
+ Elija **Rules (Reglas)**.
+ Seleccione el grupo de reglas del que desee ver una lista de reglas y, a continuación, elija **Editar**. AWS WAF muestra la lista de reglas del grupo de reglas.
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# Recuperación de las versiones disponibles de un grupo de reglas administradas
Las versiones disponibles de un grupo de reglas administradas son versiones cuya caducidad aún no está programada. Las lista indica qué versión es la predeterminada actual para el grupo de reglas.
**Recuperación de una lista de las versiones disponibles de un grupo de reglas administradas**
+ **Consola**
+ (Opción) Cuando agregue el grupo de reglas administradas a su paquete de protección (ACL web), elija **Editar** para ver la información del grupo de reglas. Amplíe el menú desplegable **Versión** para ver la lista de versiones disponibles.
+ (Opción) Tras agregar el grupo de reglas gestionado al paquete de protección (ACL web), seleccione **Editar** en el paquete de protección (ACL web) y, a continuación, seleccione y edite la regla del grupo de reglas. Amplíe el menú desplegable **Versión** para ver la lista de versiones disponibles.
+ **API**:
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI**:
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola
En esta sección, se explica cómo agregar un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola. Esta guía se aplica a todos los grupos de reglas AWS administradas y a los grupos de AWS Marketplace reglas a los que está suscrito.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Adición de un grupo de reglas administradas a un paquete de protección (ACL web) a través de la consola**
**Cómo añadir un grupo de reglas administradas a una ACL web a través de la consola**
1. Inicie sesión en la AWS WAF consola Consola de administración de AWS y ábrala desde [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Elija **los paquetes de protección (web ACLs)** en el panel de navegación.
1. En la página de **paquetes de protección (web ACLs)**, en la lista de paquetes de protección (web ACLs), seleccione aquel al que desee añadir el grupo de reglas. Esto lo lleva a la página del paquete de protección (ACL web) individual.
1. En la página del paquete de protección (ACL web), elija la pestaña **Reglas**.
1. En el panel **Reglas**, seleccione **Agregar reglas** y, a continuación, elija **Agregar grupos de reglas administradas**.
1. En la página **Agregar grupos de reglas administradas**, amplíe la selección del proveedor de grupos de reglas para ver la lista de grupos de reglas disponibles.
1. Para cada grupo de reglas que desee agregar, elija **Agregar al paquete de protección (ACL web)**. Si desea cambiar la configuración del paquete de protección (ACL web) para el grupo de reglas, elija **Editar**, realice los cambios y, a continuación, seleccione **Guardar regla**. Para obtener información sobre las opciones, consulte la guía de control de versiones en [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md) y la guía para usar un grupo de reglas administradas en un paquete de protección (ACL web) en [Uso de sentencias de grupos de reglas gestionados en AWS WAF](waf-rule-statement-type-managed-rule-group.md).
1. En la parte inferior de la página **Agregar grupos de reglas administradas**, elija **Agregar reglas**.
1. En la página **Establecer la prioridad de las reglas**, ajuste el orden en que se ejecutarán las reglas según sea necesario y, a continuación, seleccione **Guardar**. Para obtener más información, consulte [Cómo establecer la prioridad de las reglas](web-acl-processing-order.md).
En la página de su paquete de protección (ACL web), los grupos de reglas administradas que ha agregado aparecen en la pestaña **Reglas**.
Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
# Recepción de notificaciones sobre nuevas versiones y actualizaciones de un grupo de reglas administradas
En esta sección se explica cómo recibir notificaciones de Amazon SNS sobre nuevas versiones y actualizaciones.
Un proveedor de grupos de reglas gestionados utiliza las notificaciones de SNS para anunciar los cambios en los grupos de reglas, como las próximas nuevas versiones y las actualizaciones de seguridad urgentes.
**Cómo suscribirse a las notificaciones de SNS**
Para suscribirse a las notificaciones de un grupo de reglas, cree una suscripción de Amazon SNS para el ARN del tema de Amazon SNS del grupo de reglas en la región Este de EE. UU. (Norte de Virginia) us-east-1.
Para obtener información sobre cómo suscribirse, consulte la [Guía para desarrolladores de Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**nota**
Cree su suscripción para el tema SNS únicamente en la región us-east-1.
Todos los grupos de reglas de AWS Managed Rules versionados utilizan el mismo tema de SNS: Amazon Resource Name (ARN). Para obtener más información sobre las notificaciones de los grupos de reglas de AWS Managed Rules, consulte. [Notificaciones de implementación](waf-managed-rule-groups-deployments-notifications.md)
**Dónde encontrar el ARN del tema de Amazon SNS para un grupo de reglas administradas**
AWS Los grupos de reglas de reglas administradas utilizan un único ARN de tema de SNS, por lo que puede recuperar el ARN del tema de uno de los grupos de reglas y suscribirse a él para recibir notificaciones de todos los grupos de reglas de reglas de reglas administradas que AWS proporcionan notificaciones de SNS.
+ **Consola**
+ (Opción) Cuando agregar el grupo de reglas administradas a su paquete de protección (ACL web), elija **Editar** para ver la información del grupo de reglas, que incluye el ARN del tema de Amazon SNS del grupo de reglas.
+ (Opción) Tras agregar el grupo de reglas administradas al paquete de protección (ACL web), seleccione **Editar** en el paquete de protección (ACL web) y, a continuación, seleccione y edite la regla del grupo de reglas para ver el ARN del tema de Amazon SNS del grupo de reglas.
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Para obtener información general sobre los formatos de notificación de Amazon SNS y cómo filtrar las notificaciones que recibe, consulte [Análisis de formatos de mensajes](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) y las [Políticas de filtro de suscripciones de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) en la Guía para desarrolladores de Amazon Simple Notification Service.
# Seguimiento de la caducidad de las versiones de un grupo de reglas
En esta sección se explica cómo supervisar la programación de caducidad de un grupo de reglas gestionado a través de Amazon CloudWatch.
Si usa una versión específica de un grupo de reglas, asegúrese de no seguir usando una versión después de su fecha de caducidad.
**sugerencia**
Suscríbase a las notificaciones de Amazon SNS para los grupos de reglas administradas y manténgase al día con las versiones de los grupos de reglas administradas. Te beneficiarás de la mayor up-to-date protección del grupo de reglas y te anticiparás a la fecha de caducidad. Para obtener información, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones](waf-using-managed-rule-groups-sns-topic.md).
**Para supervisar la programación de caducidad de un grupo de reglas gestionado a través de Amazon CloudWatch**
1. En CloudWatch, localice las métricas de caducidad de su grupo AWS WAF de reglas gestionado. Las métricas tienen los siguientes nombres y dimensiones:
+ Nombre de métrica: DaysToExpiry
+ Dimensiones de métricas: Region, ManagedRuleGroup, Vendor y Version
Si tiene un grupo de reglas administradas en su paquete de protección (ACL web) que evalúa el tráfico, obtendrá una métrica para ello. La métrica no está disponible para los grupos de reglas que no utiliza.
1. Establezca una alarma en las métricas de su interés para recibir una notificación a tiempo para cambiar a una versión más reciente del grupo de reglas.
Para obtener información sobre el uso de CloudWatch las métricas de Amazon y la configuración de alarmas, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Ejemplos de configuraciones de grupos de reglas administradas en JSON y YAML
En esta sección se proporcionan algunos ejemplos de configuraciones de grupos de reglas.
Las llamadas a la API y a la CLI devuelven una lista de todas las reglas del grupo de reglas administrado a las que puede hacer referencia en el modelo JSON o a través de él AWS CloudFormation.
**JSON**
Puede hacer referencia a grupos de reglas administradas y modificarlos en una instrucción de regla mediante JSON. En la siguiente lista se muestra el grupo de reglas AWS administradas`AWSManagedRulesCommonRuleSet`, en formato JSON. La especificación de RuleActionOverrides muestra una regla cuya acción se ha sustituido por Count.
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
Puede hacer referencia a grupos de reglas administradas y modificarlos en una instrucción de regla mediante la plantilla de YAML de CloudFormation . En la siguiente lista se muestra el grupo de reglas AWS administradas`AWSManagedRulesCommonRuleSet`, en la CloudFormation plantilla. La especificación de RuleActionOverrides muestra una regla cuya acción se ha sustituido por Count.
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```
# AWS Reglas administradas para AWS WAF
En esta sección se explica qué AWS WAF es AWS Managed Rules for.
AWS Managed Rules for AWS WAF es un servicio gestionado que proporciona protección contra las vulnerabilidades de las aplicaciones u otro tipo de tráfico no deseado. Tiene la opción de seleccionar uno o más grupos de reglas de las reglas AWS administradas para cada ACL web, hasta el límite máximo de unidades de capacidad (WCU) del paquete de protección (ACL web).
**Mitigación de los falsos positivos y comprobación de los cambios en los grupos de reglas**
Antes de usar cualquier grupo de reglas administradas en producción, pruébelo en un entorno que no sea de producción de acuerdo con las instrucciones de [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md). Siga las instrucciones de prueba y ajuste cuando agregue un grupo de reglas a su paquete de protección (ACL web), para probar una nueva versión de un grupo de reglas y siempre que un grupo de reglas no gestione su tráfico web como lo necesita.
**Responsabilidades de seguridad compartidas**
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos.
**importante**
AWS Las reglas administradas están diseñadas para protegerlo de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, los grupos de reglas de reglas AWS administradas añaden otro nivel de seguridad a sus aplicaciones. Sin embargo, los grupos de reglas de reglas AWS administradas no pretenden sustituir sus responsabilidades de seguridad, que vienen determinadas por los AWS recursos que seleccione. Consulte el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) para asegurarse de que sus recursos AWS estén debidamente protegidos.
# AWS Lista de grupos de reglas de Managed Rules
En esta sección se proporciona una lista de los grupos de reglas de reglas AWS administradas disponibles.
En esta sección se describen las versiones más recientes de los grupos de reglas de reglas AWS administradas. Los verá en la consola al agregar un grupo de reglas administradas al paquete de protección (ACL web). A través de la API, puede recuperar esta lista junto con los grupos de AWS Marketplace reglas a los que está suscrito llamando`ListAvailableManagedRuleGroups`.
**nota**
Para obtener información sobre cómo recuperar las versiones de un grupo de reglas de reglas AWS administradas, consulte. [Recuperación de las versiones disponibles de un grupo de reglas administradas](waf-using-managed-rule-groups-versions.md)
Todos los grupos de reglas de reglas AWS administradas admiten el etiquetado, y las listas de reglas de esta sección incluyen las especificaciones de las etiquetas. Puede recuperar las etiquetas de un grupo de reglas administradas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta. Para obtener más información acerca de las etiquetas, consulte [Etiquetado de solicitudes web en AWS WAF](waf-labels.md).
Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**Contents**
+ [Grupos de reglas de base de referencia](aws-managed-rule-groups-baseline.md)
+ [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
+ [Grupo de reglas administradas de protección de la administración](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
+ [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Grupos de reglas específicos de casos de uso](aws-managed-rule-groups-use-case.md)
+ [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
+ [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
+ [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
+ [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
+ [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
+ [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md)
+ [grupo de reglas administradas con lista de reputación de IP de Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
+ [grupo de reglas administradas con lista de direcciones IP anónimas](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md)
+ [Consideraciones para usar este grupo de reglas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
+ [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
+ [Etiquetas de token](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
+ [Etiquetas de ACFP](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
+ [Lista de reglas de prevención contra fraude en la creación de cuentas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)
+ [Consideraciones para usar este grupo de reglas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
+ [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
+ [Etiquetas de token](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
+ [Etiquetas de ATP](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
+ [Lista de reglas de prevención de apropiación de cuentas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)
+ [Niveles de protección](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
+ [Consideraciones para utilizar este grupo de reglas](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
+ [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
+ [Etiquetas de token](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
+ [Etiquetas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
+ [Listado de reglas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida](aws-managed-rule-groups-anti-ddos.md)
+ [Consideraciones para utilizar este grupo de reglas](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
+ [Etiquetas agregadas por este grupo de reglas](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
+ [Etiquetas de token](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
+ [Etiquetas DDo antiS](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
+ [Listado de reglas Anti- DDo S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)
# Grupos de reglas de base de referencia
Los grupos de reglas administradas de base de referencia proporcionan protección general contra una amplia variedad de amenazas comunes. Elija uno o varios de estos grupos de reglas para establecer la protección de base de referencia para los recursos.
## Grupo de reglas administradas del conjunto de reglas básicas (CRS)
VendorName:`AWS`, Nombre:`AWSManagedRulesCommonRuleSet`, WCU: 700
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo de reglas del conjunto de reglas básicas (CRS) contiene reglas que son generalmente aplicables a las aplicaciones web. Este brinda protección contra la explotación de una amplia gama de vulnerabilidades, incluyendo algunas de las vulnerabilidades de alto riesgo y más comunes descritas en publicaciones de OWASP tales como [OWASP Top 10](https://owasp.org/www-project-top-ten/). Considere la posibilidad de utilizar este grupo de reglas para cualquier caso de AWS WAF uso.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| NoUserAgent\$1HEADER | Inspecciona las solicitudes a las que les falta el encabezado HTTP `User-Agent`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header` |
| UserAgent\$1BadBots\$1HEADER | Comprueba si hay valores de encabezado `User-Agent` comunes que indiquen que la solicitud es un badbot. Los patrones de ejemplo incluyen `nessus` y `nmap`. Para obtener información sobre la administración de bots, consulte también [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:BadBots_Header` |
| SizeRestrictions\$1QUERYSTRING | Inspecciona las cadenas de consulta de URI que superen los 2048 bytes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString` |
| SizeRestrictions\$1Cookie\$1HEADER | Comprueba si los encabezados de las cookies tienen más de 10 240 bytes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header` |
| SizeRestrictions\$1BODY | Inspecciona los cuerpos de las solicitudes que pesen más de 8 KB (8192 bytes). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body` |
| SizeRestrictions\$1URIPATH | Inspeccione las rutas de URI que superen los 1024 bytes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath` |
| EC2MetaDataSSRF\$1BODY | Inspecciona los intentos de sustraer metadatos de Amazon EC2 del cuerpo de la solicitud. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body` |
| EC2MetaDataSSRF\$1COOKIE | Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la cookie de la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie` |
| EC2MetaDataSSRF\$1URIPATH | Inspecciona los intentos de sustraer metadatos de Amazon EC2 de la ruta del URI de la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath` |
| EC2MetaDataSSRF\$1QUERYARGUMENTS | Inspecciona los intentos de sustraer metadatos de Amazon EC2 de los argumentos de consulta de la solicitud. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments` |
| GenericLFI\$1QUERYARGUMENTS | Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en los argumentos de la consulta. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments` |
| GenericLFI\$1URIPATH | Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en la ruta del URI. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath` |
| GenericLFI\$1BODY | Inspecciona la presencia de vulnerabilidades Local File Inclusion (LFI, Inclusión Local de Archivos) en el cuerpo de la solicitud. Los ejemplos incluyen los intentos de recorrido de ruta utilizando técnicas como `../../`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericLFI_Body` |
| RestrictedExtensions\$1URIPATH | Comprueba si hay solicitudes cuyas rutas de URI contengan extensiones de archivos del sistema que no sean seguras de leer o ejecutar. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath` |
| RestrictedExtensions\$1QUERYARGUMENTS | Inspecciona las solicitudes cuyos argumentos de consulta contienen extensiones de archivo cuya lectura es insegura. Los patrones de ejemplo incluyen extensiones como `.log` y `.ini`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments` |
| GenericRFI\$1QUERYARGUMENTS | Inspecciona los valores de todos los parámetros de consulta para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante URLs incrustaciones que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments` |
| GenericRFI\$1BODY | Inspecciona el cuerpo de la solicitud para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante incrustaciones URLs que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_Body` |
| GenericRFI\$1URIPATH | Inspecciona la ruta del URI para detectar intentos de aprovechar la RFI (inclusión remota de archivos) en aplicaciones web mediante URLs incrustaciones que contienen direcciones. IPv4 Los ejemplos incluyen patrones como`http://`,`https://`, y `ftp://` `ftps://``file://`, con un encabezado de IPv4 host en el intento de explotación. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath` |
| CrossSiteScripting\$1COOKIE | Inspecciona los valores de los encabezados de las cookies para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como ``. Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie` |
| CrossSiteScripting\$1QUERYARGUMENTS | Inspecciona los valores de los argumentos de consulta para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como ``. Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments` |
| CrossSiteScripting\$1BODY | Inspecciona el cuerpo de la solicitud para detectar patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como ``. Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body` |
| CrossSiteScripting\$1URIPATH | Inspecciona el valor de la ruta URI en busca de patrones comunes de secuencias de comandos entre sitios (XSS) mediante la función integrada. AWS WAF [Instrucción de regla de ataques de scripting entre sitios](waf-rule-statement-type-xss-match.md) Los patrones de ejemplo incluyen scripts como ``. Los detalles de coincidencia de reglas de los AWS WAF registros no se rellenan en la versión 2.0 de este grupo de reglas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath` |
## Grupo de reglas administradas de protección de la administración
VendorName:`AWS`, Nombre:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo contiene reglas que permiten bloquear el acceso externo a las páginas administrativas expuestas. Esto puede resultar útil si ejecuta software de terceros o si quiere reducir el riesgo de que un actor malintencionado obtenga acceso administrativo a la aplicación.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| AdminProtection\$1URIPATH | Inspecciona las rutas del URI que generalmente están reservadas para la administración de un servidor web o una aplicación. Entre los patrones de ejemplo se incluye `sqlmanager`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath` |
## Grupo de reglas administradas de entradas incorrectas conocidas
VendorName:`AWS`, Nombre:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo contiene reglas para bloquear los patrones de solicitud que se conocen por no ser válidos y que están asociados a la explotación o el descubrimiento de vulnerabilidades. Esto puede ayudar a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| JavaDeserializationRCE\$1HEADER | Inspecciona las claves y los valores de los encabezados de las solicitudes HTTP para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header` |
| JavaDeserializationRCE\$1BODY | Inspecciona los cuerpos de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body` |
| JavaDeserializationRCE\$1URIPATH | Inspecciona el URI de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath` |
| JavaDeserializationRCE\$1QUERYSTRING | Inspecciona la cadena de la solicitud para detectar patrones que indiquen intentos de ejecución remota de comandos (RCE) de deserialización en Java, como las vulnerabilidades de RCE de Spring Core y Cloud Function (CVE-202222963, CVE-202222965). Entre los patrones de ejemplo se incluye `(java.lang.Runtime).getRuntime().exec("whoami")`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString` |
| Host\$1localhost\$1HEADER | Inspecciona el encabezado del host en la solicitud de patrones que indican localhost. Entre los patrones de ejemplo se incluye `localhost`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header` |
| PROPFIND\$1METHOD | Inspecciona el método HTTP en la solicitud de `PROPFIND`, que es un método similar a `HEAD`, pero con la intención adicional de sustraer objetos XML. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Propfind_Method` |
| ExploitablePaths\$1URIPATH | Inspecciona la ruta del URI en busca de intentos de acceder a rutas de aplicaciones web vulnerables. Los patrones de ejemplo incluyen rutas como `web-inf`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath` |
| Log4JRCE\$1HEADER | Inspecciona las claves y los valores de los encabezados de las solicitudes para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y protege contra los intentos de ejecución remota de código (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header` |
| Log4JRCE\$1QUERYSTRING | Inspecciona la cadena de consulta para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString` |
| Log4JRCE\$1BODY | Inspecciona el cuerpo para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body` |
| Log4JRCE\$1URIPATH | Inspecciona la ruta del URI cuerpo para detectar la presencia de la vulnerabilidad Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) y la protege contra los intentos de ejecución remota de códigos (RCE). Entre los patrones de ejemplo se incluye `${jndi:ldap://example.com/}`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath` |
| ReactJSRCE\$1BODY | Inspecciona el cuerpo de la solicitud para detectar patrones que indiquen la presencia del CVE-2025-55182. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para el Equilibrador de carga de aplicación y AWS AppSync, el límite se estableció en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y AWS Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `CONTINUE` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body` |
# Grupos de reglas específicos de casos de uso
Los grupos de reglas para casos de uso específicos proporcionan una protección incremental para muchos casos de uso diferentes. AWS WAF Elija los grupos de reglas que correspondan a la aplicación.
## grupo de reglas administradas de la base de datos SQL
VendorName:`AWS`, Nombre:`AWSManagedRulesSQLiRuleSet`, WCU: 200
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo contiene reglas para bloquear los patrones de solicitud asociados a la explotación de bases de datos SQL, como los ataques de inyección de código SQL. Este puede ayudar a evitar la inyección remota de consultas no autorizadas. Valore el uso de este grupo de reglas si la aplicación interactúa con una base de datos SQL.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| SQLi\$1QUERYARGUMENTS | Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los valores de todos los parámetros de consulta en busca de patrones que coincidan con un código SQL malicioso. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_QueryArguments` |
| SQLiExtendedPatterns\$1QUERYARGUMENTS | Inspecciona los valores de todos los parámetros de consulta en busca de patrones que coincidan con código SQL malicioso. La regla `SQLi_QUERYARGUMENTS` no cubre los patrones que inspecciona esta regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments` |
| SQLi\$1BODY | Utiliza el integrado AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar el cuerpo de la solicitud en busca de patrones que coincidan con un código SQL malicioso. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_Body` |
| SQLiExtendedPatterns\$1BODY | Inspecciona el cuerpo de la solicitud en busca de patrones que coincidan con el código SQL malintencionado. La regla `SQLi_BODY` no cubre los patrones que inspecciona esta regla. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body` |
| SQLi\$1COOKIE | Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los encabezados de las cookies de las solicitudes en busca de patrones que coincidan con un código SQL malicioso. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_Cookie` |
| SQLi\$1URIPATH | Utiliza la función integrada AWS WAF [Instrucción de regla de ataques de inyecciones SQL](waf-rule-statement-type-sqli-match.md), con el nivel de sensibilidad establecido enLow, para inspeccionar los encabezados de las cookies de las solicitudes en busca de patrones que coincidan con un código SQL malicioso. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:sql-database:SQLi_URIPath` |
## grupo de reglas administradas del sistema operativo Linux
VendorName:`AWS`, Nombre:`AWSManagedRulesLinuxRuleSet`, WCU: 200
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de Linux, como los ataques de inclusión de archivos locales (LFI) específicos de Linux. Este puede ayudar a evitar ataques que expongan el contenido de un archivos o que ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en Linux. Tiene que utilizar este grupo de reglas junto con el grupo de reglas [Sistema operativo POSIX](#aws-managed-rule-groups-use-case-posix-os).
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| LFI\$1URIPATH | Inspecciona la ruta de solicitud en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_URIPath` |
| LFI\$1QUERYSTRING | Inspecciona los valores de todas las cadenas de la solicitud en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_QueryString` |
| LFI\$1HEADER | Inspecciona los encabezados de la en busca de intentos de explotar las vulnerabilidades de inclusión de archivos locales (LFI) en las aplicaciones web. Los patrones de ejemplo incluyen archivos como `/proc/version`, que podrían proporcionar información del sistema operativo a los atacantes. Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:linux-os:LFI_Header` |
## grupo de reglas administradas para el sistema operativo POSIX
VendorName:`AWS`, Nombre:, WCU: `AWSManagedRulesUnixRuleSet` 100
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de POSIX y de sistemas operativos similares a este, como los ataques de inclusión de archivos locales (LFI). Este puede ayudar a evitar ataques que expongan el contenido de un archivos o que ejecuten código que, en principio, tendría que ser inaccesible para los atacantes. Tiene que valorar este grupo de reglas si alguna parte de su aplicación se ejecuta en un sistema operativo POSIX o similar a POSIX, entre los que se incluyen Linux, AIX, HP-UX, macOS, Solaris, FreeBSD y OpenBSD.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| UNIXShellCommandsVariables\$1QUERYSTRING | Inspecciona los valores de la cadena de consulta en busca de intentos de explotar vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString` |
| UNIXShellCommandsVariables\$1BODY | Inspecciona el cuerpo de la solicitud en busca de intentos de explotar las vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body` |
| UNIXShellCommandsVariables\$1HEADER | Inspecciona todos lo encabezados de la solicitud en busca de intentos de explotar las vulnerabilidades de inyección de comandos, LFI y recorrido de ruta en aplicaciones web que se ejecutan en sistemas Unix. Algunos ejemplos incluyen patrones como `echo $HOME` y `echo $PATH`. Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para administrar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header` |
## grupo de reglas administradas para el sistema operativo Windows
VendorName:`AWS`, Nombre:`AWSManagedRulesWindowsRuleSet`, WCU: 200
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El grupo de reglas del sistema operativo Windows contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de Windows, como la ejecución remota de PowerShell comandos. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar comandos no autorizados o ejecutar código malintencionado. Valore este grupo de reglas si alguna parte de la aplicación se ejecuta en un sistema operativo Windows.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en el paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| WindowsShellCommands\$1COOKIE | Inspecciona los encabezados de las cookies de las solicitudes para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie` |
| WindowsShellCommands\$1QUERYARGUMENTS | Inspecciona los valores de todos los parámetros de consulta para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments` |
| WindowsShellCommands\$1BODY | Inspecciona el cuerpo de la solicitud para detectar intentos de inyección de WindowsShell comandos en aplicaciones web. Los patrones de coincidencia representan WindowsShell comandos. Los patrones de ejemplo incluyen `\|\|nslookup` y `;cmd`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body` |
| PowerShellCommands\$1COOKIE | Inspecciona los encabezados de las cookies de solicitud para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie` |
| PowerShellCommands\$1QUERYARGUMENTS | Inspecciona los valores de todos los parámetros de consulta para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments` |
| PowerShellCommands\$1BODY | Inspecciona el cuerpo de la solicitud para detectar intentos de inyección de PowerShell comandos en aplicaciones web. Los patrones de coincidencia representan PowerShell comandos. Por ejemplo, `Invoke-Expression`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:windows-os:PowerShellCommands_Body` |
## grupo de reglas administradas de la aplicación PHP
VendorName:`AWS`, Nombre:`AWSManagedRulesPHPRuleSet`, WCU: 100
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
Este grupo contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas para el uso del lenguaje de programación PHP, como la inyección de funciones PHP poco seguras. Este puede ayudar a evitar la explotación de vulnerabilidades que permiten a un atacante ejecutar de forma remota código o comandos sin autorización. Evalúe este grupo de reglas si PHP está instalado en cualquier servidor con el que interactúe su aplicación.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| PHPHighRiskMethodsVariables\$1HEADER | Inspecciona todos los encabezados para buscar los intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`. Esta regla solo inspecciona los primeros 8 KB de encabezados de solicitudes o los primeros 200 encabezados, el límite que se alcance primero, y utiliza la opción `Continue` para gestionar contenido de gran tamaño. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header` |
| PHPHighRiskMethodsVariables\$1QUERYSTRING | Inspecciona todo lo que aparece después del primer `?` en la URL de la solicitud y busca intentos de inyección de código en un script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString` |
| PHPHighRiskMethodsVariables\$1BODY | Inspecciona los valores del cuerpo de la solicitud para los intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`. Esta regla solo inspecciona el cuerpo de la solicitud hasta el límite de tamaño de cuerpo del paquete de protección (ACL web) y el tipo de recurso. Para Application Load Balancer y AWS AppSync, el límite se ha fijado en 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, el límite predeterminado es de 16 KB y puede aumentarlo hasta 64 KB en la configuración del paquete de protección (ACL web). Esta regla utiliza la opción `Continue` para administrar contenido sobredimensionado. Para obtener más información, consulte [Sobredimensionar los componentes de las solicitudes web en AWS WAF](waf-oversize-request-components.md). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body` |
| PHPHighRiskMethodsVariables\$1URIPATH | Inspecciona la ruta de solicitud para detectar intentos de inyección de código de script PHP. Los patrones de ejemplo incluyen funciones como `fsockopen` y la variable superglobal `$_GET`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath` |
## WordPress grupo de reglas gestionado por la aplicación
VendorName:`AWS`, Nombre:`AWSManagedRulesWordPressRuleSet`, WCU: 100
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El grupo de reglas de la WordPress aplicación contiene reglas que bloquean los patrones de solicitud asociados a la explotación de vulnerabilidades específicas de los WordPress sitios. Si está corriendo, debe evaluar este grupo de reglasWordPress. Este grupo de reglas debe utilizarse junto con los grupos de reglas [Base de datos SQL](#aws-managed-rule-groups-use-case-sql-db) y [Aplicaciones PHP](#aws-managed-rule-groups-use-case-php-app).
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| WordPressExploitableCommands\$1QUERYSTRING | Inspecciona la cadena de consulta de la solicitud para detectar WordPress comandos de alto riesgo que puedan explotarse en instalaciones o complementos vulnerables. Ejemplos de patrones incluyen comandos como `do-reset-wordpress`. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING` |
| WordPressExploitablePaths\$1URIPATH | Inspecciona la ruta del URI de la solicitud en busca de WordPress archivos como `xmlrpc.php` los que se sabe que tienen vulnerabilidades que se pueden explotar fácilmente. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH` |
# Grupos de reglas de reputación de IP
Estos grupos bloquean solicitudes en función de su dirección IP de origen.
**nota**
Estas reglas utilizan la dirección IP de origen del origen de la solicitud web. Si el tráfico pasa por uno o más proxies o equilibradores de carga, el origen de la solicitud web contendrá la dirección del último proxy y no la dirección de origen del cliente.
Elija uno o más de estos grupos de reglas si quiere reducir su exposición al tráfico de bots o los intentos de explotación o si está aplicando restricciones geográficas a su contenido. Para obtener información sobre la administración de bots, consulte también [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md).
Los grupos de reglas de esta categoría no proporcionan notificaciones de control de versiones ni de actualizaciones de SNS.
## grupo de reglas administradas con lista de reputación de IP de Amazon
VendorName:`AWS`, Nombre:`AWSManagedRulesAmazonIpReputationList`, WCU: 25
**nota**
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores malintencionados lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El grupo de reglas de la lista de reputación de IP de Amazon contiene reglas basadas en la inteligencia de amenazas interna de Amazon. Es útil si quiere bloquear direcciones IP normalmente asociadas a bots u otras amenazas. El bloqueo de estas direcciones IP puede ayudar a mitigar los bots y a reducir el riesgo de que un actor malintencionado descubra una aplicación vulnerable.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| AWSManagedIPReputationList | Inspecciona las direcciones IP que se hayan identificado como implicadas activamente en actividades maliciosas. AWS WAF recopila la lista de direcciones IP de varias fuentes MadPot, incluida una herramienta de inteligencia de amenazas que Amazon utiliza para proteger a los clientes de la ciberdelincuencia. Para obtener más información al respecto MadPot, consulte[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Acción de la regla: Block Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList` |
| AWSManagedReconnaissanceList | Inspecciona las conexiones de las direcciones IP que realizan un reconocimiento de los recursos de AWS . Acción de la regla: Block Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList` |
| AWSManagedIPDDoSList | Inspecciona las direcciones IP que se hayan identificado como activas en las actividades DDo de S. Acción de la regla: Count Etiqueta: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList` |
## grupo de reglas administradas con lista de direcciones IP anónimas
VendorName:`AWS`, Nombre:`AWSManagedRulesAnonymousIpList`, WCU: 50
**nota**
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores malintencionados lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El grupo de reglas de lista de IP anónimas contiene reglas para bloquear las solicitudes de los servicios que permiten ocultar la identidad del visor. Estas incluyen solicitudes de servidores proxyVPNs, nodos de Tor y proveedores de alojamiento web. Este grupo de reglas resulta útil si desea filtrar los lectores que podrían intentar ocultar su identidad en la aplicación. El bloqueo de las direcciones IP de estos servicios puede ayudar a mitigar los bots y la evasión de restricciones geográficas.
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en tu paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| AnonymousIPList | Inspecciona una lista de direcciones IP de orígenes conocidos para anonimizar la información del cliente, como nodos TOR, proxies temporales y otros servicios de enmascaramiento. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList` |
| HostingProviderIPList | Inspecciona la lista de direcciones IP de proveedores de alojamiento web y nube, que tienen menos probabilidades de generar tráfico de usuario final. La lista de IP no incluye direcciones AWS IP. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` |
# AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude
En esta sección se explica qué hace el AWS WAF grupo de reglas gestionado por el Control de Fraude para la creación de cuentas y prevención del fraude (ACFP).
VendorName:`AWS`, Nombre:`AWSManagedRulesACFPRuleSet`, WCU: 50
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
La Oficina de Prevención del AWS WAF Fraude para la creación de cuentas (ACFP, por sus siglas en inglés) gestionó los grupos de reglas para etiquetar y gestionar las solicitudes que podrían formar parte de intentos fraudulentos de creación de cuentas. Para ello, el grupo de reglas inspecciona las solicitudes de creación de cuentas que los clientes envían a los puntos de conexión de registro y creación de cuentas de la aplicación.
El grupo de reglas de la ACFP inspecciona los intentos de creación de cuentas de varias maneras para ofrecerte visibilidad y control sobre posibles interacciones maliciosas. El grupo de reglas utiliza los tokens de solicitud para recopilar información sobre el navegador del cliente y sobre el nivel de interactividad humana a la hora de crear la solicitud de creación de cuentas. El grupo de reglas detecta y gestiona los intentos de creación masiva de cuentas mediante la agregación de las solicitudes por dirección IP y sesión del cliente, y por la información de la cuenta proporcionada, como la dirección física y el número de teléfono. Además, el grupo de reglas detecta y bloquea la creación de nuevas cuentas con credenciales que se han visto comprometidas, lo que ayuda a proteger la posición de seguridad de la aplicación y de los nuevos usuarios.
## Consideraciones para usar este grupo de reglas
Este grupo de reglas requiere una configuración personalizada, que incluye la especificación de las rutas de registro de cuenta y creación de cuenta de la aplicación. A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que los clientes envían a estos dos puntos de conexión. Para configurar e implementar este grupo de reglas, consulte las instrucciones en [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).
Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).
Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.
## Etiquetas agregadas por este grupo de reglas
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
### Etiquetas de token
Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.
Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).
Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).
**Etiqueta de sesión de cliente**
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiqueta de la huella digital del navegador**
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.
Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.
**Etiquetas de estado del token: nombres de etiquetas**
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:
+ `accepted`: El token de solicitud está presente y contiene lo siguiente:
+ Una solución válida del desafío o del CAPTCHA.
+ Una marca de tiempo vigente del desafío o del CAPTCHA.
+ Una especificación de dominio válida para el paquete de protección (ACL web).
Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación.
Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
+ `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA.
+ `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).
+ `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).
+ `rejected:invalid`— no se AWS WAF pudo leer el token indicado.
Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo.
Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token.
### Etiquetas de ACFP
Este grupo de reglas genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:acfp:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud.
Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta.
## Lista de reglas de prevención contra fraude en la creación de cuentas
En esta sección se enumeran las reglas de la ACFP en `AWSManagedRulesACFPRuleSet` y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.
Todas las reglas de este grupo de reglas requieren un token de solicitud web, excepto las dos primeras `UnsupportedCognitoIDP` y `AllRequests`. Para obtener una descripción de la información que proporciona el token, consulte [AWS WAF características del token](waf-tokens-details.md).
A menos que se indique lo contrario, las reglas de este grupo de reglas inspeccionan todas las solicitudes que sus clientes envían a las rutas de las páginas de registro y creación de cuentas que proporcione en la configuración del grupo de reglas. Para obtener información acerca de cómo configurar este grupo de reglas, consulte [AWS WAF Control de fraude: creación de cuentas y prevención del fraude (ACFP)](waf-acfp.md).
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, usa el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| UnsupportedCognitoIDP | Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ACFP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:unsupported:cognito_idp` y `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` |
| AllRequests | Aplica la acción de regla a las solicitudes que acceden a la ruta de la página de registro. La ruta de la página de registro se configura al configurar el grupo de reglas. De forma predeterminada, esta regla aplica el Challenge a las solicitudes. Al aplicar esta acción, la regla garantiza que el cliente adquiera un token de desafío antes de que el resto de las reglas del grupo de reglas evalúen cualquier solicitud. Asegúrese de que los usuarios finales carguen la ruta de la página de registro antes de enviar una solicitud de creación de cuenta. Los tokens se añaden a las solicitudes mediante la integración de las aplicaciones del cliente SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para que la adquisición de los tokens sea más eficiente, le recomendamos encarecidamente que utilice la integración de aplicaciones SDKs. Para obtener más información, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Acción de la regla: Challenge Etiquetas: ninguna |
| RiskScoreHigh | Inspecciona las solicitudes de creación de cuentas con direcciones IP u otros factores que se consideran muy sospechosos. Por lo general, esta evaluación se basa en varios factores que contribuyen, que se pueden ver en las etiquetas `risk_score` que el grupo de reglas agrega a la solicitud. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:risk_score:high` y `awswaf:managed:aws:acfp:RiskScoreHigh` La regla también puede aplicar etiquetas de puntuación de riesgo `medium` o `low` a la solicitud. Si AWS WAF no consigue evaluar la puntuación de riesgo de la solicitud web, la regla añade la etiqueta `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Además, la regla agrega etiquetas con el espacio de nombres `awswaf:managed:aws:acfp:risk_score:contributor:` que incluyen el estado de la evaluación de la puntuación de riesgo y los resultados de los contribuyentes específicos a la puntuación de riesgo, como las evaluaciones de reputación de IP y de credenciales robadas. |
| SignalCredentialCompromised | Busca en la base de datos de credenciales robadas las credenciales que se enviaron en la solicitud de creación de la cuenta. Esta regla garantiza que los nuevos clientes inicialicen sus cuentas con una postura de seguridad positiva. Puede agregar una respuesta de bloqueo personalizada para describir el problema al usuario final e indicarle cómo proceder. Para obtener información, consulte [Ejemplo de ACFP: respuesta personalizada para credenciales comprometidas](waf-acfp-control-example-compromised-credentials.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:signal:credential_compromised` y `awswaf:managed:aws:acfp:SignalCredentialCompromised` El grupo de reglas aplica la siguiente etiqueta relacionada, pero no realiza ninguna acción al respecto, ya que no todas las solicitudes de creación de cuentas tendrán credenciales: `awswaf:managed:aws:acfp:signal:missing_credential` |
| SignalClientHumanInteractivityAbsentLow | Inspecciona el token de la solicitud de creación de la cuenta en busca de datos que indiquen una interactividad humana anómala con la aplicación. La interactividad humana se detecta mediante interacciones como los movimientos del ratón y las pulsaciones de teclas. Si la página tiene un formulario HTML, la interactividad humana incluye las interacciones con el formulario. Esta regla solo inspecciona las solicitudes enviadas a la ruta de creación de la cuenta y solo se evalúa si has implementado la integración SDKs de la aplicación. Las implementaciones de los SDK capturan de forma pasiva la interactividad humana y almacenan la información en el token de solicitud. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md) y [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Acción de la regla: CAPTCHA Etiquetas: ninguna. La regla determina una coincidencia según diversos factores, por lo que no existe una etiqueta individual que se aplique a todos los escenarios de coincidencia posibles. El grupo de reglas puede aplicar una o varias de las siguientes etiquetas a las solicitudes: `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`. |
| AutomatedBrowser | Inspecciona en busca de indicadores de que el navegador del cliente podría estar automatizado. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:signal:automated_browser` y `awswaf:managed:aws:acfp:AutomatedBrowser` |
| BrowserInconsistency | Inspecciona el token de la solicitud para detectar datos de interrogación del navegador incoherentes. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:signal:browser_inconsistency` y `awswaf:managed:aws:acfp:BrowserInconsistency` |
| VolumetricIpHigh | Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla. Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` y `awswaf:managed:aws:acfp:VolumetricIpHigh` La regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` y. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low` |
| VolumetricSessionHigh | Inspecciona en busca de volúmenes elevados de solicitudes de creación de cuentas enviadas desde sesiones de clientes individuales. Un volumen elevado son más de 10 solicitudes en un período de 30 minutos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` y `awswaf:managed:aws:acfp:VolumetricSessionHigh` El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` y `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`. |
| AttributeUsernameTraversalHigh | Comprueba si hay una alta tasa de solicitudes de creación de cuentas procedentes de una sola sesión de cliente que utilizan nombres de usuario diferentes. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` y `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos) de solicitudes transversales de nombre de usuario, pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` y `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`. |
| VolumetricPhoneNumberHigh | Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan el mismo número de teléfono. El límite para una evaluación alta es de más de 10 solicitudes en 30 minutos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` y `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` El grupo de regla aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 5 solicitudes en un intervalo de 30 minutos) y de volúmenes bajos (más de 1 solicitud en un intervalo de 30 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` y `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`. |
| VolumetricAddressHigh | Comprueba si hay grandes volúmenes de solicitudes de creación de cuentas que utilizan la misma dirección física. El umbral para una evaluación alta es más de 100 solicitudes por intervalo de 30 minutos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` y `awswaf:managed:aws:acfp:VolumetricAddressHigh` |
| VolumetricAddressLow | Inspecciona los volúmenes bajos y medios de solicitudes de creación de cuentas que utilizan la misma dirección física. El límite para una evaluación media es de más de 50 solicitudes por intervalo de 30 minutos, y para una evaluación baja es de más de 10 solicitudes por intervalo de 30 minutos. La regla aplica la acción a volúmenes medios o bajos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` y `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium` |
| VolumetricIPSuccessfulResponse | Comprueba si hay un gran volumen de solicitudes de creación de cuentas correctas para una sola dirección IP. Esta regla agrega las respuestas correctas del recurso protegido a las solicitudes de creación de cuentas. El umbral para una evaluación alta es más de 10 solicitudes por intervalo de 10 minutos. Esta regla ayuda a proteger contra los intentos de creación masiva de cuentas. Tiene un umbral inferior al de la regla `VolumetricIpHigh`, que solo cuenta las solicitudes. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas satisfactorios de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` y `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` para más de 1 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` para más de 1 solicitud correcta. |
| VolumetricSessionSuccessfulResponse | Comprueba si hay un bajo volumen de respuestas satisfactorias del recurso protegido a las solicitudes de creación de cuentas que se envían desde una sola sesión de cliente. Esto ayuda a proteger contra los intentos de creación masiva de cuentas. El umbral para una evaluación baja es más de 1 solicitud por intervalo de 30 minutos. Esto ayuda a proteger contra los intentos de creación masiva de cuentas. Esta regla usa un umbral inferior al de la regla `VolumetricSessionHigh`, que solo rastrea las solicitudes. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de creación de cuentas fallidos de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` y `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` para más de 5 solicitud correcta, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` para más de 10 solicitudes fallidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` para más de 5 solicitudes fallidas y `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` para más de 1 solicitud fallida. |
| VolumetricSessionTokenReuseIp | Inspecciona las solicitudes de creación de cuentas para detectar el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` y `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` |
# AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude
En esta sección se explica qué hace el grupo de reglas gestionado para la prevención de la apropiación de cuentas (ATP) para el Control del AWS WAF Fraude.
VendorName:`AWS`, Nombre:`AWSManagedRulesATPRuleSet`, WCU: 50
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El sistema de prevención de apropiación de cuentas (ATP) del Control de AWS WAF Fraude gestionaba las etiquetas de los grupos de reglas y gestionaba las solicitudes que pudieran ser parte de intentos malintencionados de apropiación de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación.
+ **Inspección de solicitudes**: la ATP le permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión que utilizan credenciales robadas con el fin de evitar la apropiación de cuentas que pueda dar lugar a actividades fraudulentas. La ATP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ATP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa.
+ **Inspección de respuestas**: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de reglas de la ATP inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, la ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web.
## Consideraciones para usar este grupo de reglas
Este grupo de reglas requiere una configuración específica. Para configurar e implementar este grupo de reglas, consulte las instrucciones en [AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP)](waf-atp.md).
Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).
Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un paquete de protección (ACL web) que use este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a un paquete de protección (ACL web) que ya esté asociado a un grupo de usuarios.
## Etiquetas agregadas por este grupo de reglas
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
### Etiquetas de token
Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.
Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).
Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).
**Etiqueta de sesión de cliente**
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiqueta de la huella digital del navegador**
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.
Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.
**Etiquetas de estado del token: nombres de etiquetas**
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:
+ `accepted`: El token de solicitud está presente y contiene lo siguiente:
+ Una solución válida del desafío o del CAPTCHA.
+ Una marca de tiempo vigente del desafío o del CAPTCHA.
+ Una especificación de dominio válida para el paquete de protección (ACL web).
Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación.
Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
+ `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA.
+ `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).
+ `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).
+ `rejected:invalid`— no se AWS WAF pudo leer el token indicado.
Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo.
Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token.
### Etiquetas de ATP
Este grupo de reglas administradas por ATP genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:atp:` seguido del espacio de nombres y el nombre de la etiqueta personalizados.
El grupo de reglas puede agregar cualquiera de las siguientes etiquetas además de las que aparecen en la lista de reglas:
+ `awswaf:managed:aws:atp:signal:credential_compromised`: indica que las credenciales que se enviaron en la solicitud se encuentran en la base de datos de credenciales robadas.
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponible solo para CloudFront distribuciones protegidas de Amazon. Indica que la sesión de un cliente ha enviado varias solicitudes que utilizaban una huella digital de TLS sospechosa.
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`: indica el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la etiqueta.
Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta.
## Lista de reglas de prevención de apropiación de cuentas
En esta sección se enumeran las reglas de la ATP en `AWSManagedRulesATPRuleSet` y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, usa el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
| Nombre de la regla | Descripción y etiqueta |
| --- | --- |
| UnsupportedCognitoIDP | Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ATP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:unsupported:cognito_idp` y `awswaf:managed:aws:atp:UnsupportedCognitoIDP` |
| VolumetricIpHigh | Inspecciona en busca de altos volúmenes de solicitudes enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` y `awswaf:managed:aws:atp:VolumetricIpHigh` El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y de volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` y `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. |
| VolumetricSession | Inspecciona los grandes volúmenes de solicitudes enviadas desde las sesiones individuales de los clientes. El umbral es de más de 20 solicitudes por período de 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de las reglas CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:session` y `awswaf:managed:aws:atp:VolumetricSession` |
| AttributeCompromisedCredentials | Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan credenciales robadas. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` y `awswaf:managed:aws:atp:AttributeCompromisedCredentials` |
| AttributeUsernameTraversal | Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan el nombre de usuario transversal. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` y `awswaf:managed:aws:atp:AttributeUsernameTraversal` |
| AttributePasswordTraversal | Comprueba si hay varias solicitudes con el mismo nombre de usuario que utilizan la contraseña transversal. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` y `awswaf:managed:aws:atp:AttributePasswordTraversal` |
| AttributeLongSession | Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan sesiones largas. El umbral es de más de 6 horas de tráfico con al menos una solicitud de inicio de sesión cada 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:attribute:long_session` y `awswaf:managed:aws:atp:AttributeLongSession` |
| TokenRejected | Inspecciona las solicitudes con tokens que son rechazadas por la administración de AWS WAF tokens. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: ninguna. Para comprobar si se ha rechazado el token, utilice una regla de coincidencia de etiquetas para que coincida con la etiqueta: `awswaf:managed:token:rejected`. |
| SignalMissingCredential | Inspecciona las solicitudes con credenciales a las que les falte el nombre de usuario o la contraseña. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:signal:missing_credential` y `awswaf:managed:aws:atp:SignalMissingCredential` |
| VolumetricIpFailedLoginResponseHigh | Comprueba si hay direcciones IP que hayan originado recientemente una tasa demasiado alta de intentos fallidos de inicio de sesión. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una dirección IP en un período de 10 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` y `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para más de 1 solicitud correcta. |
| VolumetricSessionFailedLoginResponseHigh | Comprueba si hay sesiones de cliente que hayan originado recientemente una tasa demasiado alta de intentos de inicio de sesión fallidos. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una sesión de cliente en un período de 30 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o fracaso. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. AWS WAF solo evalúa esta regla en los paquetes de protección (web ACLs) que protegen las CloudFront distribuciones de Amazon. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones CAPTCHA de la regla y. Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Block Etiquetas: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` y `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para más de 1 solicitud correcta. |
# AWS WAF Grupo de reglas de control de bots
En esta sección se explica lo que hace el grupo de reglas administradas de control de bots.
VendorName:`AWS`, Nombre:, WCU: `AWSManagedRulesBotControlRuleSet` 50
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita solicitar una nueva clasificación de bots para el Control de bots o necesita información adicional que no se incluya aquí, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El grupo de reglas administradas de control de bots proporciona reglas que gestionan las solicitudes de los bots. Los bots pueden consumir un exceso de recursos, distorsionar las métricas empresariales, provocar tiempos de inactividad y realizar actividades malintencionadas.
## Niveles de protección
El grupo de reglas administradas de control de bots ofrece dos niveles de protección entre los que puede elegir:
+ **Común**: detecta una variedad de bots que se identifican a sí mismos, como los sistemas de rastreo web, los motores de búsqueda y los navegadores automatizados. Las protecciones de control de bots de este nivel identifican los bots más comunes mediante técnicas tradicionales de detección de bots, como el análisis de datos de solicitudes estáticas. Las reglas etiquetan el tráfico de estos bots y bloquean los que no pueden verificar.
+ **Objetivo**: incluye las protecciones de nivel común y añade una detección dirigida para los bots sofisticados que no se identifican a sí mismos. Las protecciones específicas mitigan la actividad de los bots mediante una combinación de límites de tasas, CAPTCHA y desafíos relacionados con el navegador en segundo plano.
+ **`TGT_`**: las reglas que proporcionan una protección específica tienen nombres que comienzan por `TGT_`. Todas las protecciones específicas utilizan técnicas de detección, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inapropiado.
+ **`TGT_ML_`**: las reglas de protección específicas que utilizan el machine learning tienen nombres que comienzan por `TGT_ML_`. Estas reglas utilizan un análisis automatizado y de aprendizaje automático de las estadísticas de tráfico de sitios web para detectar comportamientos anómalos indicativos de una actividad de bots distribuida y coordinada. AWS WAF analiza las estadísticas sobre el tráfico de su sitio web, como las marcas horarias, las características del navegador y la URL visitada anteriormente, para mejorar el modelo de aprendizaje automático de Bot Control. Las capacidades de machine learning están habilitadas de forma predeterminada, pero puede deshabilitarlas en la configuración de su grupo de reglas. Cuando el aprendizaje automático está desactivado, AWS WAF no evalúa estas reglas.
Tanto el nivel de protección objetivo como la declaración de reglas AWS WAF basada en la velocidad proporcionan una limitación de la velocidad. Para ver una comparación de las dos opciones, consulte [Opciones para limitar las tasas en las reglas basadas en tasas y en las reglas específicas de control de bots](waf-rate-limiting-options.md).
## Consideraciones para utilizar este grupo de reglas
Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).
Actualizamos periódicamente nuestros modelos de machine learning (ML) para adaptarlos a las reglas basadas en ML con el nivel de protección específico, a fin de mejorar las predicciones de los bots. Las reglas basadas en ML tienen nombres que comienzan con `TGT_ML_`. Si observa un cambio repentino y sustancial en las predicciones de los bots según estas reglas, contáctenos a través de su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
## Etiquetas agregadas por este grupo de reglas
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
### Etiquetas de token
Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.
Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).
Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).
**Etiqueta de sesión de cliente**
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiqueta de la huella digital del navegador**
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.
Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.
**Etiquetas de estado del token: nombres de etiquetas**
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:
+ `accepted`: El token de solicitud está presente y contiene lo siguiente:
+ Una solución válida del desafío o del CAPTCHA.
+ Una marca de tiempo vigente del desafío o del CAPTCHA.
+ Una especificación de dominio válida para el paquete de protección (ACL web).
Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación.
Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
+ `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA.
+ `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).
+ `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).
+ `rejected:invalid`— no se AWS WAF pudo leer el token indicado.
Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo.
Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token.
### Etiquetas de control de bots
Este grupo de reglas administradas para control de bots genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:bot-control:` seguido del espacio de nombres y el nombre de la etiqueta personalizados. El grupo de reglas puede agregar más de una etiqueta a una solicitud.
Cada etiqueta refleja los resultados de la regla de control de bots:
+ `awswaf:managed:aws:bot-control:bot:`: información sobre el bot asociado a la solicitud.
+ `awswaf:managed:aws:bot-control:bot:name:`: el nombre del bot, si hay alguno disponible, por ejemplo, los espacios de nombres personalizados `bot:name:slurp`, `bot:name:googlebot` y `bot:name:pocket_parser`.
+ `awswaf:managed:aws:bot-control:bot:name:`— Identifica el bot específico mediante el token de producto RFC de la firma de la AMB. Se utiliza para crear reglas personalizadas granulares para bots específicos. Por ejemplo, permite `GoogleBot` pero limita la frecuencia de otros rastreadores.
+ `awswaf:managed:aws:bot-control:bot:category:`— La categoría del bot, tal como se define, por ejemplo AWS WAF, en y. `bot:category:search_engine` `bot:category:content_fetcher`
+ `awswaf:managed:aws:bot-control:bot:account:`—Solo para bots que usen Amazon Bedrock Agent Core. Esta etiqueta contiene un hash opaco que identifica de forma exclusiva la AWS cuenta propietaria del agente. Usa esta etiqueta para crear reglas personalizadas que permitan, bloqueen o limiten la frecuencia de los bots de AWS cuentas específicas sin exponer la cuenta IDs en los registros.
+ `awswaf:managed:aws:bot-control:bot:web_bot_auth:`— Se aplica cuando se realiza la validación de la autenticación de bots web (WBA) en respuesta a una solicitud. El sufijo de estado indica el resultado de la verificación:
+ `web_bot_auth:verified`— La firma se validó correctamente en el directorio de claves públicas
+ `web_bot_auth:invalid`— La firma está presente, pero la validación criptográfica ha fallado
+ `web_bot_auth:expired`— La firma utilizó una clave criptográfica caducada
+ `web_bot_auth:unknown_bot`— El identificador de clave no se encuentra en el directorio de claves
**nota**
Cuando la `web_bot_auth:verified` etiqueta está presente, las `TGT_TokenAbsent` reglas `CategoryAI` y no coinciden, lo que permite que los hosts WBA verificados puedan continuar.
+ `awswaf:managed:aws:bot-control:bot:organization:`: el publicador del bot, por ejemplo, `bot:organization:google`.
+ `awswaf:managed:aws:bot-control:bot:verified`: se utiliza para indicar un bot que se identifica y que el control de bots ha podido verificar. Se usa para los bots más habituales y deseables, y puede resultar útil si se combina con etiquetas de categorías como `bot:category:search_engine` o etiquetas de nombres como `bot:name:googlebot`.
**nota**
El control de bots usa la dirección IP del origen de la solicitud web para ayudar a determinar si un bot está verificado. No puede configurarlo para que utilice la configuración IP reenviada de AWS WAF para inspeccionar el origen de direcciones IP diferente. Si ha verificado que los bots se enrutan a través de un proxy o un equilibrador de carga, puede agregar una regla que se ejecute antes que el grupo de reglas de control de bots para ayudarlo a solucionar este problema. Configura su nueva regla para usar la dirección IP reenviada y permitir de forma explícita las solicitudes de los bots verificados. Para obtener información acerca de usar direcciones IP reenviadas, consulte [Uso de direcciones IP reenviadas en AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ `awswaf:managed:aws:bot-control:bot:vendor:`— Identifica al proveedor u operador de un bot verificado. Actualmente solo está disponible para Agentcore. Úselo para crear reglas personalizadas que permitan o bloqueen a proveedores de bots específicos, independientemente de los nombres de los bots individuales.
+ `awswaf:managed:aws:bot-control:bot:user_triggered:verified`: se utiliza para indicar un bot similar a un bot verificado, pero que los usuarios finales pueden invocar directamente. Las reglas de control de bots consideran que esta categoría de bot es un bot no verificado.
+ `awswaf:managed:aws:bot-control:bot:developer_platform:verified`: se utiliza para indicar un bot similar a un bot verificado, pero que utiliza las plataformas de desarrolladores para crear scripts, por ejemplo, Google Apps Script. Las reglas de control de bots consideran que esta categoría de bot es un bot no verificado.
+ `awswaf:managed:aws:bot-control:bot:unverified`: se usa para indicar un bot que se identifica a sí mismo, por lo que se le puede nombrar y clasificar, pero no publica información que pueda usarse para verificar su identidad de forma independiente. Estos tipos de firmas de bots se pueden falsificar y, por lo tanto, se consideran no verificadas.
+ `awswaf:managed:aws:bot-control:targeted: `: se utiliza para etiquetas específicas de las protecciones específicas de control de bots.
+ `awswaf:managed:aws:bot-control:signal:` y `awswaf:managed:aws:bot-control:targeted:signal: `: se utilizan para proporcionar información adicional sobre la solicitud en algunas situaciones.
Los siguientes son ejemplos de etiquetas de señal. No es una lista exhaustiva:
+ `awswaf:managed:aws:bot-control:signal:cloud_service_provider:`: indica un proveedor de servicios en la nube (CSP) para la solicitud. Algunos ejemplos CSPs son la infraestructura `aws` de Amazon Web Services, la infraestructura `gcp` de Google Cloud Platform (GCP), `azure` los servicios en la nube de Microsoft Azure y `oracle` los servicios de Oracle Cloud.
+ `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`: Indica la detección de una extensión del navegador que ayuda con la automatización, como Selenium IDE.
Esta etiqueta se agrega cada vez que un usuario tiene este tipo de extensión instalada, incluso si no la está utilizando activamente. Si implementa una regla de coincidencia de etiquetas para ello, tenga en cuenta la posibilidad de que se produzcan falsos positivos en la lógica de la regla y en la configuración de las acciones. Por ejemplo, puede utilizar una acción CAPTCHA en lugar de Block, o puede combinarla con otras coincidencias de etiquetas para aumentar su confianza de que se está utilizando la automatización.
+ `awswaf:managed:aws:bot-control:signal:automated_browser`: indica que la solicitud contiene indicadores de que el navegador del cliente podría estar automatizado.
+ `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indica que el AWS WAF token de la solicitud contiene indicadores de que el navegador del cliente podría estar automatizado.
Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta.
El grupo de reglas administradas de control de bots aplica etiquetas a un conjunto de bots verificables que suelen estar permitidos. El grupo de reglas no bloquea estos bots verificados. Si lo desea, puede bloquearlos o bloquear un subconjunto de ellos escribiendo una regla personalizada que utilice las etiquetas aplicadas por el grupo de reglas administradas de control de bots. Para obtener más información acerca de esto y ver ejemplos, consulte [AWS WAF Control de bots](waf-bot-control.md).
## Listado de reglas de control de bots
En esta sección se enumeran las reglas de control de bots.
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).
La información que publicamos sobre las reglas en los grupos de reglas de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita solicitar una nueva clasificación de bots para el Control de bots o necesita información adicional que no se incluya aquí, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
| Nombre de la regla | Description (Descripción) |
| --- | --- |
| CategoryAdvertising | Inspecciona los bots que se utilizan con fines publicitarios. Por ejemplo, puede utilizar servicios de publicidad de terceros que necesiten acceder a su sitio web mediante programación. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:advertising` y `awswaf:managed:aws:bot-control:CategoryAdvertising` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryArchiver | Inspecciona los bots que se utilizan con fines de archivo. Estos bots rastrean la web y capturan contenido con el fin de crear archivos. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:archiver` y `awswaf:managed:aws:bot-control:CategoryArchiver` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryContentFetcher | Comprueba si hay bots que visiten el sitio web de la aplicación en nombre de un usuario, para buscar contenido, como fuentes RSS, o para verificar o validar su contenido. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` y `awswaf:managed:aws:bot-control:CategoryContentFetcher` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryEmailClient | Comprueba si hay bots que verifiquen los enlaces de los correos electrónicos que llevan al sitio web de la aplicación. Esto puede incluir bots gestionados por empresas y proveedores de correo electrónico para verificar los enlaces de los correos electrónicos y detectar los correos sospechosos. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:email_client` y `awswaf:managed:aws:bot-control:CategoryEmailClient` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryHttpLibrary | Inspecciona las solicitudes generadas por los bots desde las bibliotecas HTTP de varios lenguajes de programación. Estas pueden incluir solicitudes de API que decidas permitir o supervisar. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:http_library` y `awswaf:managed:aws:bot-control:CategoryHttpLibrary` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryLinkChecker | Inspecciona los bots que comprueban si hay enlaces rotos. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:link_checker` y `awswaf:managed:aws:bot-control:CategoryLinkChecker` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryMiscellaneous | Inspecciona varios bots que no coinciden con otras categorías. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` y `awswaf:managed:aws:bot-control:CategoryMiscellaneous` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryMonitoring | Inspecciona los bots que se utilizan con fines de monitorización. Por ejemplo, puede usar servicios de monitorización de bots que hagan ping periódicamente al sitio web de su aplicación para monitorizar aspectos como el rendimiento y el tiempo de actividad. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:monitoring` y `awswaf:managed:aws:bot-control:CategoryMonitoring` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryPagePreview | Comprueba si hay bots que generen vistas previas de páginas y vistas previas de enlaces cuando el contenido se comparte en plataformas de mensajería, redes sociales o herramientas de colaboración. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:page_preview` y `awswaf:managed:aws:bot-control:CategoryPagePreview` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryScrapingFramework | Inspecciona los bots en los sistemas de rastreo web, que se utilizan para automatizar el rastreo y la extracción de contenido de los sitios web. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` y `awswaf:managed:aws:bot-control:CategoryScrapingFramework` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategorySearchEngine | Inspecciona los bots de los motores de búsqueda, que rastrean los sitios web para indexar el contenido y hacer que la información esté disponible para los resultados de los motores de búsqueda. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:search_engine` y `awswaf:managed:aws:bot-control:CategorySearchEngine` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategorySecurity | Inspecciona los bots que escanean las aplicaciones web en busca de vulnerabilidades o que realizan auditorías de seguridad. Por ejemplo, puede utilizar un proveedor de seguridad externo que escanee, supervise o audite la seguridad de su aplicación web. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:security` y `awswaf:managed:aws:bot-control:CategorySecurity` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategorySeo | Inspecciona los bots que se utilizan para la optimización de motores de búsqueda. Por ejemplo, puede usar herramientas de motores de búsqueda que rastreen su sitio para ayudarlo a mejorar su posicionamiento entre los motores de búsqueda. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:seo` y `awswaf:managed:aws:bot-control:CategorySeo` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategorySocialMedia | Inspecciona los bots que utilizan las plataformas de redes sociales para proporcionar resúmenes de contenido cuando los usuarios comparten su contenido. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:social_media` y `awswaf:managed:aws:bot-control:CategorySocialMedia` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryWebhooks | Comprueba si hay bots que envíen notificaciones y actualizaciones de datos automatizadas de una aplicación a otra mediante llamadas HTTP. Acción de regla; se aplica solo a los bots no verificados: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:webhooks` y `awswaf:managed:aws:bot-control:CategoryWebhooks` En el caso de los bots verificados, el grupo de reglas no realiza ninguna acción, pero agrega el etiquetado de la regla y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| CategoryAI | Inspecciona los bots de inteligencia artificial (IA). Esta regla aplica la acción a todas las coincidencias, independientemente de si los bots están verificados o no. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:bot-control:bot:category:ai` y `awswaf:managed:aws:bot-control:CategoryAI` En el caso de los bots verificados, el grupo de reglas cumple con esta regla y realiza una acción. Además, agrega el nombre del bot y el etiquetado de la categoría, el etiquetado de las reglas y la etiqueta `awswaf:managed:aws:bot-control:bot:verified`. |
| SignalAutomatedBrowser | Inspecciona solicitudes que no son de bots verificados en busca de indicadores de que el navegador del cliente podría estar automatizado. Se pueden usar navegadores automatizados para probar o rastrear. Por ejemplo, puede utilizar estos tipos de navegadores para monitorizar o verificar el sitio web de su aplicación. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:bot-control:signal:automated_browser` y `awswaf:managed:aws:bot-control:SignalAutomatedBrowser` En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla. |
| SignalKnownBotDataCenter | Inspecciona las solicitudes que no son de bots verificados de los centros de datos que suelen utilizar los bots. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` y `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter` En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla. |
| SignalNonBrowserUserAgent | Inspecciona las solicitudes que no son de bots verificados para las cadenas de los agentes de usuario que no parecen provenir de un navegador web. Esta categoría puede incluir solicitudes API. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` y `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent` En el caso de los bots verificados, el grupo de reglas no coincide con esta regla y no aplica ninguna etiqueta de señal o regla. |
| TGT\$1VolumetricIpTokenAbsent | Inspecciona solicitudes que no son de bots verificados con 5 solicitudes o más de un solo cliente en los últimos 5 minutos que no incluyan un token de desafío válido. Para obtener información acerca de los tokens, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Es posible que esta regla coincida en una solicitud que tiene un token si a las solicitudes del mismo cliente les han faltado tokens recientemente. El umbral al que se aplica esta regla puede variar ligeramente debido a la latencia. Esta regla gestiona los tokens faltantes de manera diferente al etiquetado de los tokens: `awswaf:managed:token:absent`. El etiquetado de los tokens etiqueta las solicitudes individuales que no tienen un token. Esta regla mantiene un recuento de las solicitudes a las que les falta su token para cada IP de cliente y las compara con los clientes que superan el límite. Acción de la regla: Challenge Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` y `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent` |
| TGT\$1TokenAbsent | Inspecciona solicitudes que no son de bots verificados que no incluyan un token de desafío. Para obtener información acerca de los tokens, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: Count Etiquetas: `awswaf:managed:aws:bot-control:TGT_TokenAbsent` |
| TGT\$1VolumetricSession | Inspecciona un número anormalmente alto de solicitudes que no son de bots verificados de una sola sesión de cliente en un periodo de 5 minutos. La evaluación se basa en una comparación con las líneas base volumétricas estándar, que se basa en patrones de tráfico históricos AWS WAF . Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Esta regla puede tardar 5 minutos en entrar en vigor después de activarla. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico que calcula. AWS WAF Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` y `awswaf:managed:aws:bot-control:TGT_VolumetricSession` El grupo de reglas aplica las siguientes etiquetas a las solicitudes de volumen medio y bajo que superan un umbral mínimo. Para estos niveles, la regla no realiza ninguna acción, independientemente de si el cliente está verificado: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` y `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`. |
| TGT\$1VolumetricSessionMaximum | Inspecciona un número anormalmente alto de solicitudes que no son de bots verificados de una sola sesión de cliente en un periodo de 5 minutos. La evaluación se basa en una comparación con las líneas base volumétricas estándar, que se basa en patrones de tráfico históricos. AWS WAF Esta regla indica la máxima confianza en la evaluación. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Esta regla puede tardar 5 minutos en entrar en vigor después de activarla. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico que calcula. AWS WAF Acción de la regla: Block Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` y `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum` |
| TGT\$1SignalAutomatedBrowser | Inspecciona los tókenes de solicitudes que no son de bots verificados en busca de indicadores de que el navegador del cliente podría estar automatizado. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación y mediante las acciones de la regla SDKs y. CAPTCHA Challenge Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` y `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser` |
| TGT\$1SignalBrowserAutomationExtension | Inspecciona solicitudes que no son de bots verificados en busca de la presencia de una extensión del navegador que ayude con la automatización, como Selenium IDE. Esta regla coincide cada vez que un usuario tiene este tipo de extensión instalada, incluso si no la utiliza activamente. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` y `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension` |
| TGT\$1SignalBrowserInconsistency | Inspecciona solicitudes que no son de bots verificados en busca de datos de interrogación del navegador que sean incoherentes. Para obtener más información, consulte [AWS WAF características del token](waf-tokens-details.md). Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes mediante la integración de la aplicación SDKs y mediante las acciones de la regla CAPTCHA yChallenge. Para obtener más información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md). Acción de la regla: CAPTCHA Etiquetas: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` y `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency` |
| TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh | Inspecciona solicitudes que no son de bots verificados en busca de comportamientos anómalos que sean coherentes con la actividad distribuida y coordinada de los bots. Los niveles de las reglas indican el nivel de confianza de que un grupo de solicitudes participen en un ataque coordinado. Estas reglas solamente se ejecutan si el grupo de reglas está configurado para usar el machine learning (ML). Para obtener información acerca de cómo configurar esta opción, consulte [Añadir el grupo de reglas gestionado por AWS WAF Bot Control a su ACL web](waf-bot-control-rg-using.md). Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. AWS WAF realiza esta inspección mediante un análisis de aprendizaje automático de las estadísticas de tráfico del sitio web. AWS WAF analiza el tráfico web cada pocos minutos y optimiza el análisis para detectar bots de baja intensidad y larga duración que se distribuyen en muchas direcciones IP. Es posible que estas reglas coincidan en un número muy reducido de solicitudes antes de determinar que no se está produciendo un ataque coordinado. Por lo tanto, si solo ve una o dos coincidencias, los resultados podrían ser falsos positivos. Sin embargo, si ve muchas coincidencias de estas reglas, es probable que esté siendo víctima de un ataque coordinado. Estas reglas pueden tardar hasta 24 horas en entrar en vigor si activa las reglas específicas del control de bots con la opción de ML. Bot Control identifica el comportamiento anómalo del tráfico web comparando el tráfico actual con las líneas base de tráfico calculadas. AWS WAF AWS WAF Solo calcula las líneas de base cuando utilizas las reglas específicas de Bot Control con la opción de aprendizaje automático, y establecer líneas de base significativas puede llevar hasta 24 horas. Actualizamos periódicamente nuestros modelos de machine learning para adaptarlos a estas reglas, a fin de mejorar las predicciones de los bots. Si observa un cambio repentino y sustancial en las predicciones de los bots que hacen estas reglas, póngase en contacto con su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). Acciones de las reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High` |
| TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh | Inspecciona las solicitudes que no provienen de bots verificados para utilizar un único token entre varios IPs en los últimos 5 minutos. Cada nivel tiene un límite en cuanto al número de elementos distintos IPs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acciones de las reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High` |
| TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh | Inspecciona las solicitudes que no son de bots verificados para el uso de un único token en varios países en los últimos 5 minutos. Cada nivel tiene un límite para la cantidad de países distintos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acciones de las reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High` |
| TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh | Inspecciona las solicitudes que no provienen de bots verificados para el uso de un único token en varios números de sistemas autónomos de redes (ASNs) en los últimos 5 minutos. Cada nivel tiene un límite en cuanto al número de elementos distintos ASNs: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Los umbrales a los que se aplican estas reglas pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acciones de las reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Etiquetas: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` y `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High` |
# AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida
En esta sección se describe el grupo de reglas AWS WAF gestionadas para la protección contra los ataques distribuidos de denegación de servicio (DDoS).
VendorName:`AWS`, Nombre:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)API.
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
El grupo de reglas gestionadas DDo Anti-S proporciona reglas que detectan y gestionan las solicitudes que participan o que es probable que participen en ataques DDo tipo S. Además, el grupo de reglas etiqueta todas las solicitudes que evalúa durante un evento probable.
## Consideraciones para utilizar este grupo de reglas
Este grupo de reglas proporciona mitigaciones flexibles y estrictas para las solicitudes web que llegan a recursos que están siendo atacados por el tipo DDo S. Para detectar distintos niveles de amenaza, puede ajustar la sensibilidad de ambos tipos de mitigación a niveles de sospecha altos, medios o bajos.
+ **Mitigación suave**: el grupo de reglas puede enviar desafíos de navegador silenciosos en respuesta a solicitudes que puedan lidiar con los intersticios del desafío. Para obtener información acerca de los requisitos para ejecutar el desafío, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).
+ **Mitigación estricta**: el grupo de reglas puede bloquear las solicitudes por completo.
Para obtener más información acerca del funcionamiento y la configuración del grupo de reglas, consulte [Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S](waf-anti-ddos-advanced.md).
**nota**
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte [Mitigación inteligente de amenazas en AWS WAF](waf-managed-protections.md).
Para minimizar los costes y optimizar la gestión del tráfico, use este grupo de reglas de acuerdo con las directrices de prácticas recomendadas. Consulte, [Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF](waf-managed-protections-best-practices.md).
## Etiquetas agregadas por este grupo de reglas
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte [Etiquetado de solicitudes web](waf-labels.md) y [Etiquetar métricas y dimensiones](waf-metrics.md#waf-metrics-label).
### Etiquetas de token
Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.
Para obtener información sobre los tókenes y su administración, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).
Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte [Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF](waf-rule-label-requirements.md).
**Etiqueta de sesión de cliente**
La etiqueta `awswaf:managed:token:id:identifier` contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiqueta de la huella digital del navegador**
La etiqueta `awswaf:managed:token:fingerprint:fingerprint-identifier` contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.
**nota**
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
**Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas**
Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.
Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:
+ `awswaf:managed:token:`: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.
+ `awswaf:managed:captcha:`: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.
**Etiquetas de estado del token: nombres de etiquetas**
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:
+ `accepted`: El token de solicitud está presente y contiene lo siguiente:
+ Una solución válida del desafío o del CAPTCHA.
+ Una marca de tiempo vigente del desafío o del CAPTCHA.
+ Una especificación de dominio válida para el paquete de protección (ACL web).
Ejemplo: la etiqueta `awswaf:managed:token:accepted` indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
+ `rejected`: El token de solicitud está presente, pero no cumple con los criterios de aceptación.
Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
+ `rejected:not_solved`: Al token le falta la solución del desafío o del CAPTCHA.
+ `rejected:expired`: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).
+ `rejected:domain_mismatch`: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).
+ `rejected:invalid`— no se AWS WAF pudo leer el token indicado.
Ejemplo: las etiquetas `awswaf:managed:captcha:rejected` y `awswaf:managed:captcha:rejected:expired` indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).
+ `absent`: La solicitud no contiene el token o el administrador del token no ha podido leerlo.
Ejemplo: la etiqueta `awswaf:managed:captcha:absent` indica que la solicitud no tiene el token.
### Etiquetas DDo antiS
El grupo de reglas gestionado por Anti- DDo S genera etiquetas con el prefijo del espacio de nombres `awswaf:managed:aws:anti-ddos:` seguido de cualquier espacio de nombres personalizado y del nombre de la etiqueta. Cada etiqueta refleja algún aspecto de las conclusiones de Anti- S. DDo
El grupo de reglas puede agregar cualquiera de las siguientes etiquetas a una solicitud, además de las que se agregan mediante reglas individuales.
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indica que la solicitud va a un recurso protegido para el que el grupo de reglas gestionado detecta un evento DDo S. El grupo de reglas administradas detecta eventos cuando el tráfico hacia el recurso presenta una desviación significativa con respecto a la línea base de tráfico del recurso.
El grupo de reglas agrega esta etiqueta a todas las solicitudes que se envían al recurso mientras se encuentra en este estado, por lo que el tráfico legítimo y el tráfico de ataque reciben esta etiqueta.
+ `awswaf:managed:aws:anti-ddos:ddos-request`: indica que la solicitud proviene de una fuente sospechosa de participar en un evento.
Además de la etiqueta general, el grupo de reglas agrega las siguientes etiquetas que indican el nivel de confianza.
`awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indica una probable solicitud de ataque DDo S.
`awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indica una solicitud de ataque DDo S muy probable.
`awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indica una solicitud de ataque DDo S muy probable.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`: indica que el URI de la solicitud es capaz de gestionar la acción Challenge. El grupo de reglas administrado lo aplica a cualquier solicitud cuyo URI no esté exento. URIs están exentos si coinciden con las expresiones regulares de URI exentas del grupo de reglas.
Para obtener información sobre los requisitos de las solicitudes que puedan tomar un desafío de navegador silencioso, consulte [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md).
Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al `DescribeManagedRuleGroup`. Las etiquetas aparecen en la propiedad `AvailableLabels` de la respuesta.
El grupo de reglas gestionado por Anti- DDo S aplica etiquetas a las solicitudes, pero no siempre actúa en consecuencia. La administración de las solicitudes depende de la confianza con la que el grupo de reglas determine la participación en un ataque. Si lo desea, puede administrar las solicitudes que etiqueta el grupo de reglas con la adición de una regla de coincidencia de etiquetas que se ejecute después del grupo de reglas. Para obtener más información acerca de esto y ver ejemplos, consulte [AWS WAF Prevención de denegación de servicio (DDoS) distribuida](waf-anti-ddos.md).
## Listado de reglas Anti- DDo S
En esta sección se enumeran las reglas DDo antiS.
**nota**
Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en [AWS Registro de cambios de reglas gestionadas](aws-managed-rule-groups-changelog.md). Para obtener información sobre otras versiones, utilice el comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).
La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.
Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
| Nombre de la regla | Description (Descripción) |
| --- | --- |
| ChallengeAllDuringEvent | Coincide con las solicitudes que tienen la etiqueta `awswaf:managed:aws:anti-ddos:challengeable-request` de cualquier recurso protegido que esté bajo ataque actualmente. Acción de la regla: Challenge Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. Para cualquier configuración de acción de regla, la regla solo coincide con las solicitudes que tienen la etiqueta `challengeable-request`. La configuración de esta regla afecta a la evaluación de la siguiente regla,`ChallengeDDoSRequests`. AWS WAF solo evalúa esa regla cuando la acción para esta regla se ha establecido en la configuración de la ACL web del grupo de reglas administrado. Count Si su carga de trabajo es vulnerable a cambios inesperados en el volumen de solicitudes, le recomendamos que rechace todas las solicitudes impugnables al mantener la configuración de acción predeterminada de Challenge. En el caso de las aplicaciones menos sensibles, puede establecer la acción de esta regla en Count y, a continuación, ajustar la sensibilidad de sus Challenge respuestas con la regla `ChallengeDDoSRequests`. Etiquetas: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` |
| ChallengeDDoSRequests | Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los desafíos que configura el grupo de reglas durante los momentos en los que el recurso está bajo ataque. Acción de la regla: Challenge Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. En cualquier caso, la regla solo coincide con las solicitudes que tienen la etiqueta `challengeable-request`. AWS WAF solo evalúa esta regla si se anula la acción de la regla anteriorCount,. `ChallengeAllDuringEvent` Etiquetas: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` |
| DDoSRequests | Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los bloques configurada del grupo de reglas durante los momentos en los que el recurso está bajo ataque. Acción de la regla: Block Etiquetas: `awswaf:managed:aws:anti-ddos:DDoSRequests` |
# Implementaciones para grupos de reglas de reglas AWS administradas versionados
En esta sección, se presenta cómo se AWS implementan las actualizaciones en los grupos de reglas de reglas AWS administradas.
AWS implementa los cambios en sus grupos de reglas de AWS Managed Rules versionados en tres implementaciones estándar: la versión candidata, la versión estática y la versión predeterminada. Además, a veces es AWS posible que necesite lanzar una implementación de excepción o revertir una implementación de versión predeterminada.
**nota**
Esta sección solo se aplica a los grupos de reglas de AWS Managed Rules que están versionados. Los únicos grupos de reglas sin control de versiones son los grupos de reglas de reputación de IP.
**Topics**
+ [Notificaciones para despliegues de grupos de reglas de AWS Managed Rules](waf-managed-rule-groups-deployments-notifications.md)
+ [Descripción general de las implementaciones estándar de las reglas AWS administradas](waf-managed-rule-groups-deployments-standard.md)
+ [Estados de versión típicos de las reglas AWS administradas](waf-managed-rule-groups-typical-version-states.md)
+ [Publicar las implementaciones candidatas para AWS Managed Rules](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Implementaciones de versiones estáticas para reglas AWS administradas](waf-managed-rule-groups-deployments-static-version.md)
+ [Implementaciones de versiones predeterminadas para AWS Managed Rules](waf-managed-rule-groups-deployments-default-version.md)
+ [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md)
+ [Reversiones de implementación predeterminadas para las reglas AWS administradas](waf-managed-rule-groups-deployments-default-rollbacks.md)
# Notificaciones para despliegues de grupos de reglas de AWS Managed Rules
En esta sección se explica cómo funcionan las notificaciones de Amazon SNS con los grupos de reglas de AWS Managed Rules.
Todos los grupos de reglas de AWS Managed Rules versionados proporcionan notificaciones de actualización de SNS para las implementaciones y todos usan el mismo tema de SNS Amazon Resource Name (ARN). Los únicos grupos de reglas que no se someten a control de versiones son los grupos de reglas de reputación IP.
En el caso de las implementaciones que afectan a sus protecciones, como los cambios en la versión predeterminada, AWS proporciona notificaciones de SNS para informarle sobre las implementaciones planificadas y para avisarle de cuándo se está iniciando una implementación. En el caso de las implementaciones que no afectan a sus protecciones, como las de versión candidata y estática, es posible que AWS le notifique una vez que la implementación haya comenzado o incluso una vez finalizada. Al finalizar la implementación de una nueva versión estática, AWS actualiza esta guía en el registro de cambios [AWS Registro de cambios de reglas administradas](aws-managed-rule-groups-changelog.md) y en la página del historial del documento en. [Historial de documentos](doc-history.md)
Para recibir todas las actualizaciones relacionadas con AWS los grupos de reglas de reglas AWS administradas, suscríbase a la fuente RSS desde cualquier página HTML de esta guía y suscríbase al tema de SNS relativo a los grupos de reglas de reglas AWS administradas. Para obtener más información sobre la suscripción a notificaciones de SNS, consulte [Recepción de notificaciones sobre nuevas versiones y actualizaciones de un grupo de reglas administradas](waf-using-managed-rule-groups-sns-topic.md).
**Contenido de las notificaciones de SNS**
Los campos de las notificaciones de Amazon SNS siempre incluyen el asunto, el mensaje y. MessageAttributes Los campos adicionales dependen del tipo de mensaje y del grupo de reglas administradas al que se destine la notificación. A continuación, se muestra un ejemplo de lista de notificaciones para `AWSManagedRulesCommonRuleSet`.
```
{
"Type": "Notification",
"MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
"TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
"Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
"Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
"Timestamp": "2021-08-24T11:12:19.810Z",
"SignatureVersion": "1",
"Signature": "EXAMPLEHXgJm...",
"SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
"SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
"MessageAttributes": {
"major_version": {
"Type": "String",
"Value": "v1"
},
"managed_rule_group": {
"Type": "String",
"Value": "AWSManagedRulesCommonRuleSet"
}
}
}
```
# Descripción general de las implementaciones estándar de las reglas AWS administradas
AWS implementa la nueva funcionalidad de reglas AWS administradas mediante tres etapas de implementación estándar: versión candidata, versión estática y versión predeterminada.
En el siguiente diagrama, se muestran estas implementaciones estándar. Cada uno de estos se describe con mayor detalle en las secciones siguientes.
![\[Cuatro carriles verticales muestran diferentes etapas de implementación estándar. El carril situado más a la izquierda muestra la versión predeterminada establecida en la versión estática recomendada 1.4. El segundo carril muestra la configuración predeterminada de una versión candidata (RC) a ser lanzada para probarla y ajustarla. La versión RC contiene las reglas de 1.4 y las reglas de RC. Una nota indica que, tras las pruebas, la predeterminada vuelve a la versión estática recomendada. El tercer carril muestra la creación de una versión estática 1.5 a partir de las reglas de la versión candidata a ser lanzada. El cuarto carril muestra la versión por defecto ajustada a la nueva versión estática recomendada 1.5.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)
# Estados de versión típicos de las reglas AWS administradas
Normalmente, un grupo de reglas gestionado versionado tiene varias versiones estáticas que no han caducado y la versión predeterminada apunta a la versión estática recomendada. AWS En la siguiente imagen, se muestra un ejemplo del conjunto típico de versiones estáticas y de la configuración de la versión predeterminada.
![\[Las tres versiones estáticas Version_1.2, Version_1.3 y Version_1.4 están apiladas, con la Version_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-diagram.png)
La acción de producción para la mayoría de las reglas en una versión estática es Block, pero puede estar configurada en algo diferente. Para obtener información detallada sobre la configuración de las acciones de reglas, consulte la lista de reglas de cada grupo de reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md).
# Publicar las implementaciones candidatas para AWS Managed Rules
En esta sección se explica cómo funciona la implementación temporal de una versión candidata a ser lanzada.
Cuando AWS un conjunto de reglas candidato cambia para un grupo de reglas gestionado, los pone a prueba en una implementación candidata de versión temporal. AWS evalúa las reglas candidatas en el modo de recuento comparándolas con el tráfico de producción y realiza las últimas actividades de ajuste, incluida la mitigación de los falsos positivos. AWS Las pruebas publican las reglas candidatas de esta forma para todos los clientes que utilizan la versión predeterminada del grupo de reglas. Las implementaciones de la versión candidata a ser lanzada no se aplican a los clientes que usan una versión estática del grupo de reglas.
Si utiliza la versión predeterminada, una implementación de la versión candidata a ser lanzada no alterará la forma en que el grupo de reglas administra su tráfico web. Es posible que observe lo siguiente mientras se prueban las reglas candidatas:
+ El nombre de la versión predeterminada cambia de `Default (using Version_X.Y)` a `Default (using Version_X.Y_PLUS_RC_COUNT)`.
+ Métricas de recuento adicionales en Amazon CloudWatch con `RC_COUNT` sus nombres. Estas se generan mediante las reglas candidatas a ser lanzadas.
AWS prueba una versión candidata durante aproximadamente una semana, luego la elimina y restablece la versión predeterminada a la versión estática recomendada actualmente.
AWS lleva a cabo los siguientes pasos para la implementación de una versión candidata:
1. **Crear la versión candidata**: AWS añade una versión candidata en función de la versión estática recomendada actualmente, que es la versión a la que apunta la versión predeterminada.
El nombre de la versión candidata a ser lanzada es el nombre de la versión estática al que se añade `_PLUS_RC_COUNT`. Por ejemplo, si la versión estática actualmente recomendada es `Version_2.1`, la versión candidata a ser lanzada recibirá el nombre `Version_2.1_PLUS_RC_COUNT`.
La versión candidata a ser lanzada contiene las siguientes reglas:
+ Las reglas se copiaron exactamente de la versión estática recomendada actualmente, sin cambios en la configuración de las reglas.
+ Reglas candidatas nuevas con la acción de regla configurada en Count y cuyos nombres terminen en `_RC_COUNT`.
La mayoría de las reglas de las versiones candidatas incluyen propuestas de mejora para las reglas que ya existen en el grupo de reglas. El nombre de cada una de estas reglas es el nombre de la regla existente al que se añade `_RC_COUNT`.
1. **Defina la versión predeterminada como la versión candidata y pruébela**: AWS configura la versión predeterminada para que apunte a la nueva versión candidata, a fin de realizar pruebas comparándolas con el tráfico de producción. Las pruebas suelen tardar alrededor de una semana.
Verá que el nombre de la versión predeterminada cambia de una versión que solo indica la versión estática, por ejemplo `Default (using Version_1.4)`, a una que indica la versión estática más las reglas de la versión candidata a ser lanzada, por ejemplo `Default (using Version_1.4_PLUS_RC_COUNT)`. Este esquema de nomenclatura le permite identificar qué versión estática utiliza para gestionar el tráfico web.
El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo en este momento.
![\[En la parte superior de la imagen, hay tres versiones estáticas apiladas, con Version_1.4 en la parte superior. La versión Version_1.4_PLUS_RC_COUNT es independiente de la pila de versiones estáticas. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas a ser lanzadas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. El indicador de versión predeterminado señala la Version_1.4_PLUS_RC_COUNT.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)
Las reglas candidatas a ser lanzadas siempre se configuran con una acción Count, por lo que no alteran la forma en que el grupo de reglas administra el tráfico web.
Las reglas de release candidate generan métricas de CloudWatch recuento de Amazon que se AWS utilizan para verificar el comportamiento e identificar los falsos positivos. AWS realiza los ajustes necesarios para ajustar el comportamiento de las reglas de recuento de candidatos a publicación.
La versión candidata a ser lanzada no es estática y no puede seleccionarla de la lista de versiones de grupos de reglas estáticas. Solamente puede ver el nombre de la versión candidata a ser lanzada en la especificación de la versión predeterminada.
1. **Devuelve la versión predeterminada a la versión estática recomendada**: tras probar las reglas de la versión candidata, AWS vuelve a establecer la versión estática recomendada actualmente para la versión predeterminada. La configuración predeterminada del nombre de la versión elimina la `_PLUS_RC_COUNT` terminación y el grupo de reglas deja de generar métricas de CloudWatch recuento para las reglas de la versión candidata. Se trata de un cambio silencioso y no es lo mismo que implementar una reversión de una versión predeterminada.
El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo una vez finalizadas las pruebas de la candidata a ser lanzada.
![\[De nuevo, esta es la imagen de los estados de versión típicos. Tres versiones estáticas, las Version_1.2, Version_1.3 y Version_1.4, están apiladas, con la Versión_1.4 en la parte superior. La Version_1.4 tiene dos reglas, la RuleA y la RuleB, ambas con acción de producción. Un indicador de versión predeterminado señala la Version_1.4.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)
**Calendario y notificaciones**
AWS despliega versiones candidatas según sea necesario, para probar las mejoras en un grupo de reglas.
+ **SNS**: AWS envía una notificación de SNS al inicio de la implementación. La notificación indica el tiempo estimado durante el que se probará la versión candidata. Una vez finalizadas las pruebas, devuelve AWS silenciosamente la configuración predeterminada de la versión estática, sin necesidad de una segunda notificación.
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.
# Implementaciones de versiones estáticas para reglas AWS administradas
Cuando AWS determina que una versión candidata proporciona cambios valiosos al grupo de reglas, AWS implementa una nueva versión estática para el grupo de reglas basada en la versión candidata. Esta implementación no cambia la versión predeterminada del grupo de reglas.
La nueva versión estática contiene las siguientes reglas para la versión candidata:
+ Reglas de la versión estática anterior que no tienen un candidato de reemplazo entre las reglas de la candidata a ser lanzada.
+ Reglas candidatas a ser lanzadas con los cambios siguientes:
+ AWS cambia el nombre de la regla eliminando el sufijo `_RC_COUNT` Release Candidate.
+ AWS cambia las acciones de la regla Count a sus acciones de la regla de producción.
En el caso de las reglas candidatas a ser lanzadas que sustituyan a reglas anteriores existentes, se sustituirá la funcionalidad de las reglas anteriores de la nueva versión estática.
El siguiente diagrama muestra la creación de la nueva versión estática a partir de la candidata a ser lanzada.
![\[En la parte superior de la imagen aparece la versión candidata a ser lanzada Version_1.4_PLUS_RC_COUNT con las mismas reglas que en la figura de implementación de candidata a ser lanzada anterior. Esta versión contiene las reglas de la Version_1.4 y también contiene dos reglas candidatas, Ruleb_RC_Count y Rulez_RC_Count, ambas con acción de recuento. A continuación, en la parte inferior de la imagen, hay una versión estática, la Version_1.5, que contiene las reglas RuleA, RuleB y RuleZ, todas ellas con acción de producción. Las flechas señalan desde la versión RC a la Version_1.5 para indicar que la RuleA se ha copiado de las reglas de la Version_1.4 y la RuleB y la RuleZ se han copiado de las reglas candidatas a ser lanzadas. Todas las reglas de la Version_1.5 incluyen acciones de producción.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)
Tras la implementación, la nueva versión estática está disponible para que la pruebe y la utilice en sus protecciones si así lo desea. Puede revisar las acciones y descripciones de las reglas nuevas y actualizadas en las listas de reglas del grupo de reglas en [AWS Lista de grupos de reglas de Managed Rules](aws-managed-rule-groups-list.md).
Una versión estática es inmutable tras el despliegue y solo cambia cuando AWS caduca. Para obtener información sobre el ciclo de vida de las versiones, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md).
**Calendario y notificaciones**
AWS implementa una nueva versión estática según sea necesario para implementar mejoras en la funcionalidad de los grupos de reglas. La implementación de una versión estática no afecta a la configuración de la versión predeterminada.
+ **SNS**: AWS envía una notificación de SNS cuando se completa la implementación.
+ **Registro de cambios**: una vez completada la implementación en todos los lugares disponibles, AWS actualiza la definición del grupo de reglas de esta guía según sea necesario y, a continuación, anuncia la publicación en el registro de cambios del grupo de reglas de reglas AWS administradas y en la página del historial de la documentación. AWS WAF
# Implementaciones de versiones predeterminadas para AWS Managed Rules
Cuando AWS determina que una nueva versión estática proporciona una protección mejorada para el grupo de reglas en comparación con la versión predeterminada actual, AWS actualiza la versión predeterminada a la nueva versión estática. AWS podría publicar varias versiones estáticas antes de convertir una de ellas en la versión predeterminada del grupo de reglas.
El siguiente diagrama muestra el estado de las versiones del grupo de reglas de ejemplo después de AWS mover la configuración de la versión predeterminada a la nueva versión estática.
![\[Es similar a la imagen de los estados de versión típicos, pero con Version_1.5 en la parte superior de la pila y el indicador predeterminado señalando hacia ella.\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)
Antes de implementar este cambio en la versión predeterminada, AWS proporciona notificaciones para que pueda probar los próximos cambios y prepararse para ellos. Si utiliza la versión predeterminada, no podrá realizar ninguna acción y permanecer en ella durante la actualización. Si, por el contrario, desea retrasar el cambio a la nueva versión, antes del inicio planificado de la implementación de la versión predeterminada, puede configurar explícitamente su grupo de reglas para que utilice la versión estática establecida de forma predeterminada.
**Calendario y notificaciones**
AWS actualiza la versión predeterminada cuando recomienda una versión estática diferente para el grupo de reglas que la que se está utilizando actualmente.
+ **SNS**: AWS envía una notificación de SNS al menos una semana antes del día de implementación previsto y, después, otra el día de la implementación, al inicio de la implementación. Cada notificación incluye el nombre del grupo de reglas, la versión estática a la que se actualiza la versión predeterminada, la fecha de despliegue y el momento programado del despliegue para cada AWS región en la que se realiza la actualización.
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.
# Implementaciones de excepciones para reglas AWS administradas
AWS podrían omitir las etapas de implementación estándar para implementar rápidamente actualizaciones que aborden los riesgos de seguridad críticos. Una implementación excepcional puede incluir cualquiera de los tipos de implementación estándar y puede implementarse rápidamente en todas las AWS regiones.
AWS proporciona una notificación con la mayor antelación posible para las implementaciones de excepciones.
**Calendario y notificaciones**
AWS realiza despliegues de excepciones solo cuando es necesario.
+ **SNS**: AWS envía una notificación de SNS con la mayor antelación posible al día de despliegue previsto y, a continuación, otra al inicio del despliegue. Cada notificación incluye el nombre del grupo de reglas, el cambio que se está realizando y la fecha de implementación.
+ **Registro de cambios**: si la implementación es para una versión estática, una vez completada la implementación en todos los lugares disponibles, AWS actualiza la definición del grupo de reglas de esta guía según sea necesario y, a continuación, anuncia la versión en el registro de cambios del grupo de reglas de reglas AWS administradas y en la página del historial de la documentación. AWS WAF
# Reversiones de implementación predeterminadas para las reglas AWS administradas
En determinadas condiciones, AWS podría revertir la versión predeterminada a su configuración anterior. La reversión suele tardar menos de diez minutos en todas las AWS regiones.
AWS realiza una reversión solo para mitigar un problema importante en una versión estática, como un nivel inaceptablemente alto de falsos positivos.
Tras revertir la configuración de la versión predeterminada, AWS acelera tanto la caducidad de la versión estática que tiene el problema como el lanzamiento de una nueva versión estática para solucionar el problema.
**Calendario y notificaciones**
AWS revierte las versiones predeterminadas solo cuando es necesario.
+ **SNS**: AWS envía una única notificación de SNS en el momento de la reversión. La notificación incluye el nombre del grupo de reglas, la versión en la que se está configurando la versión predeterminada y la fecha de implementación. Este tipo de implementación es muy rápido, por lo que la notificación no proporciona información sobre los plazos de las regiones.
+ **Registro de cambios**: AWS no actualiza el registro de cambios ni otras partes de esta guía para este tipo de implementación.
# AWS Registro de cambios de reglas administradas
En esta sección, se enumeran los cambios en las reglas AWS gestionadas AWS WAF desde su publicación en noviembre de 2019.
**nota**
Este registro de cambios informa de los cambios en las reglas y los grupos de reglas de AWS Managed Rules for. AWS WAF
En el caso de [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md), este registro de cambios informa de los cambios en las reglas y el grupo de reglas e informa de los cambios significativos en los orígenes de las listas de direcciones IP que utilizan las reglas. No informa de los cambios en las propias listas de direcciones IP, debido a la naturaleza dinámica de esas listas. Si tiene preguntas sobre las listas de direcciones IP, póngase en contacto con su administrador de cuentas o abra un caso en el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/).
| Reglas y grupos de reglas | Description (Descripción) | Fecha |
| --- | --- | --- |
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.2 de este grupo de reglas. Se han mejorado las detecciones y se ha añadido una regla. `PHPHighRiskMethodsVariables_URIPATH` | 24-03-2020 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Reglas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión 5.0 estática de este grupo de reglas. Se han añadido más de 400 bots nuevos en varias categorías, incluidas dos nuevas categorías de bots con sus respectivas reglas: Page Preview y Webhooks. **Mejoras clave** Se mejoró la precisión de las señales de detección de bots y la coincidencia de patrones de bots genéricos, lo que permitió una clasificación del tráfico más precisa. Esta actualización cambia la forma en que el grupo de reglas gestionado prioriza la detección de bots. Los patrones de bots específicos no verificados ahora se evalúan antes que los patrones genéricos y las señales de detección. Esto significa que es más probable que las solicitudes se clasifiquen en función de sus características más específicas que de indicadores genéricos. **Qué significa esto para su tráfico:** El patrón genérico de los bots ahora coincidirá con menos frecuencia. Estos patrones solo se aplican cuando ninguna regla de bot más específica ya ha identificado el tráfico. Esto reduce la sobreclasificación y garantiza que las solicitudes se etiqueten con la identificación de bots más precisa disponible. Las señales de detección, como los indicadores de que una solicitud proviene de un proveedor de servicios en la nube, de un centro de datos de bots conocido o de que utiliza un agente de usuario ajeno a un navegador, ahora se aplican después de las reglas de identificación de bots. Esto garantiza que las clasificaciones de bots específicas tengan prioridad sobre las señales de tráfico genéricas. **Impacto:** Es posible que veas menos etiquetas para los patrones genéricos de bots en tus registros de tráfico, ya que las solicitudes ahora se clasifican con mayor precisión según reglas de bots específicas. Esto proporciona una visión más clara de la naturaleza real del tráfico automatizado y reduce el ruido que provoca una coincidencia de patrones demasiado amplia. Las clasificaciones de bots no verificadas serán más destacadas y precisas, lo que le ayudará a comprender y gestionar mejor las solicitudes automatizadas a sus aplicaciones. **Nota:** Esta versión incluye las actualizaciones de `awswaf:managed:aws:bot-control:bot:web_bot_auth` etiquetas y reglas de la versión 4.0, pero la `Web Bot Auth` funcionalidad solo está disponible en esta versión. CloudFront | 25 de febrero de 2020 |
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | Publicada la versión estática 3.2 de este grupo de reglas. Se han mejorado las firmas de detección para todas las reglas. | 15/01/2020 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión estática 1.25 de este grupo de reglas. Se actualizó `ReactJSRCE_BODY` para mejorar la detección. | 2025-12-08 |
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | Se publicó la versión estática 3.1 de este grupo de reglas. Se han mejorado las firmas de detección para todas las reglas. | 2025-12-08 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión estática 1.24 de este grupo de reglas. Se actualizó `ReactJSRCE_BODY` para mejorar la detección. | 2025-12-04 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Etiquetas nuevas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Alcance: CloudFront | Se implementó la nueva `AWSManagedRulesBotControlRuleSet` versión estática Version\$14.0 con compatibilidad con la autenticación de bots web (WBA) para la verificación de bots criptográficos. Esta versión debe seleccionarse de forma explícita y no actualiza automáticamente las implementaciones existentes mediante la versión predeterminada. Nuevas capacidades: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Actualizaciones de reglas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) La versión\$14.0 es solo una versión estática; no cambia el comportamiento de la versión predeterminada. Para usar las funciones de la WBA, seleccione explícitamente la versión \$14.0 al configurar su ACL web. | 2025-11-20 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Nuevas etiquetas de bots verificadas:Publicidad:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)OBJETIVO:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Buscador de contenido:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Redes sociales:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Mejoras clave: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Las reglas de categoría de bots de Bot Control solo se activan en los bots no verificados, excepto en el caso de la categoría AI, que también se activa en los bots verificados. La versión\$13.3 es solo una versión estática; no cambia el comportamiento predeterminado de la versión. | 17-11-2025 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.20 de este grupo de reglas. Se mejoraron las firmas de detección para las reglas de falsificación de solicitudes del lado del servidor (SSRF). | 2025-10-02 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión estática 1.19 de este grupo de reglas. Se mejoraron las firmas de detección para las reglas de script entre sitios. | 14 de agosto de 2025 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión estática 1.18 de este grupo de reglas. Se mejoraron las firmas de detección para las reglas de script entre sitios. | 18-06-2020 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Etiquetas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión estática 3.2 de este grupo de reglas. Se agregaron las nuevas etiquetas enumeradas. | 29 de mayo de 2020 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.17 de este grupo de reglas. Se mejoraron las firmas de detección para las reglas de script entre sitios. | 2025-03-03 |
| [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.3 de este grupo de reglas. Se agregó la doble transformación de texto `URL_DECODE_UNI` a las reglas enumeradas. | 2025-01-24 |
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Publicada la versión estática 2.6 de este grupo de reglas. Se agregaron firmas para mejorar la detección. | 24 de enero de 2025 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Nueva etiqueta con el nombre del bot en las etiquetas de control de bots: `awswaf:managed:aws:bot-control:bot::name:nytimes` | Se publicó la versión estática 3.1 de este grupo de reglas. Se agregó la etiqueta New York Times a la lista de etiquetas con los nombres de los bots. | 07-11-2020 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.16 de este grupo de reglas. Se mejoraron las firmas de detección para las reglas de script entre sitios. | 2024-10-16 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) Reglas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Reglas eliminadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Etiquetas nuevas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Etiquetado adicional en las reglas existentes. | Se lanzaron las versiones estáticas 2.0 y 3.0 de este grupo de reglas. La versión 2.0 es la misma que la versión 3.0, pero con las acciones de regla para todas las reglas nuevas configuradas en Count. Esta guía documenta la versión más reciente de cada grupo de reglas. Se agregaron las nuevas reglas enumeradas. Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:bot-control:`. Se agregaron etiquetas del proveedor de servicios en la nube a las etiquetas de señal de control de bots. Se agregaron nuevas etiquetas con los nombres de los bots que se inspeccionan según las reglas de las categorías de bots. | 2024-09-13 |
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) Todas las reglas | Se lanzó la versión estática 1.1 de este grupo de reglas. Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:atp:`. | 2024-09-13 |
| [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) Todas las reglas | Se lanzó la versión estática 1.1 de este grupo de reglas. Se actualizó el etiquetado para que todas las reglas apliquen una etiqueta con el patrón `awswaf:managed:aws:acfp:`. | 2024-09-13 |
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas las reglas | Se lanzó la versión estática 2.5 de este grupo de reglas. Se agregaron firmas para mejorar la detección. | 2024-09-02 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.15 de este grupo de reglas. Se mejoraron las firmas de detección para las reglas genéricas de LFI. | 2024-08-30 |
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.3 de este grupo de reglas. Se ajustaron las firmas de detección en las reglas enumeradas para reducir los falsos positivos. | 2024-08-28 |
| [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.3 de este grupo de reglas. Se agregó la transformación de texto JS\$1DECODE a la regla enumerada. | 2024-07-15 |
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.4 de este grupo de reglas. Se agregó la transformación de texto JS\$1DECODE a la regla enumerada. | 2024-07-12 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.14 de este grupo de reglas. Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas. | 2024-07-09 |
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.1 de este grupo de reglas. Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas. | 2024-07-03 |
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.2 de este grupo de reglas. Se agregó la transformación de texto JS\$1DECODE a las reglas enumeradas. | 2024-07-03 |
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas las reglas | Se lanzó la versión estática 2.3 de este grupo de reglas. Se agregaron firmas para mejorar la detección. | 2024-06-06 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) | Los grupos de reglas de bots y fraudes ahora cuentan con control de versiones. Si utiliza alguno de estos grupos de reglas, esta actualización no cambia la forma en que gestionan el tráfico web. Esta actualización establece la versión actual del grupo de reglas en la versión estática 1.0 y establece la versión predeterminada para que la señale a ella. Para obtener más información acerca de las reglas administradas con control de versiones, consulte lo siguiente: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 2024-05-29 |
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 3.0 de este grupo de reglas. Se eliminó `UNIXShellCommandsVariables_QUERYARGUMENTS` y se reemplazó por `UNIXShellCommandsVariables_QUERYSTRING`. Si tiene reglas que coinciden en la etiqueta para `UNIXShellCommandsVariables_QUERYARGUMENTS`, cuando utilice esta versión, cámbielas para que coincidan con las de la etiqueta para `UNIXShellCommandsVariables_QUERYSTRING`. La nueva etiqueta es `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Se agregó la regla `UNIXShellCommandsVariables_HEADER`, que coincide con todos los encabezados. Se actualizaron todas las reglas del grupo de reglas administradas con una lógica de detección mejorada. Se corrigió el uso de mayúsculas documentado en la etiqueta para `UNIXShellCommandsVariables_BODY`. | 2024-05-28 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.12 de este grupo de reglas. Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos. | 2024-05-21 |
| [grupo de reglas administradas de la base de datos SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.2 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a las reglas enumeradas. | 2024-05-14 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.22 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a las reglas enumeradas. | 2024-05-08 |
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) | Se lanzó la versión estática 2.2 de este grupo de reglas. Se agregó la transformación de texto `JS_DECODE` a ambas reglas. | 2024-05-08 |
| [grupo de reglas administradas para el sistema operativo Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.1 de este grupo de reglas. Se agregaron firmas a `PowerShellCommands_BODY` para mejorar la detección. | 2024-05-03 |
| [grupo de reglas administradas con lista de reputación de IP de Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se actualizaron los orígenes de la lista de reputación IP para mejorar la identificación de las direcciones que participan de forma activa en actividades maliciosas y reducir los falsos positivos. Esta actualización no incluye una nueva versión porque este grupo de reglas no cuenta con control de versiones. | 2024-03-13 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) | Se lanzó la versión estática 1.21 de este grupo de reglas. Se agregaron firmas para mejorar la detección y reducir los falsos positivos. | 2023-12-16 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.20 de este grupo de reglas. Se actualizó la regla `ExploitablePaths_URIPATH` para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de autorización inadecuada CVE-2023-22518 de Atlassian Confluence. Esta vulnerabilidad afecta a todas las versiones del centro de datos y del servidor de Confluence. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518). | 2023-12-14 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.11 de este grupo de reglas. Se agregaron firmas a todas las reglas de scripts entre sitios para mejorar la detección y reducir los falsos positivos. | 2023-12-06 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregó la etiqueta de actividad coordinada baja a las etiquetas de nivel de protección específicas del grupo de reglas. Esta etiqueta no está asociada a ninguna regla. Este etiquetado se suma a las reglas y etiquetas de nivel medio y alto. | 2023-12-05 |
| [Etiquetas de control de bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregó una etiqueta de señal al grupo de reglas que indica la detección de una extensión del navegador que ayuda a la automatización. Esta etiqueta no es específica de una regla individual. | 14-11-2020 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.10 de este grupo de reglas. Se actualizó una regla para mejorar la detección y reducir los falsos positivos. | 2023-11-02 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.9 de este grupo de reglas. Se actualizaron una regla para mejorar la detección y reducir los falsos positivos. | 2023-10-30 |
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.1 de este grupo de reglas. Se actualizó la regla de argumentos de consulta para mejorar la detección. | 2023-10-12 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.8 de este grupo de reglas. Se actualizaron las reglas para mejorar la detección. | 2023-10-11 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Implementación de excepción: publicada la versión estática 1.19 de este grupo de reglas. Se actualizó la versión predeterminada para usar la versión 1.19. Se actualizó la regla `ExploitablePaths_URIPATH` para agregar la detección de las solicitudes que coincidan con la vulnerabilidad de escalamiento de privilegios CVE-2023-22515 de Atlassian Confluence. Esta vulnerabilidad afecta a algunas versiones de Atlassian Confluence. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2023-22515 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22515) y [Atlassian Support: FAQ for CVE-2023-22515](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html). Para obtener información sobre este tipo de implementación, consulte [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Implementación de excepción: publicada la versión estática 1.18 de este grupo de reglas. Se trata de una implementación rápida de esta versión estática para adaptarla a la creación e implementación de la versión 1.19. Se actualizaron la regla `Host_localhost_HEADER` y todas las reglas de deserialización de Log4J y Java para mejorar la detección. Para obtener información sobre este tipo de implementación, consulte [Implementaciones de excepciones para reglas AWS administradas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregaron reglas al grupo de reglas con la acción Count. La regla de IP de reutilización de tokens detecta y cuenta el uso compartido de tokens entre direcciones IP. Las reglas de actividad coordinada utilizan un análisis automatizado del tráfico del sitio web mediante machine learning (ML) para detectar la actividad relacionada con los bots. En la configuración del grupo de reglas, puede desactivar el uso de ML. Con esta versión, los clientes que actualmente utilizan el nivel de protección específicas optan por el uso del ML. Al excluirse, se deshabilitan las reglas de actividad coordinada. | 2023-09-06 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregó la regla `CategoryAI` al grupo de reglas. | 2023-08-30 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.7 de este grupo de reglas. Se actualizaron las reglas SSRF de metadatos de EC2 y extensiones restringidas para mejorar la detección y reducir los falsos positivos. | 2023-07-26 |
| [AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude](aws-managed-rule-groups-acfp.md) Todas las reglas están en un nuevo grupo de reglas | Se agregó el grupo de reglas de AWSManagedRulesACFPRuleSet. | 2023-06-13 |
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.2 de este grupo de reglas. Se agregaron firmas para mejorar la detección. | 2023-05-22 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.6 de este grupo de reglas. Se actualizaron el scripting entre sitios (XSS) y las reglas de extensiones restringidas para mejorar la detección y reducir los falsos positivos. | 2023-04-28 |
| [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.0 de este grupo de reglas. Se agregaron firmas para mejorar la detección en todas las reglas. Se reemplazó la regla `PHPHighRiskMethodsVariables_QUERYARGUMENTS` por `PHPHighRiskMethodsVariables_QUERYSTRING`, que inspecciona toda la cadena de consulta en lugar de solo los argumentos de la consulta. Se agregó la regla `PHPHighRiskMethodsVariables_HEADER` para ampliar la cobertura e incluir todos los encabezados. Se actualizaron las siguientes etiquetas para alinearlas con el etiquetado estándar AWS de las reglas administradas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | 27 de febrero de 2023 |
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregaron reglas de inspección de respuestas de inicio de sesión para su uso con CloudFront distribuciones protegidas de Amazon. Estas reglas pueden bloquear nuevos intentos de inicio de sesión desde direcciones IP y sesiones de clientes que recientemente hayan provocado demasiados intentos fallidos de inicio de sesión. | 15-02-2021 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.5 de este grupo de reglas. Se actualizaron los filtros de scripting entre sitios (XSS) para mejorar la detección. | 2023-01-25 |
| [grupo de reglas administradas del sistema operativo Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 2.1 de este grupo de reglas. Se eliminaron la regla `LFI_COOKIE` y su etiqueta `awswaf:managed:aws:linux-os:LFI_Cookie`, y se sustituyeron por la nueva regla `LFI_HEADER` y su etiqueta `awswaf:managed:aws:linux-os:LFI_Header`. Este cambio amplía la inspección a varios encabezados. Se han agregado transformaciones de texto y firmas a todas las reglas para mejorar la detección. | 15 de diciembre de 2022 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.4 de este grupo de reglas. Se agregó una transformación de texto a `NoUserAgent_HEADER` para eliminar todos los bytes nulos. Se actualizaron los filtros de reglas scripting entre sitios (XSS) para mejorar la detección. | 2022-12-05 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.17 de este grupo de reglas. Se actualizaron las reglas de deserialización de Java para agregar la detección de las solicitudes que coincidan con la CVE-2022 42889 de Apache, una vulnerabilidad de ejecución remota de código (RCE) presente en las versiones de Apache Commons Text anteriores a la 1.10.0. Para obtener más información, consulte [NIST: National Vulnerability Database: CVE-2022-42889 Detail](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) y [CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om). Detección mejorada en `Host_localhost_HEADER`. | 2022-10-20 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.16 de este grupo de reglas. Se eliminaron los falsos positivos AWS identificados en la versión 1.15. | 05/10/2022 |
| [grupo de reglas administradas para el sistema operativo POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [grupo de reglas administradas de la aplicación PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [WordPress grupo de reglas gestionado por la aplicación](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) | Se corrigieron los nombres de las etiquetas documentados. | 2022-09-19 |
| [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Este cambio no altera la forma en que el grupo de reglas gestiona el tráfico web. Se agregó una nueva regla con Count acciones para inspeccionar las direcciones IP que participan activamente en actividades DDo S, según la inteligencia de amenazas de Amazon. | 30 de agosto de 2022 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión estática 1.15 de este grupo de reglas. Se quitó `Log4JRCE` y se sustituyó por `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY`, para una monitorización y una gestión más precisas de los falsos positivos. Se agregaron firmas para mejorar la detección y el bloqueo de `PROPFIND_METHOD`, y todas las reglas `JavaDeserializationRCE*` y `Log4JRCE*`. Se han actualizado las etiquetas para corregir el uso de mayúsculas y minúsculas en `Host_localhost_HEADER` y en todas las reglas `JavaDeserializationRCE*`. Se corrigió la descripción de `JavaDeserializationRCE_HEADER`. | 2022-08-22 |
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregó una regla para impedir el uso del grupo de reglas administradas de prevención de apropiación de cuentas para el tráfico web del grupo de usuarios de Amazon Cognito. | 2022-08-11 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) | AWS ha programado la caducidad de las versiones `Version_1.2` y `Version_2.0` del grupo de reglas. Las versiones vencerán el 9 de septiembre de 2022. Para obtener más información sobre la caducidad de versiones, consulte [Uso de grupos de reglas gestionados versionados en AWS WAF](waf-managed-rule-groups-versioning.md). | 9 de junio de 2022 |
| [Grupo de reglas administradas del conjunto de reglas básicas (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.3 de este grupo de reglas. Esta versión actualiza las firmas de coincidencia en las reglas `GenericLFI_URIPATH` y `GenericRFI_URIPATH` para mejorar la detección. | 2022-05-24 |
| [AWS WAF Grupo de reglas de control de bots](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregó la regla `CategoryEmailClient` al grupo de reglas. | 2022-04-06 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.14 de este grupo de reglas. Las cuatro reglas `JavaDeserializtionRCE` pasan al modo Block. | 2022-03-31 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.13 de este grupo de reglas. Se actualizó la transformación del texto para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo. | 2022-03-31 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.12 de este grupo de reglas. Se agregaron firmas para las vulnerabilidades RCE de Spring Core y Cloud Function. Estas reglas están en modo de recuento para recopilar métricas y evaluar los patrones coincidentes. La etiqueta se puede usar para bloquear las solicitudes en una regla personalizada. Se implementará una versión posterior con estas reglas en modo de bloqueo. Se eliminaron las reglas `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY` ,y se sustituyeron por la regla `Log4JRCE`. | 2022-03-30 |
| [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se actualiza la regla de AWSManagedReconnaissanceList para cambiar la acción de contar en bloque. | 2022-02-15 |
| [AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude](aws-managed-rule-groups-atp.md) Todas las reglas están en un nuevo grupo de reglas | Se agregó el grupo de reglas de AWSManagedRulesATPRuleSet. | 2022-02-11 |
| [Grupo de reglas administradas de entradas incorrectas conocidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.9 de este grupo de reglas. Se ha eliminado la regla `Log4JRCE` y se ha sustituido por las reglas `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` y `Log4JRCE_BODY` para aumentar la flexibilidad en el uso de esta funcionalidad. Se agregaron firmas para mejorar la detección y el bloqueo. | 2022-01-28 |
| Conjunto de reglas básicas (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 2.0 de este grupo de reglas. Para estas reglas, se ajustaron las firmas de detección para reducir los falsos positivos. Se reemplazó la transformación de texto de `URL_DECODE` por la transformación de texto doble de `URL_DECODE_UNI`. Se agregó la transformación de texto de `HTML_ENTITY_DECODE`. | 2022-01-10 |
| Conjunto de reglas básicas (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Como parte del lanzamiento de la versión 2.0 de este grupo de reglas, se agregó la transformación de texto de `URL_DECODE_UNI`. Se ha eliminado la transformación de texto de `URL_DECODE` de `RestrictedExtensions_URIPATH`. | 2022-01-10 |
| Base de datos SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 2.0 de este grupo de reglas. Se reemplazó la transformación de texto de `URL_DECODE` por la transformación de texto doble de `URL_DECODE_UNI` y se añadió la transformación de texto de `COMPRESS_WHITE_SPACE`. Se agregaron más firmas de detección a `SQLiExtendedPatterns_QUERYARGUMENTS`. Se agregó la inspección JSON a `SQLi_BODY`. Se agregó la regla `SQLiExtendedPatterns_BODY`. Se ha eliminado la regla `SQLi_URIPATH`. | 2022-01-10 |
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.8 de la regla `Log4JRCE` para mejorar la inspección de los encabezados y los criterios de coincidencia. | 2021-12-17 |
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se lanzó la versión 1.4 de la regla `Log4JRCE` para mejorar los criterios de coincidencia y la inspección de encabezados adicionales. Se lanzó la versión 1.5 para mejorar los criterios de coincidencia. | 2021-12-11 |
| Entradas incorrectas conocidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) | Se agregó la versión 1.2 de la regla `Log4JRCE` en respuesta al problema de seguridad recientemente revelado en Log4j. Para obtener información, consulte [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Esta regla inspecciona las rutas de URI comunes, las cadenas de consulta, los primeros 8 KB del cuerpo de la solicitud y los encabezados comunes. La regla usa transformaciones de texto dobles de `URL_DECODE_UNI`. Se lanzó la versión 1.3 de la regla `Log4JRCE` para mejorar los criterios de coincidencia y la inspección de encabezados adicionales. Se ha eliminado la regla `BadAuthToken_COOKIE_AUTHORIZATION`. | 2021-12-10 |
En la siguiente tabla, se muestran los cambios realizados antes de diciembre de 2021.
| Reglas y grupos de reglas | Description (Descripción) | Fecha |
| --- | --- | --- |
| Lista de reputación de IP de Amazon | `AWSManagedReconnaissanceList` | Se agregó la regla AWSManagedReconnaissanceList en el modo de supervisión/recuento. Esta regla contiene direcciones IP que realizan un reconocimiento de los recursos. AWS | 2021-11-23 |
| Sistema operativo Windows | `WindowsShellCommands` `PowerShellCommands` | Se agregaron tres nuevas reglas para los WindowsShell comandos:`WindowsShellCommands_COOKIE`, y`WindowsShellCommands_QUERYARGUMENTS`. `WindowsShellCommands_BODY` Se agregó una nueva PowerShell regla:`PowerShellCommands_COOKIE`. Reestructuró la denominación de las reglas `PowerShellComands` eliminando las cadenas \$1Set1 y \$1Set2. Se agregaron firmas de detección más completas a `PowerShellRules`. Se agregó la transformación de texto de `URL_DECODE_UNI` a todas las reglas del sistema operativo Windows. | 2021-11-23 |
| Sistema operativo Linux | `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE` | Se reemplazó la transformación de texto doble de `URL_DECODE` por `URL_DECODE_UNI` doble. Se agregó `NORMALIZE_PATH_WIN` como segunda transformación de texto. Se reemplazó la regla `LFI_BODY` por la regla `LFI_COOKIE`. Se agregaron firmas de detección más completas para todas las reglas de `LFI`. | 2021-11-23 |
| Conjunto de reglas básicas (CRS) | `SizeRestrictions_BODY` | Se ha reducido el límite de tamaño para bloquear las solicitudes web con cargas de cuerpo de más de 8 KB. Anteriormente, el límite era de 10 KB. | 2021-10-27 |
| Conjunto de reglas básicas (CRS) | `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS` | Se agregaron más firmas de detección. Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo. | 2021-10-27 |
| Conjunto de reglas básicas (CRS) | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS` | Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo. | 2021-10-27 |
| Conjunto de reglas básicas (CRS) | `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH` | Se actualizaron las firmas de reglas para reducir los falsos positivos en función de los comentarios de los clientes. Se ha agregado una doble decodificación de URL unicode para mejorar el bloqueo. | 2021-10-27 |
| Todos | Todas las reglas | Se agregó la compatibilidad con AWS WAF etiquetas a todas las reglas que aún no lo admitían. | 2021-10-25 |
| Lista de reputación de IP de Amazon | `AWSManagedIPReputationList_xxxx` | Se reestructuró la lista de reputación IP, se eliminaron los sufijos del nombre de la regla y se agregó compatibilidad con las etiquetas. AWS WAF | 04-05-2021 |
| Lista de IP anónimas | `AnonymousIPList` `HostingProviderList` | Se agregó soporte para etiquetas. AWS WAF | 04/05/2021 |
| Control de bots | Todos | Se agregó el conjunto de reglas de control de bots. | 2021-04-01 |
| Conjunto de reglas básicas (CRS) | `GenericRFI_QUERYARGUMENTS` | Se ha agregado una doble decodificación de URL. | 2021-03-03 |
| Conjunto de reglas básicas (CRS) | `RestrictedExtensions_URIPATH` | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional. | 2021-03-03 |
| Protección de administración | `AdminProtection_URIPATH` | Se ha agregado una doble decodificación de URL. | 2021-03-03 |
| Entradas incorrectas conocidas | `ExploitablePaths_URIPATH` | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional. | 2021-03-03 |
| Sistema operativo Linux | `LFI_QUERYARGUMENTS` | Se mejoró la configuración de las reglas y se agregó una decodificación de URL adicional. | 2021-03-03 |
| Sistema operativo Windows | Todos | Se ha mejorado la configuración de las reglas. | 2020-09-23 |
| Aplicaciones PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY` | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo. | 2020-09-16 |
| Sistema operativo POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY` | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo. | 2020-09-16 |
| Conjunto de reglas básicas | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY | Se ha cambiado la transformación de texto de la decodificación de HTML a la decodificación de URL, para mejorar el bloqueo. | 2020-08-07 |
| Sistema operativo Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY` | Se ha cambiado la transformación de texto de la decodificación de entidades HTML a la decodificación de URL, para mejorar la detección y el bloqueo. | 2020-05-19 |
| Lista de direcciones IP anónimas | Todos | Nuevo grupo de reglas en [Grupos de reglas de reputación de IP](aws-managed-rule-groups-ip-rep.md) para bloquear solicitudes de servicios que permiten ocultar la identidad del lector, para ayudar a mitigar los bots y para evadir las restricciones geográficas. | 2020-03-06 |
| WordPress solicitud | `WordPressExploitableCommands_QUERYSTRING` | Nueva regla que comprueba si hay comandos vulnerables en la cadena de consulta. | 2020-03-03 |
| Conjunto de reglas básicas (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH` | Se han ajustado las restricciones de valor de tamaño para mejorar la precisión. | 2020-03-03 |
| Base de datos SQL | `SQLi_URIPATH` | Las reglas ahora comprueban el URI del mensaje. | 2020-01-23 |
| Base de datos SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE` | Transformaciones de texto actualizadas. | 2019-12-20 |
| Conjunto de reglas básicas (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE` | Transformaciones de texto actualizadas. | 2019-12-20 |
# Administrar sus propios grupos de reglas
Puede crear su propio grupo de reglas para reutilizar conjuntos de reglas que no encuentre en las ofertas de grupos de reglas administradas o para administrarlos por cuenta propia si así lo prefiere.
Los grupos de reglas que cree tienen reglas, al igual que un paquete de protección (ACL web), y estas se agregan como si se tratase de un paquete de protección (ACL web). Al crear su propio grupo de reglas, tiene que establecer una capacidad máxima inmutable para él.
**Topics**
+ [Crear un grupo de reglas](waf-rule-group-creating.md)
+ [Edición de un grupo de reglas](waf-rule-group-editing.md)
+ [Uso del grupo de reglas en un paquete de protección (ACL web)](waf-rule-group-using.md)
+ [Eliminación de un grupo de reglas](waf-rule-group-deleting.md)
+ [Cómo compartir un grupo de reglas](waf-rule-group-sharing.md)
# Crear un grupo de reglas
Para crear un nuevo grupo de reglas, siga el procedimiento de esta página.
**Para crear un grupo de reglas**
1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. En el panel de navegación, elija **Rule Groups (Grupos de reglas)** y, a continuación, **Create rule group (Crear grupo de reglas)**.
1. Introduzca un nombre y una descripción del grupo. Los usará para identificar el conjunto de reglas y así administrarlo y usarlo.
No utilice nombres que comiencen por `AWS`, `Shield`, `PreFM` o `PostFM`. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte [Reconocimiento de grupos de reglas proporcionados por otros servicios](waf-service-owned-rule-groups.md).
**nota**
No se puede cambiar el nombre después de crear el grupo.
1. En **Region (Región)**, elija la región en la que quiera almacenar el grupo de reglas. Para usar un grupo de reglas en los paquetes de protección (web ACLs) que protegen CloudFront las distribuciones de Amazon, debes usar la configuración global. También puede usar la configuración global para aplicaciones regionales.
1. Elija **Siguiente**.
1. Agregue reglas al grupo de reglas mediante el asistente **Generador de reglas** al igual que en la administración de un paquete de protección (ACL web). La única diferencia es que no se puede agregar un grupo de reglas a otro grupo de reglas.
1. En **Capacidad**, establezca el máximo de unidades de capacidad del paquete de protección (ACL web) para el grupo de reglas (WCUs). Se trata de una configuración inmutable. Para obtener información al respecto WCUs, consulte[Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md).
A medida que agrega reglas al grupo, el panel **Add rules and set capacity (Añadir reglas y establecer capacidad)** muestra la capacidad mínima requerida, que se basa en las reglas que ya ha agregado. Puede utilizar este y sus planes futuros para el grupo de reglas para hacer una estimación de la capacidad que necesitará el grupo de reglas.
1. Revise la configuración del grupo de reglas y seleccione **Create (Crear)**.
# Edición de un grupo de reglas
Para agregar o eliminar reglas de un grupo de reglas o cambiar los ajustes de configuración, acceda al grupo de reglas mediante el procedimiento de esta página.
**Riesgo de tráfico de producción**
Si cambia un grupo de reglas que está actualmente en un paquete de protección (ACL web), esos cambios afectarán al comportamiento del paquete de protección (ACL web) independientemente de dónde se utilice. Asegúrese de probar y ajustar todos los cambios en un entorno de ensayo o pruebas hasta que se sienta cómodo con el impacto potencial en su tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**Edición de un grupo de reglas**
1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).
1. Elija el nombre del grupo de reglas que desea editar. La consola lo lleva a la página del grupo de reglas.
**nota**
Si no ve el grupo de reglas que desea editar, compruebe la selección de regiones en la sección **Grupos de reglas**. Para los grupos de reglas que se utilizan para proteger CloudFront las distribuciones de Amazon, usa la configuración **Global (CloudFront)**.
1. Edite el grupo de reglas según sea necesario. Puede editar las propiedades mutables del grupo de reglas, de forma similar a como lo hizo durante la creación. La consola guarda los cambios sobre la marcha.
**nota**
Si cambias el nombre de una regla y quieres que el nombre de la métrica de la regla refleje el cambio, también debes actualizar el nombre de la métrica. AWS WAF no actualiza automáticamente el nombre de la métrica de una regla cuando se cambia el nombre de la regla. Puede cambiar el nombre de la métrica al editar la regla en la consola mediante el editor de reglas de JSON. También puede cambiar ambos nombres en cualquier lista de APIs JSON que utilice para definir su paquete de protección (ACL web) o grupo de reglas.
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
# Uso del grupo de reglas en un paquete de protección (ACL web)
Para usar un grupo de reglas en un paquete de protección (ACL web), agréguelo al paquete de protección (ACL web) en una instrucción de referencia del grupo de reglas.
**Riesgo de tráfico de producción**
Antes de implementar cambios en su paquete de protección (ACL web) para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**
El uso de más de 1500 unidades WCUs en un paquete de protección (ACL web) conlleva costes superiores al precio del paquete de protección básico (ACL web). Para obtener más información, consulte [Unidades de capacidad de ACL web (WCUs) en AWS WAF](aws-waf-capacity-units.md) y [Precios de AWS WAF](https://aws.amazon.com/waf/pricing/).
**Para utilizar un grupo de reglas**
1. Inicie sesión Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).
1. Elija el nombre del grupo de reglas que desea usar.
1. Elija **Agregar reglas** y, a continuación, elija **Agregar mis propias reglas y grupos de reglas**.
1. Seleccione **Grupo de reglas** y seleccione el grupo de reglas de la lista.
En su paquete de protección (ACL web), puede modificar el comportamiento de un grupo de reglas y sus reglas con la configuración de las acciones de reglas individuales en Count o cualquier otra acción. Esto puede ayudarlo a realizar tareas como probar un grupo de reglas, identificar los falsos positivos de las reglas de un grupo de reglas y personalizar la forma en que un grupo de reglas administradas gestiona sus solicitudes. Para obtener más información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).
Si su grupo de reglas contiene una instrucción basada en tasas, cada paquete de protección (ACL web) en el que utilice el grupo de reglas tiene su propio seguimiento y administración de tasas independiente para la regla basada en tasas, sin importar cualquier otro paquete de protección (ACL web) en le que utilice el grupo de reglas. Para obtener más información, consulte [Uso de declaraciones de reglas basadas en tasas en AWS WAF](waf-rule-statement-type-rate-based.md).
**Incoherencias temporales durante las actualizaciones**
Al crear o cambiar un paquete de protección (ACL web) u otros AWS WAF recursos, los cambios tardan un poco en propagarse a todas las áreas donde se almacenan los recursos. El tiempo de propagación puede oscilar entre unos segundos y varios minutos.
A continuación, se proporcionan ejemplos de incoherencias temporales que podría notar durante la propagación de los cambios:
+ Después de crear un paquete de protección (ACL web), si intenta asociarlo a un recurso, es posible que se produzca una excepción que indique que el paquete de protección (ACL web) no está disponible.
+ Después de agregar un grupo de reglas a un paquete de protección (ACL web), las nuevas reglas del grupo de reglas pueden estar en vigor en un área en la que se usa el paquete de protección (ACL web) y no en otra.
+ Tras cambiar la configuración de una acción de regla, es posible que vea la acción anterior en algunos lugares y la acción nueva en otros.
+ Después de agregar una dirección IP a un conjunto de IP que está en uso dentro de una regla de bloqueo, es posible que la nueva dirección se bloquee en un área, pero que se permita en otra.
# Eliminación de un grupo de reglas
Siga las instrucciones que se detallan en esta sección para eliminar un grupo de reglas.
**Eliminación de conjuntos o grupos de reglas al que se hace referencia**
Al eliminar una entidad que puede usar en un paquete de protección (ACL web), como un conjunto de direcciones IP, un conjunto de patrones de expresiones regulares o un grupo de reglas, AWS WAF comprueba si la entidad se está utilizando actualmente en un paquete de protección (ACL web). Si descubre que está en uso, AWS WAF le avisa. AWS WAF casi siempre puede determinar si un paquete de protección (ACL web) hace referencia a una entidad. No obstante, es posible que en algunos casos no consiga hacerlo. Si necesita asegurarse de que ninguna entidad esté utilizando actualmente la entidad, compruébela en sus paquetes de protección (web ACLs) antes de eliminarla. Si la entidad es un conjunto al que se hace referencia, verifique que ningún grupo de reglas la esté utilizando.
**Para eliminar un grupo de reglas:**
1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. En el panel de navegación, elija **Rule groups** (Grupos de reglas).
1. Seleccione el grupo de reglas que desea eliminar y, a continuación, haga clic en **Delete (Eliminar)**.
**nota**
Si no ve el grupo de reglas que desea eliminar, compruebe la selección de regiones en la sección **Grupos de reglas**. Para los grupos de reglas que se utilizan para proteger CloudFront las distribuciones de Amazon, usa la configuración **Global (CloudFront)**.
# Cómo compartir un grupo de reglas
Puede compartir un grupo de reglas con otras cuentas para que lo usen esas cuentas.
**Compartir un grupo de reglas**
Puede compartirlo con una o más cuentas específicas y con todas las cuentas de una organización.
Para compartir un grupo de reglas, usa la AWS WAF API para crear una política para el uso compartido del grupo de reglas que desee. Para obtener más información, consulta [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html) en la *AWS WAF Referencia de la API de *.
**Uso de un grupo de reglas que se haya compartido con usted**
Si se ha compartido un grupo de reglas con su cuenta, puede acceder a él a través de la API y hacer referencia a él cuando cree o actualice sus paquetes de protección (web ACLs) a través de la API. Para obtener más información [GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html), consulte [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) y [UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) en la *referencia de la AWS WAF API*. Los grupos de reglas que se comparten con usted no aparecen en la lista de grupos de reglas de la AWS WAF consola.
# AWS Marketplace grupos de reglas
En esta sección se explica cómo utilizar los grupos de AWS Marketplace reglas.
AWS Marketplace Los grupos de reglas están disponibles mediante suscripción a través de la AWS Marketplace consola en [AWS Marketplace](https://aws.amazon.com/marketplace). Después de suscribirse a un grupo de AWS Marketplace reglas, puede usarlo en AWS WAF. Para usar un grupo de AWS Marketplace reglas en una AWS Firewall Manager AWS WAF política, todas las cuentas de la organización deben suscribirse a él.
**Puede suscribirse a distintos tipos de grupos de reglas mediante AWS Marketplace:**
+ AWS WAF grupos de reglas gestionados por socios
+ Protecciones del cliente
Pruebe y ajuste cualquier cambio en sus AWS WAF protecciones antes de utilizarlas para el tráfico de producción. Para obtener información, consulte [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**AWS Marketplace Precios por grupos de reglas**
AWS Marketplace Los grupos de reglas están disponibles sin contratos a largo plazo ni compromisos mínimos. Cuando te suscribes a un grupo de reglas, se te cobra una tarifa mensual (prorrateada por hora) y una tarifa de solicitud continua en función del volumen. Sin embargo, solo se le cobrará la cuota de suscripción cuando añada el grupo de reglas suscrito a una ACL web y comience a usarlo. Para obtener más información, consulte [AWS WAF los precios](https://aws.amazon.com/waf/pricing/) y la descripción de cada grupo de AWS Marketplace reglas en [AWS Marketplace](https://aws.amazon.com/marketplace).
**¿Tiene alguna pregunta sobre un grupo de AWS Marketplace reglas?**
Si tienes preguntas sobre un grupo de reglas gestionado por un AWS Marketplace vendedor y si deseas solicitar cambios en la funcionalidad, ponte en contacto con el equipo de atención al cliente del proveedor. Para encontrar la información de contacto, consulte el listado del proveedor en [AWS Marketplace](https://aws.amazon.com/marketplace).
El proveedor del grupo de AWS Marketplace reglas determina cómo administrar el grupo de reglas, por ejemplo, cómo actualizar el grupo de reglas y si el grupo de reglas está versionado. El proveedor también determina los detalles del grupo de reglas, incluidas las reglas, las acciones de reglas y cualquier etiqueta que las reglas agreguen a las solicitudes web coincidentes.
## Suscribirse a grupos de reglas AWS Marketplace
Puedes suscribirte y cancelar tu suscripción a los grupos de AWS Marketplace reglas en la AWS WAF consola.
**importante**
Para usar un grupo de AWS Marketplace reglas en una AWS Firewall Manager política, cada cuenta de la organización debe suscribirse primero a ese grupo de reglas.
**Para suscribirse a un grupo de AWS Marketplace reglas**
1. Inicie sesión en Consola de administración de AWS y abra la AWS WAF consola en [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. En el panel de navegación, elija **Protecciones complementarias**.
1. En la sección **AWS Marketplace**, seleccione el nombre de un grupo de reglas para ver detalles e información sobre precios.
**sugerencia**
Use los filtros para ordenar rápidamente las reglas que más le interesan. Por ejemplo, puede usar el filtro de **Categoría** para ver únicamente las protecciones del cliente.
1. Para suscribirse a un grupo de AWS Marketplace reglas:
1. Navegue a un grupo de reglas y seleccione **Suscribirse mediante Marketplace**.
1. En la página de Marketplace que se abre, seleccione **Ver opciones de compra** y, a continuación, seleccione **Suscribirse**.
**nota**
Si decide no suscribirse al grupo de reglas, simplemente cierre la ventana emergente.
Después de suscribirse a un grupo de AWS Marketplace reglas, lo usa en sus paquetes de protección (web ACLs) del mismo modo que lo hace con otros grupos de reglas administrados. Para obtener información, consulte [Creación de un paquete de protección (ACL web) en AWS WAF](web-acl-creating.md).
Al agregar un grupo de reglas a un paquete de protección (ACL web), puede anular las acciones de las reglas del grupo de reglas y el resultado del grupo de reglas. Para obtener más información, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md).
## Cancelar la suscripción a los grupos de reglas AWS Marketplace
Puede darse de baja de los grupos de AWS Marketplace reglas en la AWS Marketplace consola.
**importante**
Para detener los cargos de suscripción de un grupo de AWS Marketplace reglas, debe eliminarlo de todos los paquetes de protección (web ACLs) incluidos en AWS WAF cualquier AWS WAF política de Firewall Manager, además de cancelar la suscripción a él. Si cancela la suscripción a un grupo de AWS Marketplace reglas pero no lo elimina de sus paquetes de protección (web ACLs), se le seguirá cobrando la suscripción.
**Para cancelar la suscripción a un grupo de AWS Marketplace reglas**
1. Elimine el grupo de reglas de todos los paquetes de protección (web ACLs). Para obtener más información, consulte [Edición de un paquete de protección (ACL web) en AWS WAF](web-acl-editing.md).
1. Abra la AWS consola en [https://console.aws.amazon.com/market.](https://console.aws.amazon.com/marketplace)
Aparece la página **Administrar suscripciones**.
1. Abra la lista de **Método de entrega** y seleccione **SaaS**.
1. En **Acuerdo**, abra la **lista de acciones** y elija **Cancelar la suscripción** junto al nombre del grupo de reglas del que desea cancelar la suscripción.
1. En el cuadro de diálogo **Cancelar la suscripción**, introduzca **confirm** y, a continuación, seleccione **Sí, cancelar la suscripción**.
## Solución de problemas de grupos de AWS Marketplace reglas
Si descubre que un grupo de AWS Marketplace reglas bloquea el tráfico legítimo, puede solucionar el problema siguiendo estos pasos.
**Para solucionar problemas de un grupo de reglas AWS Marketplace**
1. Anule las acciones de recuento de las reglas que bloquean el tráfico legítimo. Puede identificar qué reglas bloquean solicitudes específicas mediante las solicitudes AWS WAF muestreadas o AWS WAF los registros. Puede identificar las reglas si consulta el campo `ruleGroupId` en el registro o la regla `RuleWithinRuleGroup` en la solicitud muestreada. Puede identificar la regla en el patrón de `##`.
1. Si establecer reglas específicas para que solo cuenten las solicitudes no resuelve el problema, puedes anular todas las acciones de la regla o cambiar la acción del propio grupo de AWS Marketplace reglas de **No anular a **anular**** el recuento. Esto permite el paso de la solicitud web, independientemente de las acciones de las reglas individuales incluidas en el grupo de reglas.
1. Tras anular la acción de la regla individual o toda la acción del grupo de AWS Marketplace reglas, ponte en contacto con el equipo de atención al cliente del proveedor del grupo de reglas para seguir solucionando el problema. Para obtener información de contacto, consulte la lista de grupos de reglas en las páginas de listas de productos en AWS Marketplace.
### Contactar con el soporte AWS
Si tiene problemas con AWS WAF un grupo de reglas gestionado por él AWS, póngase en contacto con AWS Support. Si tienes problemas con un grupo de reglas gestionado por un AWS Marketplace vendedor, ponte en contacto con el equipo de atención al cliente del proveedor. Para encontrar la información de contacto, consulta el listado del proveedor en AWS Marketplace.
# Reconocimiento de grupos de reglas proporcionados por otros servicios
Si usted o un administrador de su organización utilizan AWS Firewall Manager o AWS Shield Advanced administran las protecciones de recursos mediante ellas AWS WAF, es posible que vea declaraciones de referencia de grupos de reglas agregadas a los paquetes de protección (web ACLs) de su cuenta.
Los nombres de estos grupos de reglas comienzan con las siguientes cadenas:
+ **`ShieldMitigationRuleGroup`**— Estos grupos de reglas se administran AWS Shield Advanced y utilizan para mitigar automáticamente los recursos de la capa de aplicación DDo S protegida de la capa de aplicación (capa 7).
Al habilitar la mitigación automática de la capa DDo S de aplicación para un recurso protegido, Shield Advanced agrega uno de estos grupos de reglas al paquete de protección (ACL web) que ha asociado al recurso. Shield Avanzado asigna a la instrucción de referencia del grupo de reglas una configuración de prioridad de 10 000 000, de modo que se ejecute según las reglas que haya configurado en el paquete de protección (ACL web). Para obtener más información acerca de estos grupos de reglas, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).
**aviso**
No intente administrar manualmente este grupo de reglas en su paquete de protección (ACL web). En particular, no elimine manualmente la instrucción de referencia del grupo de reglas de `ShieldMitigationRuleGroup` de su paquete de protección (ACL web). Hacerlo podría tener consecuencias imprevistas para todos los recursos asociados al paquete de protección (ACL web). En su lugar, utilice Shield Avanzado para deshabilitar la mitigación automática de los recursos asociados al paquete de protección (ACL web). Shield Avanzado eliminará el grupo de reglas por usted cuando no sea necesario para la mitigación automática.
+ **`PREFMManaged`y `POSTFMManaged`**: estos grupos de reglas se administran en AWS Firewall Manager función de las configuraciones de AWS WAF políticas del Firewall Manager. Firewall Manager proporciona estos grupos de reglas dentro de los paquetes de protección (web ACLs) que administra Firewall Manager.
Firewall Manager crea paquetes de protección (web ACLs) para usted con nombres que comienzan por`FMManagedWebACLV2`. También puede configurar Firewall Manager para modernizar sus paquetes de protección existentes (web ACLs). En estos casos, el nombre del paquete de protección (ACL web) es el que especificó al crearlo. En cualquier caso, Firewall Manager agregará estos grupos de reglas al paquete de protección (ACL web). Para obtener más información, consulte [Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).