Preparándose para probar sus AWS WAF protecciones

Prepararse para la prueba

1. Habilite el registro del paquete de protección o la ACL web, CloudWatch las métricas de Amazon y el muestreo de solicitudes web para el paquete de protección o la ACL web

   Utilice el registro, las métricas y el muestreo para supervisar la interacción del paquete de protección o las reglas de ACL web con el tráfico web.

   • Registro: puede configurarlo AWS WAF para registrar las solicitudes web que evalúa un paquete de protección o una ACL web. Puede enviar registros a CloudWatch registros, a un bucket de Amazon S3 o a una transmisión de entrega de Amazon Data Firehose. Puede redactar campos y aplicar filtros. Para obtener más información, consulte Paquete AWS WAF de protección de registro o tráfico ACL web.

   • Amazon Security Lake: puede configurar Security Lake para recopilar datos de paquetes de protección o ACL web. Security Lake recopila datos de registros y eventos de diversos orígenes para su normalización, análisis y administración. Para obtener información sobre esta opción, consulte ¿Qué es Amazon Security Lake? y Recopilación de datos de AWS los servicios de la guía del usuario de Amazon Security Lake.

   • CloudWatch Métricas de Amazon: en la configuración de su paquete de protección o ACL web, proporcione especificaciones métricas para todo lo que desee supervisar. Puede ver las métricas a través de las CloudWatch consolas AWS WAF y. Para obtener más información, consulte Monitorización con Amazon CloudWatch.

   • Muestra de solicitudes web: puede ver una muestra de todas las solicitudes web que evalúa su paquete de protección o ACL web. Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte Visualizar una muestra de solicitudes web.

2. Configuración de las protecciones en modo Count

   En la configuración de su paquete de protección o ACL web, cambie todo lo que desee probar al modo de recuento. Esto hace que las protecciones de prueba registren las coincidencias con las solicitudes web sin alterar la forma en que se gestionan las solicitudes. Podrá ver las coincidencias en sus métricas, registros y solicitudes muestreadas para verificar los criterios de coincidencia y comprender cuáles podrían ser los efectos en el tráfico web. Las reglas que agregan etiquetas a las solicitudes coincidentes agregarán etiquetas independientemente de la acción de regla.

   • Regla definida en el paquete de protección o ACL web: edite las reglas del paquete de protección o ACL web y defina sus acciones en ellasCount.

   • Grupo de reglas: en la configuración del paquete de protección o ACL web, edite la declaración de reglas del grupo de reglas y, en el panel Reglas, abra el menú desplegable Anular todas las acciones de la regla y elija. Count Si administra el paquete de protección o la ACL web en JSON, añada las reglas a la RuleActionOverrides configuración de la declaración de referencia del grupo de reglas, con el valor ActionToUse establecido en. Count En la siguiente lista de ejemplos, se muestran las anulaciones de dos reglas del grupo de reglas AWSManagedRulesAnonymousIpList AWS administradas.

       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },

     Para obtener más información sobre la anulación de las acciones de las reglas, consulte Invalidar acciones de reglas en un grupo de reglas.

     Para su propio grupo de reglas, no modifique las acciones de regla en el propio grupo de reglas. Las reglas de los grupos de reglas con acción Count no generan las métricas u otros artefactos que se necesitan para las pruebas. Además, el cambio de un grupo de reglas afecta a todos los paquetes de protección o sitios web ACLs que lo utilizan, mientras que los cambios en la configuración del paquete de protección o de la ACL web solo afectan al paquete de protección único o a la ACL web.

   • paquete de protección o ACL web: si está probando un nuevo paquete de protección o ACL web, defina la acción predeterminada para el paquete de protección o ACL web para permitir las solicitudes. Esto le permite probar la ACL web sin afectar al tráfico de ninguna manera.

   En general, el modo de recuento genera más coincidencias que el de producción. Esto se debe a que una regla que cuente las solicitudes no detiene la evaluación de la solicitud por parte del paquete de protección o la ACL web, por lo que las reglas que se ejecutan más adelante en el paquete de protección o en la ACL web también pueden coincidir con la solicitud. Cuando cambie las acciones de regla a su configuración de producción, las reglas que permiten o bloquean las solicitudes finalizarán la evaluación de las solicitudes que coincidan. Como resultado, las solicitudes coincidentes suelen inspeccionarse con menos reglas en el paquete de protección o en la ACL web. Para obtener más información acerca de los efectos de las acciones de regla en la evaluación general de una solicitud web, consulte Uso de acciones de reglas en AWS WAF.

   Con esta configuración, las nuevas protecciones no alterarán el tráfico web, sino que generarán información de coincidencia en las métricas, los paquetes de protección o los registros de ACL web y solicitarán muestras.

3. Asocie el paquete de protección o la ACL web a un recurso

   Si el paquete de protección o la ACL web aún no están asociados al recurso, asócielo.

   Consulte Asociar o disociar la protección a un recurso AWS.