Preparación para las pruebxas de sus protecciones de AWS WAF

Prepararse para la prueba

1. Habilite el registro para el paquete de protección (ACL web), las métricas de Amazon CloudWatch y el muestreo de solicitudes de la web para la ACL web.

   Utilice el registro, las métricas y el muestreo para monitorizar la interacción de las reglas del paquete de protección (ACL web) con el tráfico web.

   • Registro: puede configurar AWS WAF para registrar las solicitudes web que evalúa un paquete de protección (ACL web). Puede enviar registros a los registros de CloudWatch, a un bucket de Amazon S3 o a un flujo de entrega de Amazon Data Firehose. Puede redactar campos y aplicar filtros. Para obtener más información, consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.

   • Amazon Security Lake: puede configurar Security Lake para recopilar datos del paquete de protección (ACL web). Security Lake recopila datos de registros y eventos de diversos orígenes para su normalización, análisis y administración. Para obtener información sobre esta opción, consulte What is Amazon Security Lake? y Collecting data from AWS services en la guía del usuario de Amazon Security Lake.

   • Métricas de Amazon CloudWatch: en su configuración del paquete de protección (ACL web), proporcione especificaciones métricas para todo lo que desee monitorizar. También puede ver las métricas en AWS WAF y en las consolas de CloudWatch. Para obtener más información, consulte Supervisión con Amazon CloudWatch.

   • Muestreo de solicitudes web: puede ver una muestra de todas las solicitudes web que evalúa el paquete de protección (ACL web). Para obtener información sobre cómo el muestreo de las solicitudes de web, consulte Visualizar una muestra de solicitudes web.

2. Configuración de las protecciones en modo Count

   En su configuración del paquete de protección (ACL web), cambie todo lo que desee probar al modo de recuento. Esto hace que las protecciones de prueba registren las coincidencias con las solicitudes web sin alterar la forma en que se gestionan las solicitudes. Podrá ver las coincidencias en sus métricas, registros y solicitudes muestreadas para verificar los criterios de coincidencia y comprender cuáles podrían ser los efectos en el tráfico web. Las reglas que agregan etiquetas a las solicitudes coincidentes agregarán etiquetas independientemente de la acción de regla.

   • Regla definida en el paquete de protección (ACL web): edite las reglas en el paquete de protección (ACL web) y establezca sus acciones para Count.

   • Grupo de reglas: en su configuración del paquete de protección (ACL web), edite la instrucción de reglas del grupo de reglas y, en el panel Reglas, abra el menú desplegable Anular todas las acciones de regla y elija Count. Si administra el paquete de protección (ACL web) en JSON, agregue las reglas a la configuración RuleActionOverrides de la instrucción de referencia del grupo de reglas, con ActionToUse establecido en Count. En la siguiente lista de ejemplos, se muestran las anulaciones de dos reglas del grupo de reglas administradas AWSManagedRulesAnonymousIpList AWS.

       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },

     Para obtener más información sobre la anulación de las acciones de las reglas, consulte Invalidar acciones de reglas en un grupo de reglas.

     Para su propio grupo de reglas, no modifique las acciones de regla en el propio grupo de reglas. Las reglas de los grupos de reglas con acción Count no generan las métricas u otros artefactos que se necesitan para las pruebas. Además, cambiar un grupo de reglas afecta a todos los paquetes de protección (ACL web) que lo utilizan, mientras que los cambios en la configuración de las ACL web solo afectan a esa ACL web única.

   • paquete de protección (ACL web): si está probando un nuevo paquete de protección (ACL web), defina la acción predeterminada para que el paquete de protección (ACL web) permita las solicitudes. Esto le permite probar la ACL web sin afectar al tráfico de ninguna manera.

   En general, el modo de recuento genera más coincidencias que el de producción. Esto se debe a que una regla que cuenta las solicitudes no detiene la evaluación de la solicitud por parte del paquete de protección (ACL web), por lo que las reglas que se ejecutan más adelante en el paquete de protección (ACL web) también pueden coincidir con la solicitud. Cuando cambie las acciones de regla a su configuración de producción, las reglas que permiten o bloquean las solicitudes finalizarán la evaluación de las solicitudes que coincidan. Como resultado, las solicitudes coincidentes generalmente se inspeccionarán mediante un menor número de reglas en el paquete de protección (ACL web). Para obtener más información acerca de los efectos de las acciones de regla en la evaluación general de una solicitud web, consulte Utilización de acciones de reglas en AWS WAF.

   Con esta configuración, las nuevas protecciones no alterarán el tráfico web, sino que generarán información de coincidencia en las métricas, los registros del paquete de protección (ACL web) y los ejemplos de solicitudes.

3. Asociar el paquete de protección (ACL web) con un recurso

   Si el paquete de protección (ACL web) aún no está asociado al recurso, asócielo.

   Consulte Asociar o disociar la protección con un recurso de AWS.