**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS Règles gérées pour AWS WAF
<a name="aws-managed-rule-groups"></a>

Cette section explique AWS à quoi servent les AWS WAF règles gérées.

AWS Managed Rules for AWS WAF est un service géré qui fournit une protection contre les vulnérabilités des applications ou tout autre trafic indésirable. Vous avez la possibilité de sélectionner un ou plusieurs groupes de règles dans Règles AWS gérées pour chaque ACL Web, jusqu'à la limite de capacité maximale du pack de protection (ACL Web) (WCU). 

**Atténuer les faux positifs et tester les modifications des groupes de règles**  
Avant d'utiliser un groupe de règles géré en production, testez-le dans un environnement hors production conformément aux [Tester et ajuster vos AWS WAF protections](web-acl-testing.md) instructions de. Suivez les instructions de test et de réglage lorsque vous ajoutez un groupe de règles à votre pack de protection (ACL Web), pour tester une nouvelle version d'un groupe de règles et chaque fois qu'un groupe de règles ne gère pas votre trafic Web comme vous le souhaitez. 

**Responsabilités de sécurité partagées**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

**Important**  
AWS Les règles gérées sont conçues pour vous protéger contre les menaces Web les plus courantes. Lorsqu'ils sont utilisés conformément à la documentation, les groupes de règles AWS gérées ajoutent un niveau de sécurité supplémentaire à vos applications. Cependant, les groupes de règles AWS gérées ne sont pas destinés à remplacer vos responsabilités en matière de sécurité, qui sont déterminées par les AWS ressources que vous sélectionnez. Reportez-vous au [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) pour vous assurer que vos ressources AWS sont correctement protégées. 

# AWS Liste des groupes de règles gérées
<a name="aws-managed-rule-groups-list"></a>

Cette section fournit une liste des groupes de règles AWS gérées disponibles.

Cette section décrit les versions les plus récentes des groupes de règles AWS gérées. Vous les voyez sur la console lorsque vous ajoutez un groupe de règles géré à votre pack de protection (ACL Web). Grâce à l'API, vous pouvez récupérer cette liste ainsi que les groupes de AWS Marketplace règles auxquels vous êtes abonné en appelant`ListAvailableManagedRuleGroups`. 

**Note**  
Pour plus d'informations sur la récupération des versions d'un groupe de règles AWS gérées, consultez[Extraction des versions disponibles pour un groupe de règles géré](waf-using-managed-rule-groups-versions.md). 

Tous les groupes de règles AWS gérées prennent en charge l'étiquetage, et les listes de règles de cette section incluent les spécifications des étiquettes. Vous pouvez récupérer les étiquettes d'un groupe de règles géré via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la AvailableLabels propriété de la réponse. Pour plus d'informations sur l'étiquetage, consultez[Étiquetage des requêtes Web dans AWS WAF](waf-labels.md).

Testez et ajustez les modifications apportées à vos AWS WAF protections avant de les utiliser pour le trafic de production. Pour plus d'informations, consultez [Tester et ajuster vos AWS WAF protections](web-acl-testing.md).

**Contents**
+ [Groupes de règles de référence](aws-managed-rule-groups-baseline.md)
  + [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [Groupe de règles géré par la protection des administrateurs](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Groupes de règles spécifiques au cas d'utilisation](aws-managed-rule-groups-use-case.md)
  + [Groupe de règles géré par base de données SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [WordPress groupe de règles géré par les applications](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md)
  + [Groupe de règles géré par Amazon IP Reputation](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [Groupe de règles géré par liste d'adresses IP anonyme](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [Étiquettes ACFP](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [Liste des règles de prévention des fraudes relatives à la création de comptes](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [Étiquettes ATP](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [Liste des règles de prévention du piratage de compte](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md)
  + [Niveaux de protection](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [Étiquettes Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [Liste des règles de contrôle des bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)](aws-managed-rule-groups-anti-ddos.md)
  + [Considérations relatives à l'utilisation de ce groupe de règles](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [Étiquettes ajoutées par ce groupe de règles](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [Étiquettes à jetons](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [Étiquettes DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [Liste des règles DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Groupes de règles de référence
<a name="aws-managed-rule-groups-baseline"></a>

Les groupes de règles gérées de base offrent une protection générale contre une grande variété de menaces courantes. Choisissez un ou plusieurs de ces groupes de règles pour établir une protection de base pour vos ressources. 

## Groupe de règles géré par un ensemble de règles de base (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesCommonRuleSet`, WCU : 700

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles de base (CRS) contient des règles généralement applicables aux applications Web. Cela fournit une protection contre l'exploitation d'un large éventail de vulnérabilités, y compris certaines des vulnérabilités à haut risque et fréquentes décrites dans les publications de l'OWASP telles que le Top 10 de l'[OWASP](https://owasp.org/www-project-top-ten/). Envisagez d'utiliser ce groupe de règles pour tous les cas AWS WAF d'utilisation.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Vérifie les requêtes pour lesquelles il manque l'`User-Agent`en-tête HTTP. Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Vérifie les valeurs `User-Agent` d'en-tête communes qui indiquent que la demande est un robot défectueux. Les exemples de modèles incluent `nessus` et `nmap`. Pour la gestion des bots, voir également[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Inspecte les chaînes de requête d'URI de plus de 2 048 octets.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Vérifie la présence d'en-têtes de cookies de plus de 10 240 octets.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Vérifie les corps de demande dont la taille est supérieure à 8 Ko (8 192 octets).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Inspecte les chemins d'URI de plus de 1 024 octets.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 du corps de la demande.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Détecte les tentatives d'exfiltration des métadonnées Amazon EC2 du cookie de demande.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 depuis le chemin de l'URI de la demande.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Inspecte les tentatives d'exfiltration des métadonnées Amazon EC2 à partir des arguments de requête.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Inspecte la présence d'exploits LFI (Local File Inclusion) dans les arguments de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Inspecte la présence d'exploits LFI (Local File Inclusion) dans le chemin d'URI. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Inspecte la présence d'exploits LFI (Local File Inclusion) dans le corps de la demande. Les exemples incluent les tentatives de traversée de chemin en utilisant des techniques comme `../../`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Vérifie les demandes dont les chemins d'URI contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme `.log` et `.ini`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Vérifie les demandes dont les arguments de requête contiennent des extensions de fichiers système dont la lecture ou l'exécution ne sont pas sûres. Les exemples de modèles incluent des extensions comme `.log` et `.ini`.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en URLs incorporant des adresses. IPv4 Les exemples incluent des modèles tels que `http://` `https://``ftp://`,,`ftps://`, et`file://`, avec un en-tête d' IPv4 hôte dans la tentative d'exploitation.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Inspecte le corps de la demande pour détecter toute tentative d'exploitation de RFI (Remote File Inclusion) dans les applications Web en URLs incorporant des adresses. IPv4 Les exemples incluent des modèles tels que `http://` `https://``ftp://`,,`ftps://`, et`file://`, avec un en-tête d' IPv4 hôte dans la tentative d'exploitation.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Inspecte le chemin de l'URI pour détecter les tentatives d'exploitation de RFI (Remote File Inclusion) dans les applications Web en URLs incorporant des adresses. IPv4 Les exemples incluent des modèles tels que `http://` `https://``ftp://`,,`ftps://`, et`file://`, avec un en-tête d' IPv4 hôte dans la tentative d'exploitation.  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Inspecte les valeurs des en-têtes de cookies pour détecter les modèles courants de script intersite (XSS) à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Inspecte les valeurs des arguments de requête pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Inspecte le corps de la requête à la recherche de modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Inspecte la valeur du chemin d'URI pour détecter les modèles de script intersite (XSS) courants à l'aide de la fonction intégrée. AWS WAF [Instruction d'attaque par scripts inter-site de règle](waf-rule-statement-type-xss-match.md) Les exemples de modèles incluent des scripts comme `<script>alert("hello")</script>`.   Les détails de correspondance des règles dans les AWS WAF journaux ne sont pas renseignés pour la version 2.0 de ce groupe de règles.   Action de la règle Block Libellé : `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Groupe de règles géré par la protection des administrateurs
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesAdminProtectionRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Protection administrateur contient des règles qui vous permettent de bloquer l'accès externe aux pages administratives exposées. Cela peut être utile si vous exécutez un logiciel tiers ou si vous souhaitez réduire le risque qu'un acteur malveillant accède à votre application comme administrateur.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Inspecte les chemins d'URI qui sont généralement réservés à l'administration d'un serveur Web ou d'une application. Les exemples de modèles incluent `sqlmanager`.  Action de la règle Block Libellé : `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Groupe de règles géré pour les entrées erronées connues
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesKnownBadInputsRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Known Bad Inputs (Entrées défectueuses connues) contient des règles permettant de bloquer les modèles de demande connus comme non valides et associés à l'exploitation ou à la découverte de vulnérabilités. Cela peut aider à réduire le risque qu'un acteur malveillant ne découvre une application vulnérable.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Inspecte les clés et les valeurs des en-têtes de requêtes HTTP pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Inspecte le corps de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Inspecte l'URI de la demande pour détecter des modèles indiquant des tentatives d'exécution de commandes à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Inspecte la chaîne de requête à la recherche de modèles indiquant des tentatives d'exécution à distance (RCE) de désérialisation en Java, tels que les vulnérabilités Spring Core et Cloud Function RCE (CVE-22963, CVE-22965). Les exemples de modèles incluent `(java.lang.Runtime).getRuntime().exec("whoami")`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Inspecte l'en-tête de l'hôte dans la demande pour les modèles indiquant localhost. Les exemples de modèles incluent `localhost`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Inspecte la méthode HTTP dans la requête pour `PROPFIND`, qui est une méthode similaire à `HEAD`, mais avec l'intention supplémentaire d'exfiltrer des objets XML.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Inspecte le chemin URI pour les tentatives d'accès aux chemins d'application Web exploitables. Les exemples de modèles incluent des chemins comme `web-inf`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  [Inspecte les clés et les valeurs des en-têtes de requête pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  [Inspecte la chaîne de requête pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  [Inspecte le corps pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  [Inspecte le chemin de l'URI pour détecter la présence de la vulnérabilité Log4j ([CVE-2021-44228, [CVE-2021-45046, CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45046)](https://www.cve.org/CVERecord?id=CVE-2021-44228)) et protège contre les tentatives d'exécution de code à distance (RCE).](https://www.cve.org/CVERecord?id=CVE-2021-45105) Les exemples de modèles incluent `${jndi:ldap://example.com/}`.  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Inspecte le corps de la demande à la recherche de modèles indiquant la présence de CVE-2025-55182.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et AWS Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`CONTINUE`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Groupes de règles spécifiques au cas d'utilisation
<a name="aws-managed-rule-groups-use-case"></a>

Les groupes de règles spécifiques aux cas d'utilisation fournissent une protection incrémentielle pour de nombreux cas d'utilisation différents AWS WAF . Choisissez les groupes de règles qui s'appliquent à votre application. 

## Groupe de règles géré par base de données SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesSQLiRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Base de données SQL contient des règles pour bloquer les modèles de demande associés à l'exploitation des bases de données SQL, comme les attaques par injection SQL. Cela peut aider à empêcher l'injection à distance de requêtes non autorisées. Évaluez ce groupe de règles pour l'utiliser si votre application s'interface avec une base de données SQL.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter les valeurs de tous les paramètres de requête afin de détecter des modèles correspondant à du code SQL malveillant.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de la demande pour les modèles qui correspondent au code SQL malveillant. Les modèles détectés par cette règle ne sont pas couverts par la règle`SQLi_QUERYARGUMENTS`.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter le corps de la demande afin de détecter des modèles correspondant à du code SQL malveillant.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Inspecte le corps de la demande pour détecter les modèles correspondant à du code SQL malveillant. Les modèles détectés par cette règle ne sont pas couverts par la règle`SQLi_BODY`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter les en-têtes des cookies de demande afin de détecter des modèles correspondant à du code SQL malveillant.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Utilise le paramètre intégré AWS WAF [Instruction d'attaque par injection SQL de règle](waf-rule-statement-type-sqli-match.md), avec un niveau de sensibilité défini surLow, pour inspecter les en-têtes des cookies de demande afin de détecter des modèles correspondant à du code SQL malveillant.  Action de la règle Block Libellé : `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Groupe de règles géré par le système d'exploitation Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesLinuxRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles du système d'exploitation Linux contient des règles qui bloquent les modèles de demande associés à l'exploitation de vulnérabilités spécifiques à Linux, y compris les attaques LFI (Local File Inclusion) propres à Linux. Cela peut aider à prévenir les attaques qui exposent le contenu des fichiers ou exécutent du code auquel l'attaquant n'aurait pas dû avoir accès. Vous devez évaluer ce groupe de règles si une partie de votre application s'exécute sous Linux. Vous devez utiliser ce groupe de règles conjointement avec le groupe de règles [Système d'exploitation POSIX](#aws-managed-rule-groups-use-case-posix-os).

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| LFI\$1URIPATH |  Inspecte le chemin de la demane pour les tentatives d'exploitation des vulnérabilités LFI (Local File Inclusion) dans les applications Web. Les exemples de modèles incluent des fichiers comme `/proc/version`, qui pourraient fournir des informations sur le système d'exploitation aux attaquants.  Action de la règle Block Libellé : `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Inspecte les valeurs de la chaîne de requête pour détecter les tentatives d'exploitation des vulnérabilités d'inclusion de fichiers locaux (LFI) dans les applications Web. Les exemples de modèles incluent des fichiers comme `/proc/version`, qui pourraient fournir des informations sur le système d'exploitation aux attaquants.  Action de la règle Block Libellé : `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Inspecte les en-têtes des demandes pour détecter toute tentative d'exploitation des vulnérabilités d'inclusion de fichiers locaux (LFI) dans les applications Web. Les exemples de modèles incluent des fichiers comme `/proc/version`, qui pourraient fournir des informations sur le système d'exploitation aux attaquants.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:linux-os:LFI_Header`  | 

## Groupe de règles géré par le système d'exploitation POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesUnixRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Système d'exploitation POSIX contient des règles qui bloquent les modèles de demande associés à l'exploitation de vulnérabilités spécifiques aux systèmes d'exploitation POSIX et apparentés, y compris les attaques LFI (Local File Inclusion). Cela peut aider à prévenir les attaques qui exposent le contenu des fichiers ou exécutent du code auquel l'attaquant n'aurait pas dû avoir accès. Vous devez évaluer ce groupe de règles si une partie de votre application s'exécute sur un système d'exploitation POSIX ou apparenté, y compris Linux, AIX, HP-UX, macOS, Solaris, FreeBSD, OpenBSD et bien d'autres. 

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Inspecte les valeurs de la chaîne de requête pour détecter toute tentative d'exploitation des vulnérabilités liées à l'injection de commandes, au LFI et à la traversée de chemins dans les applications Web exécutées sur des systèmes Unix. Les exemples incluent des modèles comme `echo $HOME` et `echo $PATH`.  Action de la règle Block Libellé : `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Inspecte le corps de la requête pour les tentatives d'exploitation des vulnérabilités d'injection de commandes, de LFI et de traversée de chemin dans les applications Web qui s'exécutent sur des systèmes Unix. Les exemples incluent des modèles comme `echo $HOME` et `echo $PATH`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Inspecte tous les en-têtes de requêtes pour détecter toute tentative d'exploitation des vulnérabilités liées à l'injection de commandes, au LFI et à la traversée de chemins dans les applications Web exécutées sur des systèmes Unix. Les exemples incluent des modèles comme `echo $HOME` et `echo $PATH`.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Groupe de règles géré par le système d'exploitation Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesWindowsRuleSet`, WCU : 200

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles du système d'exploitation Windows contient des règles qui bloquent les modèles de demandes associés à l'exploitation de vulnérabilités spécifiques à Windows, telles que l'exécution à distance de PowerShell commandes. Cela permet d'empêcher l'exploitation de vulnérabilités qui permettent à un attaquant d'exécuter des commandes non autorisées ou d'exécuter du code malveillant. Évaluez ce groupe de règles si une partie de votre application s'exécute sur un système d'exploitation Windows.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Inspecte les en-têtes des cookies de demande pour détecter les tentatives d'injection de WindowsShell commandes dans les applications Web. Les modèles de correspondance représentent des WindowsShell commandes. Les exemples de modèles incluent `\|\|nslookup` et`;cmd`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'injection de WindowsShell commandes dans les applications Web. Les modèles de correspondance représentent des WindowsShell commandes. Les exemples de modèles incluent `\|\|nslookup` et`;cmd`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Inspecte le corps de la requête pour détecter les tentatives d'injection de WindowsShell commandes dans les applications Web. Les modèles de correspondance représentent des WindowsShell commandes. Les exemples de modèles incluent `\|\|nslookup` et`;cmd`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Inspecte les en-têtes des cookies de demande pour détecter les tentatives d'injection de PowerShell commandes dans les applications Web. Les modèles de correspondance représentent des PowerShell commandes. Par exemple, `Invoke-Expression`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Inspecte les valeurs de tous les paramètres de requête pour détecter les tentatives d'injection de PowerShell commandes dans les applications Web. Les modèles de correspondance représentent des PowerShell commandes. Par exemple, `Invoke-Expression`.  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Inspecte le corps de la requête pour détecter les tentatives d'injection de PowerShell commandes dans les applications Web. Les modèles de correspondance représentent des PowerShell commandes. Par exemple, `Invoke-Expression`.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## Groupe de règles géré par une application PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesPHPRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles Application PHP contient des règles qui bloquent les modèles de demande associés à l'exploitation de vulnérabilités spécifiques à l'utilisation du langage de programmation PHP, y compris l'injection de fonctions PHP dangereuses. Cela permet d'empêcher l'exploitation de vulnérabilités qui permettent à un attaquant d'exécuter à distance du code ou des commandes pour lesquels il n'est pas autorisé. Évaluez ce groupe de règles si PHP est installé sur un serveur avec lequel votre application s'interface.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Inspecte tous les en-têtes pour détecter les tentatives d'injection de code de script PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Cette règle inspecte uniquement les 8 premiers Ko des en-têtes de demande ou les 200 premiers en-têtes, selon la première limite atteinte, et utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Inspecte tout ce qui se trouve après le premier élément `?` de l'URL de requête, à la recherche de tentatives d'injection de code dans un script PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Inspecte les valeurs du corps de la demande pour les tentatives d'injection de code PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Cette règle inspecte uniquement le corps de la demande jusqu'à la limite de taille fixée pour le pack de protection (ACL Web) et le type de ressource. Pour Application Load Balancer et AWS AppSync, la limite est fixée à 8 Ko. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, la limite par défaut est de 16 Ko et vous pouvez l'augmenter jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Cette règle utilise l'`Continue`option de gestion du contenu surdimensionné. Pour de plus amples informations, veuillez consulter [Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Inspecte le chemin de requête pour détecter les tentatives d'injection de code de script PHP. Les exemples de modèles incluent des fonctions comme `fsockopen` et la variable `$_GET` superglobale.  Action de la règle Block Libellé : `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress groupe de règles géré par les applications
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesWordPressRuleSet`, WCU : 100

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles d' WordPress application contient des règles qui bloquent les modèles de demandes associés à l'exploitation de vulnérabilités spécifiques aux WordPress sites. Vous devez évaluer ce groupe de règles si vous courezWordPress. Ce groupe de règles doit être utilisé conjointement avec les groupes de règles [Base de données SQL](#aws-managed-rule-groups-use-case-sql-db) et [Application PHP](#aws-managed-rule-groups-use-case-php-app).

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Inspecte la chaîne de requête pour détecter les WordPress commandes à haut risque susceptibles d'être exploitées dans des installations ou des plugins vulnérables. Les exemples de modèles incluent des commandes comme `do-reset-wordpress`.  Action de la règle Block Libellé : `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Inspecte le chemin de l'URI de la demande pour WordPress les fichiers tels que`xmlrpc.php`, connus pour présenter des vulnérabilités facilement exploitables.  Action de la règle Block Libellé : `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Groupes de règles de réputation IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Les groupes de règles de réputation IP bloquent les demandes en fonction de leur adresse IP source. 

**Note**  
Ces règles utilisent l'adresse IP source à partir de l'origine de la requête Web. Si le trafic passe par un ou plusieurs proxys ou équilibreurs de charge, l'origine de la requête Web contiendra l'adresse du dernier proxy, et non l'adresse d'origine du client. 

Choisissez un ou plusieurs de ces groupes de règles si vous souhaitez réduire votre exposition au trafic de robot, aux tentatives d'exploitation ou si vous appliquez des restrictions géographiques à votre contenu. Pour la gestion des bots, voir également[AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md).

Les groupes de règles de cette catégorie ne fournissent pas de notifications de version ni de mise à jour SNS. 

## Groupe de règles géré par Amazon IP Reputation
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesAmazonIpReputationList`, WCU : 25

**Note**  
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles de la liste de réputation IP Amazon contient des règles basées sur les renseignements internes sur les menaces Amazon. Ceci est utile si vous souhaitez bloquer les adresses IP généralement associées à des robots ou à d'autres menaces. Le blocage de ces adresses IP peut aider à atténuer les robots et à réduire le risque qu'un acteur malveillant ne découvre une application vulnérable.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| AWSManagedIPReputationList |  Inspecte les adresses IP identifiées comme participant activement à des activités malveillantes. AWS WAF collecte la liste d'adresses IP auprès de diverses sources MadPot, notamment d'un outil de renseignement sur les menaces utilisé par Amazon pour protéger ses clients contre la cybercriminalité. Pour plus d'informations sur MadPot, voir[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Action de la règle Block Libellé : `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Inspecte les connexions provenant d'adresses IP qui effectuent une reconnaissance par rapport aux AWS ressources.  Action de la règle Block Libellé : `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Inspecte les adresses IP qui ont été identifiées comme participant activement aux activités DDo S.  Action de la règle Count Libellé : `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## Groupe de règles géré par liste d'adresses IP anonyme
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nom :`AWSManagedRulesAnonymousIpList`, WCU : 50

**Note**  
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles de liste d'adresses IP anonymes contient des règles visant à bloquer les demandes provenant de services qui permettent de masquer l'identité du téléspectateur. Il s'agit notamment des requêtes provenant de proxysVPNs, de nœuds Tor et de fournisseurs d'hébergement Web. Ce groupe de règles est utile si vous souhaitez filtrer les utilisateurs qui tentent de masquer leur identité auprès de votre application. Le blocage des adresses IP liées à ces services peut contribuer à limiter les robots et le non-respect des restrictions géographiques.

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| AnonymousIPList |  Inspecte la liste des adresses IP des sources connues pour anonymiser les informations client, telles que les nœuds TOR, les proxys temporaires et d'autres services de masquage.  Action de la règle Block Libellé : `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Recherche une liste d'adresses IP provenant de fournisseurs d'hébergement Web et de cloud, qui sont moins susceptibles de générer du trafic pour les utilisateurs finaux. La liste IP n'inclut pas les adresses AWS IP. Action de la règle Block Libellé : `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes
<a name="aws-managed-rule-groups-acfp"></a>

Cette section explique ce que fait le AWS WAF groupe de règles géré par Fraud Control pour la création de comptes et la prévention des fraudes (ACFP).

VendorName:`AWS`, Nom :`AWSManagedRulesACFPRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

L'ACFP ( AWS WAF Fraud Control Account Creation Fraud Prevention) gère les étiquettes des groupes de règles et gère les demandes susceptibles de faire partie de tentatives de création de compte frauduleuses. Pour ce faire, le groupe de règles inspecte les demandes de création de compte que les clients envoient aux points de terminaison d'enregistrement et de création de compte de votre application. 

Le groupe de règles ACFP inspecte les tentatives de création de comptes de différentes manières, afin de vous donner de la visibilité et de contrôler les interactions potentiellement malveillantes. Le groupe de règles utilise des jetons de demande pour recueillir des informations sur le navigateur du client et sur le niveau d'interactivité humaine lors de la création de la demande de création de compte. Le groupe de règles détecte et gère les tentatives de création de comptes en masse en agrégeant les demandes par adresse IP et par session client, et en les agrégeant selon les informations de compte fournies, telles que l'adresse physique et le numéro de téléphone. En outre, le groupe de règles détecte et bloque la création de nouveaux comptes à l'aide d'informations d'identification compromises, ce qui contribue à protéger le niveau de sécurité de votre application et de vos nouveaux utilisateurs. 

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-acfp-using"></a>

Ce groupe de règles nécessite une configuration personnalisée, qui inclut la spécification des chemins d'enregistrement et de création de compte de votre application. Sauf indication contraire, les règles de ce groupe de règles inspectent toutes les demandes que vos clients envoient à ces deux points de terminaison. Pour configurer et implémenter ce groupe de règles, consultez les instructions à l'adresse[AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md). 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

Ce groupe de règles n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito. Vous ne pouvez pas associer un pack de protection (ACL Web) qui utilise ce groupe de règles à un groupe d'utilisateurs, ni ajouter ce groupe de règles à un pack de protection (ACL Web) déjà associé à un groupe d'utilisateurs.

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-acfp-labels"></a>

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Ce groupe de règles génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:acfp:` suivi de l'espace de noms personnalisé et du nom de l'étiquette. Le groupe de règles peut ajouter plusieurs libellés à une demande. 

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

## Liste des règles de prévention des fraudes relatives à la création de comptes
<a name="aws-managed-rule-groups-acfp-rules"></a>

Cette section répertorie les règles ACFP `AWSManagedRulesACFPRuleSet` et les étiquettes que les règles du groupe de règles ajoutent aux requêtes Web.

Toutes les règles de ce groupe de règles nécessitent un jeton de requête Web, à l'exception des deux premières `UnsupportedCognitoIDP` et`AllRequests`. Pour une description des informations fournies par le jeton, consultez[AWS WAF caractéristiques du jeton](waf-tokens-details.md). 

Sauf indication contraire, les règles de ce groupe de règles inspectent toutes les demandes que vos clients envoient aux chemins de page d'enregistrement et de création de compte que vous fournissez dans la configuration du groupe de règles. Pour plus d'informations sur la configuration de ce groupe de règles, consultez[AWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP)](waf-acfp.md). 

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| UnsupportedCognitoIDP |  Vérifie le trafic Web destiné à un groupe d'utilisateurs Amazon Cognito. L'ACFP n'est pas disponible pour une utilisation avec les groupes d'utilisateurs Amazon Cognito, et cette règle permet de garantir que les autres règles du groupe de règles ACFP ne sont pas utilisées pour évaluer le trafic du groupe d'utilisateurs. Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:unsupported:cognito_idp` et `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Applique l'action de la règle aux demandes qui accèdent au chemin de la page d'enregistrement. Vous configurez le chemin de la page d'enregistrement lorsque vous configurez le groupe de règles.  Par défaut, cette règle s'applique Challenge aux demandes. En appliquant cette action, la règle garantit que le client obtient un jeton de défi avant que les demandes ne soient évaluées par les autres règles du groupe de règles.  Assurez-vous que vos utilisateurs finaux chargent le chemin de la page d'inscription avant de soumettre une demande de création de compte.  Les jetons sont ajoutés aux demandes par l'intégration de l'application client SDKs et par les actions de règles CAPTCHA etChallenge. Pour une acquisition de jetons la plus efficace possible, nous vous recommandons vivement d'utiliser l'intégration de l'application SDKs. Pour de plus amples informations, veuillez consulter [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).  Action de la règle Challenge Étiquettes : Aucune  | 
| RiskScoreHigh |  Inspecte les demandes de création de compte contenant des adresses IP ou d'autres facteurs considérés comme hautement suspects. Cette évaluation est généralement basée sur plusieurs facteurs contributifs, que vous pouvez voir dans les `risk_score` libellés que le groupe de règles ajoute à la demande. Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:risk_score:high` et `awswaf:managed:aws:acfp:RiskScoreHigh`  La règle peut également s'appliquer `medium` ou des étiquettes de score de `low` risque à la demande.  Si AWS WAF l'évaluation du score de risque pour la requête Web échoue, la règle ajoute l'étiquette `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` En outre, la règle ajoute des étiquettes avec l'espace de noms `awswaf:managed:aws:acfp:risk_score:contributor:` qui incluent le statut de l'évaluation du score de risque et les résultats pour les contributeurs spécifiques au score de risque, tels que les évaluations de réputation IP et d'informations d'identification volées.  | 
| SignalCredentialCompromised |  Recherche dans la base de données des informations d'identification volées les informations d'identification qui ont été soumises dans la demande de création de compte.  Cette règle garantit que les nouveaux clients initialisent leurs comptes avec une posture de sécurité positive.   Vous pouvez ajouter une réponse de blocage personnalisée, pour décrire le problème à votre utilisateur final et lui indiquer comment procéder. Pour plus d'informations, consultez [Exemple ACFP : réponse personnalisée pour des informations d'identification compromises](waf-acfp-control-example-compromised-credentials.md).  Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:signal:credential_compromised` et `awswaf:managed:aws:acfp:SignalCredentialCompromised`  Le groupe de règles applique l'étiquette associée suivante, mais ne prend aucune mesure, car les demandes de création de compte ne comporteront pas toutes des informations d'identification : `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Inspecte le jeton de la demande de création de compte à la recherche de données indiquant une interactivité humaine anormale avec l'application. L'interactivité humaine est détectée par le biais d'interactions telles que les mouvements de la souris et les pressions sur les touches. Si la page comporte un formulaire HTML, l'interactivité humaine inclut les interactions avec le formulaire.   Cette règle inspecte uniquement les demandes relatives au chemin de création du compte et n'est évaluée que si vous avez implémenté l'intégration SDKs de l'application. Les implémentations du SDK capturent passivement l'interactivité humaine et stockent les informations dans le jeton de demande. Pour plus d’informations, consultez [AWS WAF caractéristiques du jeton](waf-tokens-details.md) et [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).  Action de la règle CAPTCHA Étiquettes : Aucune. La règle détermine une correspondance en fonction de différents facteurs, de sorte qu'aucune étiquette individuelle ne s'applique à tous les scénarios de correspondance possibles. Le groupe de règles peut appliquer une ou plusieurs des étiquettes suivantes aux demandes :  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Vérifie s'il existe des indicateurs indiquant que le navigateur client pourrait être automatisé.  Action de la règle Block  Étiquettes : `awswaf:managed:aws:acfp:signal:automated_browser` et `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Inspecte le jeton de la demande pour détecter toute incohérence dans les données d'interrogation du navigateur. Pour de plus amples informations, veuillez consulter [AWS WAF caractéristiques du jeton](waf-tokens-details.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:acfp:signal:browser_inconsistency` et `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Détecte les volumes élevés de demandes de création de compte envoyées à partir d'adresses IP individuelles. Un volume élevé correspond à plus de 20 demandes dans une fenêtre de 10 minutes.  Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. En cas de volume élevé, quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.  Action de la règle CAPTCHA Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` et `awswaf:managed:aws:acfp:VolumetricIpHigh`  La règle applique les libellés suivants aux demandes présentant un volume moyen (plus de 15 demandes par fenêtre de 10 minutes) et un faible volume (plus de 10 demandes par fenêtre de 10 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` et`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.  | 
| VolumetricSessionHigh |  Inspecte les volumes élevés de demandes de création de compte envoyées lors de sessions client individuelles. Un volume élevé correspond à plus de 10 demandes dans une fenêtre de 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` et `awswaf:managed:aws:acfp:VolumetricSessionHigh`  Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 5 demandes par fenêtre de 30 minutes) et un volume faible (plus d'une demande par fenêtre de 30 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` et`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Détecte le taux élevé de demandes de création de compte provenant d'une seule session client utilisant des noms d'utilisateur différents. Le seuil pour une évaluation élevée est de plus de 10 demandes en 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` et `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 5 demandes par fenêtre de 30 minutes) et un faible volume (plus d'une demande par fenêtre de 30 minutes) de demandes de traversée de nom d'utilisateur, mais ne prend aucune mesure à leur sujet : `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` et`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Détecte les volumes élevés de demandes de création de compte utilisant le même numéro de téléphone. Le seuil pour une évaluation élevée est de plus de 10 demandes en 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` et `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 5 demandes par fenêtre de 30 minutes) et un volume faible (plus d'une demande par fenêtre de 30 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` et`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Détecte les volumes élevés de demandes de création de compte utilisant la même adresse physique. Le seuil pour une évaluation élevée est supérieur à 100 demandes par fenêtre de 30 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` et `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Inspecte les volumes faibles et moyens de demandes de création de compte utilisant la même adresse physique. Le seuil pour une évaluation moyenne est supérieur à 50 demandes par fenêtre de 30 minutes, et pour une évaluation faible, il est supérieur à 10 demandes par fenêtre de 30 minutes.  La règle applique l'action aux volumes moyens ou faibles.  Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle CAPTCHA Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` et `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Détecte un grand nombre de demandes de création de compte réussies pour une seule adresse IP. Cette règle regroupe les réponses positives de la ressource protégée aux demandes de création de compte. Le seuil pour une évaluation élevée est supérieur à 10 demandes par fenêtre de 10 minutes.  Cette règle permet de se protéger contre les tentatives de création de comptes en masse. Son seuil est inférieur à celui de la règle`VolumetricIpHigh`, qui ne compte que les demandes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une adresse IP, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion à partir de la même adresse IP. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de création de compte réussies que celles autorisées avant que la règle ne commence à correspondre lors des tentatives suivantes.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` et `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les chiffres sont basés sur une fenêtre de 10 minutes. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`pour plus de 5 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` pour plus d'une demande réussie, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` pour plus de 10 demandes ayant échoué, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` pour plus de 5 demandes ayant échoué et `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` pour plus d'une demande ayant échoué.   | 
| VolumetricSessionSuccessfulResponse |  Vérifie s'il y a peu de réponses satisfaisantes de la ressource protégée aux demandes de création de compte envoyées à partir d'une seule session client. Cela permet de se protéger contre les tentatives de création de comptes en masse. Le seuil pour une évaluation faible est supérieur à 1 demande par fenêtre de 30 minutes.  Cela permet de se protéger contre les tentatives de création de comptes en masse. Cette règle utilise un seuil inférieur à celui de la règle`VolumetricSessionHigh`, qui suit uniquement les demandes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une session client, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion effectuées au cours de la même session client. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de création de compte infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` et `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  Le groupe de règles applique également les libellés associés suivants aux demandes. Tous les comptes sont basés sur une fenêtre de 30 minutes. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`pour plus de 10 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` pour plus de 5 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` pour plus de 10 demandes ayant échoué, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` pour plus de 5 demandes ayant échoué et `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` pour plus d'une demande ayant échoué.   | 
| VolumetricSessionTokenReuseIp |  Inspecte les demandes de création de compte pour l'utilisation d'un seul jeton parmi plus de 5 adresses IP distinctes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` et `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)
<a name="aws-managed-rule-groups-atp"></a>

Cette section explique ce que fait le groupe de règles géré par AWS WAF Fraud Control Account Takeover Prevention (ATP).

VendorName:`AWS`, Nom :`AWSManagedRulesATPRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

L'ATP ( AWS WAF Fraud Control Account Takeover Prevention) gère les étiquettes des groupes de règles et gère les demandes susceptibles de faire partie de tentatives malveillantes de prise de contrôle de compte. Pour ce faire, le groupe de règles inspecte les tentatives de connexion que les clients envoient au point de terminaison de connexion de votre application. 
+ **Inspection des demandes** — ATP vous donne de la visibilité et un contrôle sur les tentatives de connexion anormales et les tentatives de connexion utilisant des informations d'identification volées, afin d'empêcher les prises de contrôle de comptes susceptibles de mener à des activités frauduleuses. ATP vérifie les combinaisons d'e-mails et de mots de passe par rapport à sa base de données d'identifiants volés, qui est régulièrement mise à jour à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web. ATP agrège les données par adresse IP et par session client afin de détecter et de bloquer les clients qui envoient trop de demandes suspectes. 
+ **Inspection des réponses** — Pour les CloudFront distributions, en plus d'inspecter les demandes de connexion entrantes, le groupe de règles ATP inspecte les réponses de votre application aux tentatives de connexion, afin de suivre les taux de réussite et d'échec. À l'aide de ces informations, ATP peut bloquer temporairement les sessions client ou les adresses IP présentant trop d'échecs de connexion. AWS WAF effectue une inspection des réponses de manière asynchrone, afin de ne pas augmenter la latence de votre trafic Web. 

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-atp-using"></a>

Ce groupe de règles nécessite une configuration spécifique. Pour configurer et implémenter ce groupe de règles, consultez les instructions sur[AWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP)](waf-atp.md). 

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

Ce groupe de règles n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito. Vous ne pouvez pas associer un pack de protection (ACL Web) qui utilise ce groupe de règles à un groupe d'utilisateurs, ni ajouter ce groupe de règles à un pack de protection (ACL Web) déjà associé à un groupe d'utilisateurs.

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-atp-labels"></a>

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton et les informations de défi et de CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

Le groupe de règles géré par ATP génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:atp:` suivi de l'espace de noms personnalisé et du nom de l'étiquette. 

Le groupe de règles peut ajouter l'une des étiquettes suivantes en plus des étiquettes indiquées dans la liste des règles :
+ `awswaf:managed:aws:atp:signal:credential_compromised`— Indique que les informations d'identification soumises dans la demande se trouvent dans la base de données des informations d'identification volées. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponible uniquement pour les CloudFront distributions Amazon protégées. Indique qu'une session client a envoyé plusieurs demandes utilisant une empreinte TLS suspecte. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`— Indique l'utilisation d'un seul jeton parmi plus de 5 adresses IP distinctes. Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'étiquette ne soit appliquée. 

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

## Liste des règles de prévention du piratage de compte
<a name="aws-managed-rule-groups-atp-rules"></a>

Cette section répertorie les règles ATP `AWSManagedRulesATPRuleSet` et les étiquettes que les règles du groupe de règles ajoutent aux requêtes Web.

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 


| Nom de la règle | Description et étiquette | 
| --- | --- | 
| UnsupportedCognitoIDP | Vérifie le trafic Web destiné à un groupe d'utilisateurs Amazon Cognito. ATP n'est pas disponible pour une utilisation avec les groupes d'utilisateurs Amazon Cognito, et cette règle permet de garantir que les autres règles des groupes de règles ATP ne sont pas utilisées pour évaluer le trafic des groupes d'utilisateurs. Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:unsupported:cognito_idp` et `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Détecte les volumes élevés de demandes envoyées à partir d'adresses IP individuelles. Un volume élevé correspond à plus de 20 demandes dans une fenêtre de 10 minutes.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. En cas de volume élevé, quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` et `awswaf:managed:aws:atp:VolumetricIpHigh`  Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 15 demandes par fenêtre de 10 minutes) et un volume faible (plus de 10 demandes par fenêtre de 10 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` et`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Inspecte les volumes élevés de demandes envoyées lors de sessions client individuelles. Le seuil est supérieur à 20 demandes par fenêtre de 30 minutes.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:session` et `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent des informations d'identification volées.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` et `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent le changement de nom d'utilisateur.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` et `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Vérifie la présence de plusieurs demandes utilisant le même nom d'utilisateur et utilisant la traversée de mots de passe.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` et `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent des sessions de longue durée. Le seuil est de plus de 6 heures de trafic faisant l'objet d'au moins une demande de connexion toutes les 30 minutes. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:attribute:long_session` et `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Inspecte les demandes contenant des jetons rejetées par la gestion des AWS WAF jetons.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle Block Étiquettes : Aucune. Pour vérifier si un jeton a été rejeté, utilisez une règle de correspondance d'étiquette correspondant à l'étiquette :`awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Vérifie les demandes dont les informations d'identification ne contiennent pas le nom d'utilisateur ou le mot de passe.  Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:signal:missing_credential` et `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Recherche les adresses IP qui ont récemment été à l'origine d'un taux trop élevé de tentatives de connexion infructueuses. Un volume élevé correspond à plus de 10 demandes de connexion échouées provenant d'une adresse IP dans une fenêtre de 10 minutes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une adresse IP, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion à partir de la même adresse IP. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de connexion infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes.   Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` et `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les chiffres sont basés sur une fenêtre de 10 minutes. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`pour plus de 5 demandes ayant échoué, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` pour plus d'une demande échouée, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` pour plus de 10 demandes réussies, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` pour plus de 5 demandes réussies et `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` pour plus d'une demande réussie.   | 
| VolumetricSessionFailedLoginResponseHigh |  Vérifie les sessions client qui ont récemment été à l'origine d'un taux trop élevé de tentatives de connexion infructueuses. Un volume élevé correspond à plus de 10 demandes de connexion échouées depuis une session client sur une période de 30 minutes.  Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec.  Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une session client, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion effectuées au cours de la même session client. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles.   AWS WAF évalue cette règle uniquement dans les packs de protection (Web ACLs) qui protègent les CloudFront distributions Amazon.   Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de connexion infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes.   Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle Block Étiquettes : `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` et `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les comptes sont basés sur une fenêtre de 30 minutes. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`pour plus de 5 demandes ayant échoué, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` pour plus d'une demande échouée, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` pour plus de 10 demandes réussies, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` pour plus de 5 demandes réussies et `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` pour plus d'une demande réussie.   | 

# AWS WAF Groupe de règles Bot Control
<a name="aws-managed-rule-groups-bot"></a>

Cette section explique ce que fait le groupe de règles géré par Bot Control.

VendorName:`AWS`, Nom :`AWSManagedRulesBotControlRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin d'une nouvelle classification de bots pour Bot Control ou si vous avez besoin d'informations supplémentaires qui ne sont pas abordées ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/).

Le groupe de règles gérées par Bot Control fournit des règles qui gèrent les demandes des robots. Les robots peuvent consommer des ressources excédentaires, fausser les indicateurs commerciaux, provoquer des interruptions de service et mener des activités malveillantes. 

## Niveaux de protection
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

Le groupe de règles gérées par Bot Control fournit deux niveaux de protection parmi lesquels vous pouvez choisir : 
+ **Fréquent** : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier. 
+ **Ciblé** : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant la limitation du débit, le CAPTCHA et les défis liés au navigateur en arrière-plan. 
  + **`TGT_`**— Les règles qui fournissent une protection ciblée portent des noms commençant par`TGT_`. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux. 
  + **`TGT_ML_`**— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant par`TGT_ML_`. Ces règles utilisent une analyse automatisée par apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL précédemment visitées, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque l'apprentissage automatique est désactivé, AWS WAF n'évalue pas ces règles. 

Le niveau de protection ciblé et l'énoncé de règle AWS WAF basé sur le taux permettent tous deux de limiter le débit. Pour une comparaison des deux options, voir[Options de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées](waf-rate-limiting-options.md).

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-bot-using"></a>

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions de[Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

Nous mettons régulièrement à jour nos modèles d'apprentissage automatique (ML) pour les règles basées sur le niveau de protection ciblé, afin d'améliorer les prévisions des robots. Les règles basées sur le ML ont des noms commençant par. `TGT_ML_` Si vous remarquez un changement soudain et substantiel dans les prédictions des robots établies par ces règles, contactez-nous par l'intermédiaire de votre responsable de compte ou ouvrez un dossier auprès [AWS Support du Center](https://console.aws.amazon.com/support/home#/). 

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-bot-labels"></a>

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton et les informations de défi et de CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes Bot Control
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

Le groupe de règles géré par Bot Control génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:bot-control:` suivi de l'espace de noms personnalisé et du nom de l'étiquette. Le groupe de règles peut ajouter plusieurs libellés à une demande. 

Chaque étiquette reflète les conclusions de la règle Bot Control : 
+ `awswaf:managed:aws:bot-control:bot:`— Informations sur le bot associé à la demande. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`— Le nom du bot, s'il est disponible, par exemple, les espaces de noms personnalisés `bot:name:slurp``bot:name:googlebot`, et`bot:name:pocket_parser`. 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifie le bot spécifique à l'aide du jeton de produit RFC issu de la signature WBA. Ceci est utilisé pour créer des règles personnalisées granulaires pour des robots spécifiques. Par exemple, autorisez les autres robots d'exploration, `GoogleBot` mais limitez leur débit. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— La catégorie du bot, telle que définie par AWS WAF, par exemple, `bot:category:search_engine` et`bot:category:content_fetcher`. 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Pour les robots utilisant Amazon Bedrock Agent Core uniquement. Cette étiquette contient un hachage opaque identifiant de manière unique le AWS compte propriétaire de l'agent. Utilisez cette étiquette pour créer des règles personnalisées qui autorisent, bloquent ou limitent le débit des robots provenant de AWS comptes spécifiques sans que le compte soit affiché IDs dans les journaux.
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Appliqué lorsque la validation de l'authentification par bot Web (WBA) est effectuée sur une demande. Le suffixe d'état indique le résultat de la vérification :
    + `web_bot_auth:verified`— Signature validée avec succès par rapport au répertoire des clés publiques
    + `web_bot_auth:invalid`— Signature présente mais échec de la validation cryptographique
    + `web_bot_auth:expired`— La signature a utilisé une clé cryptographique expirée
    + `web_bot_auth:unknown_bot`— Identifiant de clé introuvable dans le répertoire des clés
**Note**  
Lorsque l'`web_bot_auth:verified`étiquette est présente, les `TGT_TokenAbsent` règles `CategoryAI` et ne correspondent pas, ce qui permet aux hôtes WBA vérifiés de continuer.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`— L'éditeur du bot, par exemple,`bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`— Utilisé pour indiquer un bot qui s'identifie et que Bot Control a pu vérifier. Ceci est utilisé pour les robots les plus courants et peut être utile lorsqu'il est combiné avec des étiquettes de catégorie `bot:category:search_engine` ou des étiquettes de nom telles que`bot:name:googlebot`. 
**Note**  
Bot Control utilise l'adresse IP de l'origine de la requête Web pour déterminer si un bot est vérifié. Vous ne pouvez pas le configurer pour utiliser la configuration IP AWS WAF transférée, pour inspecter une autre source d'adresses IP. Si vous avez vérifié que des robots sont acheminés via un proxy ou un équilibreur de charge, vous pouvez ajouter une règle qui s'exécute avant le groupe de règles Bot Control pour vous aider. Configurez votre nouvelle règle pour utiliser l'adresse IP transférée et autoriser explicitement les demandes provenant des robots vérifiés. Pour plus d'informations sur l'utilisation des adresses IP transférées, consultez[Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifie le fournisseur ou l'opérateur d'un bot vérifié. Actuellement disponible uniquement pour Agentcore. À utiliser pour créer des règles personnalisées qui autorisent ou bloquent des fournisseurs de robots spécifiques, quels que soient les noms de robots individuels.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`— Utilisé pour indiquer un bot similaire à un bot vérifié, mais qui peut être directement invoqué par les utilisateurs finaux. Cette catégorie de bot est traitée par les règles du Bot Control comme un bot non vérifié. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`— Utilisé pour indiquer un bot similaire à un bot vérifié, mais utilisé par les plateformes de développement pour la création de scripts, par exemple Google Apps Script. Cette catégorie de bot est traitée par les règles du Bot Control comme un bot non vérifié. 
  + `awswaf:managed:aws:bot-control:bot:unverified`— Utilisé pour indiquer un bot qui s'identifie, afin qu'il puisse être nommé et classé, mais qui ne publie pas d'informations pouvant être utilisées pour vérifier son identité de manière indépendante. Ces types de signatures de robots peuvent être falsifiés et sont donc considérés comme non vérifiés. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `— Utilisé pour les étiquettes spécifiques aux protections ciblées Bot Control. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>`et `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> ` — Utilisé pour fournir des informations supplémentaires sur la demande dans certaines situations. 

  Vous trouverez ci-dessous des exemples d'étiquettes de signal. Cette liste n'est pas exhaustive :
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`— Indique un fournisseur de services cloud (CSP) pour la demande. Cela CSPs inclut `aws` l'infrastructure Amazon Web Services, `gcp` l'infrastructure Google Cloud Platform (GCP), `azure` les services cloud Microsoft Azure et `oracle` les services Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`— Indique la détection d'une extension de navigateur qui facilite l'automatisation, telle que Selenium IDE. 

    Cette étiquette est ajoutée chaque fois qu'un utilisateur a installé ce type d'extension, même s'il ne l'utilise pas activement. Si vous implémentez une règle de correspondance des libellés à cet effet, soyez conscient de la possibilité de faux positifs dans la logique de la règle et dans les paramètres d'action. Par exemple, vous pouvez utiliser une CAPTCHA action à la place de Block ou vous pouvez combiner cette correspondance d'étiquette avec d'autres correspondances d'étiquettes, afin de vous assurer que l'automatisation est utilisée.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`— Indique que la demande contient des indicateurs indiquant que le navigateur client est peut-être automatisé.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indique que le AWS WAF jeton de la demande contient des indicateurs indiquant que le navigateur client est peut-être automatisé.

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

Le groupe de règles géré par Bot Control applique des étiquettes à un ensemble de robots vérifiables généralement autorisés. Le groupe de règles ne bloque pas ces robots vérifiés. Si vous le souhaitez, vous pouvez les bloquer, ou un sous-ensemble d'entre eux, en écrivant une règle personnalisée qui utilise les étiquettes appliquées par le groupe de règles géré par Bot Control. Pour plus d'informations à ce sujet et pour des exemples, consultez[AWS WAF Contrôle des robots](waf-bot-control.md).

## Liste des règles de contrôle des bots
<a name="aws-managed-rule-groups-bot-rules"></a>

Cette section répertorie les règles de contrôle des robots.

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin d'une nouvelle classification de bots pour Bot Control ou si vous avez besoin d'informations supplémentaires qui ne sont pas abordées ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/).


| Nom de la règle | Description | 
| --- | --- | 
| CategoryAdvertising |  Inspecte les robots utilisés à des fins publicitaires. Par exemple, vous pouvez utiliser des services publicitaires tiers qui doivent accéder par programmation à votre site Web.  Action de règle, appliquée uniquement aux robots non vérifiés : Block Étiquettes : `awswaf:managed:aws:bot-control:bot:category:advertising` et `awswaf:managed:aws:bot-control:CategoryAdvertising`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Inspecte les robots utilisés à des fins d'archivage. Ces robots explorent le Web et capturent du contenu dans le but de créer des archives. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:archiver` et `awswaf:managed:aws:bot-control:CategoryArchiver`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Détecte les robots qui visitent le site Web de l'application pour le compte d'un utilisateur, pour récupérer du contenu tel que des flux RSS ou pour vérifier ou valider votre contenu.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:content_fetcher` et `awswaf:managed:aws:bot-control:CategoryContentFetcher`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Détecte les robots qui vérifient les liens contenus dans les e-mails pointant vers le site Web de l'application. Cela peut inclure des robots gérés par des entreprises et des fournisseurs de messagerie, pour vérifier les liens contenus dans les e-mails et signaler les e-mails suspects. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:email_client` et `awswaf:managed:aws:bot-control:CategoryEmailClient`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Inspecte les requêtes générées par des robots à partir des bibliothèques HTTP de différents langages de programmation. Il peut s'agir de demandes d'API que vous choisissez d'autoriser ou de surveiller. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:http_library` et `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Détecte les robots qui vérifient la présence de liens rompus.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:link_checker` et `awswaf:managed:aws:bot-control:CategoryLinkChecker`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Inspecte les robots divers qui ne correspondent pas aux autres catégories.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:miscellaneous` et `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Inspecte les robots utilisés à des fins de surveillance. Par exemple, vous pouvez utiliser des services de surveillance de bots qui envoient régulièrement des requêtes ping au site Web de votre application pour surveiller des éléments tels que les performances et le temps de disponibilité. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:monitoring` et `awswaf:managed:aws:bot-control:CategoryMonitoring`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Détecte les robots qui génèrent des aperçus de pages et des aperçus de liens lorsque du contenu est partagé sur des plateformes de messagerie, des réseaux sociaux ou des outils de collaboration. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:page_preview` et `awswaf:managed:aws:bot-control:CategoryPagePreview`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Inspecte les robots à partir des frameworks de scraping Web, qui sont utilisés pour automatiser l'exploration et l'extraction du contenu des sites Web.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:scraping_framework` et `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Inspecte les robots des moteurs de recherche, qui explorent les sites Web pour indexer le contenu et rendre les informations disponibles pour les résultats des moteurs de recherche. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:search_engine` et `awswaf:managed:aws:bot-control:CategorySearchEngine`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Détecte les robots qui analysent les applications Web à la recherche de vulnérabilités ou qui effectuent des audits de sécurité. Par exemple, vous pouvez faire appel à un fournisseur de sécurité tiers qui analyse, surveille ou audite la sécurité de votre application Web. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:security` et `awswaf:managed:aws:bot-control:CategorySecurity`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Inspecte les robots utilisés pour l'optimisation des moteurs de recherche. Par exemple, vous pouvez utiliser des outils de moteur de recherche qui explorent votre site pour vous aider à améliorer votre classement dans les moteurs de recherche.  Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:seo` et `awswaf:managed:aws:bot-control:CategorySeo`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Détecte les robots utilisés par les plateformes de réseaux sociaux pour fournir des résumés de contenu lorsque les utilisateurs partagent votre contenu. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:social_media` et `awswaf:managed:aws:bot-control:CategorySocialMedia`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Détecte les robots qui fournissent des notifications et des mises à jour de données automatisées d'une application à l'autre par le biais de rappels HTTP. Action de règle, appliquée uniquement aux robots non vérifiés : Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:webhooks` et `awswaf:managed:aws:bot-control:CategoryWebhooks`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie ainsi que l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Inspecte les robots dotés d'intelligence artificielle (IA).  Cette règle applique l'action à tous les matchs, que les robots soient vérifiés ou non. Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:bot:category:ai` et `awswaf:managed:aws:bot-control:CategoryAI`  Pour les robots vérifiés, le groupe de règles correspond à cette règle et exécute une action. Il ajoute également le nom du bot et l'étiquetage des catégories, l'étiquetage des règles et l'étiquette`awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Inspecte les demandes qui ne proviennent pas de robots vérifiés pour détecter des indicateurs indiquant que le navigateur du client pourrait être automatisé. Les navigateurs automatisés peuvent être utilisés pour les tests ou le scraping. Par exemple, vous pouvez utiliser ces types de navigateurs pour surveiller ou vérifier le site Web de votre application. Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:signal:automated_browser` et `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.  | 
| SignalKnownBotDataCenter |  Inspecte les demandes qui ne proviennent pas de robots vérifiés à la recherche d'indicateurs de centres de données généralement utilisés par des robots.  Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:signal:known_bot_data_center` et `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.  | 
| SignalNonBrowserUserAgent |  Inspecte les requêtes qui ne proviennent pas de robots vérifiés pour détecter les chaînes d'agent utilisateur qui ne semblent pas provenir d'un navigateur Web. Cette catégorie peut inclure les demandes d'API.  Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` et `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.  | 
| TGT\$1VolumetricIpTokenAbsent |  Inspecte les demandes qui ne proviennent pas de robots vérifiés et qui ont reçu au moins 5 demandes d'un seul client au cours des 5 dernières minutes et qui n'incluent pas de jeton de défi valide. Pour plus d'informations sur les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  Il est possible que cette règle corresponde à une demande contenant un jeton si des jetons ont récemment été manquants dans les demandes du même client.  Le seuil appliqué par cette règle peut varier légèrement en raison de la latence.   Cette règle gère les jetons manquants différemment de l'étiquetage des jetons :`awswaf:managed:token:absent`. L'étiquetage des jetons permet d'étiqueter les demandes individuelles pour lesquelles il n'y a pas de jeton. Cette règle tient à jour le nombre de demandes dont le jeton est manquant pour chaque adresse IP du client, et elle le compare aux demandes dont le jeton dépasse la limite.  Action de la règle Challenge  Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` et `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Inspecte les demandes qui ne proviennent pas de robots vérifiés qui n'incluent pas de jeton de défi valide. Pour plus d'informations sur les jetons, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  Action de la règle Count  Étiquettes : `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Détecte un nombre anormalement élevé de demandes ne provenant pas de robots vérifiés et provenant d'une seule session client dans une fenêtre de 5 minutes. L'évaluation est basée sur une comparaison avec des lignes de base volumétriques standard qui utilisent les AWS WAF modèles de trafic historiques.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  L'entrée en vigueur de cette règle peut prendre 5 minutes après son activation. Bot Control identifie les comportements anormaux de votre trafic Web en comparant le trafic actuel aux bases de trafic calculées. AWS WAF   Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` et `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  Le groupe de règles applique les libellés suivants aux demandes de volume moyen et inférieur supérieures à un seuil minimum. Pour ces niveaux, la règle ne prend aucune action, que le client soit vérifié ou non : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` et`awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Détecte un nombre anormalement élevé de demandes ne provenant pas de robots vérifiés et provenant d'une seule session client dans une fenêtre de 5 minutes. L'évaluation est basée sur une comparaison avec des lignes de base volumétriques standard qui utilisent les AWS WAF modèles de trafic historiques.  Cette règle indique le niveau de confiance maximal dans l'évaluation. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).  L'entrée en vigueur de cette règle peut prendre 5 minutes après son activation. Bot Control identifie les comportements anormaux de votre trafic Web en comparant le trafic actuel aux bases de trafic calculées. AWS WAF   Action de la règle Block  Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` et `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Inspecte les jetons des demandes qui ne proviennent pas de robots vérifiés pour détecter des indicateurs indiquant que le navigateur du client pourrait être automatisé. Pour de plus amples informations, veuillez consulter [AWS WAF caractéristiques du jeton](waf-tokens-details.md). Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` et `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Inspecte les demandes qui ne proviennent pas de robots vérifiés et qui indiquent la présence d'une extension de navigateur facilitant l'automatisation, telle que Selenium IDE. Cette règle s'applique chaque fois qu'un utilisateur a installé ce type d'extension, même s'il ne l'utilise pas activement.  Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` et `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Inspecte les requêtes qui ne proviennent pas de robots vérifiés pour détecter toute incohérence dans les données d'interrogation du navigateur. Pour de plus amples informations, veuillez consulter [AWS WAF caractéristiques du jeton](waf-tokens-details.md). Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions de règles CAPTCHA etChallenge. Pour de plus amples informations, veuillez consulter [Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md). Action de la règle CAPTCHA  Étiquettes : `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` et `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés pour détecter tout comportement anormal correspondant à une activité distribuée et coordonnée des robots. Les niveaux de règles indiquent le niveau de confiance selon lequel un groupe de demandes participe à une attaque coordonnée.   Ces règles ne s'exécutent que si le groupe de règles est configuré pour utiliser l'apprentissage automatique (ML). Pour plus d'informations sur la configuration de ce choix, consultez[Ajout du groupe de règles géré par AWS WAF Bot Control à votre ACL Web](waf-bot-control-rg-using.md).   Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   AWS WAF effectue cette inspection par le biais d'une analyse par apprentissage automatique des statistiques de trafic du site Web. AWS WAF analyse le trafic Web toutes les quelques minutes et optimise l'analyse pour détecter les robots de faible intensité et de longue durée répartis sur de nombreuses adresses IP.  Ces règles peuvent correspondre sur un très petit nombre de demandes avant de déterminer qu'une attaque coordonnée n'est pas en cours. Donc, si vous ne voyez qu'une ou deux correspondances, les résultats peuvent être des faux positifs. Cependant, si vous voyez de nombreux matchs échapper à ces règles, vous êtes probablement victime d'une attaque coordonnée.   Ces règles peuvent prendre jusqu'à 24 heures pour entrer en vigueur une fois que vous avez activé les règles ciblées Bot Control avec l'option ML. Bot Control identifie les comportements anormaux de votre trafic Web en comparant le trafic actuel aux bases de trafic calculées AWS WAF . AWS WAF calcule les lignes de base uniquement lorsque vous utilisez les règles ciblées Bot Control avec l'option ML, et l'établissement de bases de référence significatives peut prendre jusqu'à 24 heures.   Nous mettons régulièrement à jour nos modèles d'apprentissage automatique en fonction de ces règles, afin d'améliorer les prévisions des robots. Si vous remarquez un changement soudain et substantiel dans les prédictions des robots établies par ces règles, contactez votre responsable de compte ou ouvrez un dossier auprès [AWS Support du Center](https://console.aws.amazon.com/support/home#/).  Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton parmi plusieurs IPs au cours des 5 dernières minutes. Chaque niveau est limité au nombre de joueurs distincts IPs :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton dans plusieurs pays au cours des 5 dernières minutes. Chaque niveau limite le nombre de pays distincts :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton sur plusieurs numéros de systèmes autonomes réseau (ASNs) au cours des 5 dernières minutes. Chaque niveau est limité au nombre de joueurs distincts ASNs :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.   Actions relatives aux règles :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Étiquettes : `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` et `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)
<a name="aws-managed-rule-groups-anti-ddos"></a>

Cette section décrit le groupe de règles AWS WAF géré pour la protection contre les attaques par déni de service distribué (DDoS).

VendorName:`AWS`, Nom :`AWSManagedRulesAntiDDoSRuleSet`, WCU : 50

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 

Le groupe de règles gérées DDo anti-S fournit des règles qui détectent et gèrent les demandes qui participent ou sont susceptibles de participer à des attaques DDo S. En outre, le groupe de règles étiquette toutes les demandes qu'il évalue lors d'un événement probable. 

## Considérations relatives à l'utilisation de ce groupe de règles
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Ce groupe de règles fournit des mesures d'atténuation souples et strictes pour les requêtes Web destinées à des ressources soumises à une attaque DDo S. Pour détecter différents niveaux de menace, vous pouvez ajuster la sensibilité des deux types d'atténuation à des niveaux de suspicion élevés, moyens ou faibles.
+ **Atténuation souple** : le groupe de règles peut envoyer des défis de navigateur silencieux en réponse à des demandes capables de gérer le défi interstitiel. Pour plus d'informations sur les conditions requises pour exécuter le défi, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md).
+ **Atténuation stricte** : le groupe de règles peut bloquer complètement les demandes. 

Pour plus d'informations sur le fonctionnement du groupe de règles et sur sa configuration, consultez[Protection DDo anti-S avancée à l'aide du groupe de règles géré AWS WAF DDo anti-S](waf-anti-ddos-advanced.md). 

**Note**  
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing/).

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez [Atténuation intelligente des menaces dans AWS WAF](waf-managed-protections.md).

Pour minimiser les coûts et optimiser la gestion du trafic, utilisez ce groupe de règles conformément aux meilleures pratiques. Consultez [Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF](waf-managed-protections-best-practices.md).

## Étiquettes ajoutées par ce groupe de règles
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Ce groupe de règles géré ajoute des étiquettes aux requêtes Web qu'il évalue, lesquelles sont accessibles aux règles exécutées après ce groupe de règles dans votre pack de protection (ACL Web). AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous [Étiquetage des requêtes Web](waf-labels.md) aux sections et[Métriques et dimensions des étiquettes](waf-metrics.md#waf-metrics-label). 

### Étiquettes à jetons
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client. 

Pour plus d'informations sur les jetons et leur gestion, consultez[Utilisation de jetons pour l'atténuation AWS WAF intelligente des menaces](waf-tokens.md).

Pour plus d'informations sur les composants de l'étiquette décrits ici, voir[Syntaxe des étiquettes et exigences de dénomination dans AWS WAF](waf-rule-label-requirements.md).

**Libellé de session client**  
L'étiquette `awswaf:managed:token:id:identifier` contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait. 

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquette d'empreinte digitale du navigateur**  
L'étiquette `awswaf:managed:token:fingerprint:fingerprint-identifier` contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

**Note**  
AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

**Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes**  
Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient. 

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants : 
+ `awswaf:managed:token:`— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton. 
+ `awswaf:managed:captcha:`— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton. 

**Étiquettes d'état des jetons : noms des étiquettes**  
Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton : 
+ `accepted`— Le jeton de demande est présent et contient les éléments suivants : 
  + Un défi ou une solution CAPTCHA valide.
  + Un défi ou un horodatage CAPTCHA non expiré.
  + Spécification de domaine valide pour le pack de protection (ACL Web). 

  Exemple : L'étiquette `awswaf:managed:token:accepted` indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
+ `rejected`— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation. 

  Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison. 
  + `rejected:not_solved`— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton. 
  + `rejected:expired`— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection (ACL Web). 
  + `rejected:domain_mismatch`— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection (ACL Web). 
  + `rejected:invalid`— AWS WAF n'a pas pu lire le jeton indiqué. 

  Exemple : `awswaf:managed:captcha:rejected:expired` ensemble, les `awswaf:managed:captcha:rejected` libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection (ACL Web).
+ `absent`— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire. 

  Exemple : L'étiquette `awswaf:managed:captcha:absent` indique que la demande ne contient pas le jeton. 

### Étiquettes DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

Le groupe de règles gérées Anti- DDo S génère des étiquettes avec le préfixe d'espace de noms `awswaf:managed:aws:anti-ddos:` suivi de tout espace de noms personnalisé et du nom de l'étiquette. Chaque étiquette reflète certains aspects des résultats DDo anti-S.

Le groupe de règles peut ajouter plusieurs des libellés suivants à une demande, en plus des libellés ajoutés par des règles individuelles. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indique que la demande est destinée à une ressource protégée pour laquelle le groupe de règles géré détecte un événement DDo S. Le groupe de règles géré détecte les événements lorsque le trafic vers la ressource présente un écart significatif par rapport à la ligne de base de trafic de la ressource. 

  Le groupe de règles ajoute cette étiquette à chaque demande envoyée à la ressource lorsqu'elle est dans cet état, de sorte que le trafic légitime et le trafic d'attaque obtiennent cette étiquette. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`— Indique que la demande provient d'une source suspectée de participer à un événement. 

  Outre l'étiquette générale, le groupe de règles ajoute les étiquettes suivantes qui indiquent le niveau de confiance. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indique une demande d'attaque DDo S probable.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indique une demande d'attaque DDo S très probable.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indique une demande d'attaque DDo S très probable.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`— Indique que l'URI de la demande est capable de gérer l'Challengeaction. Le groupe de règles géré l'applique à toute demande dont l'URI n'est pas exemptée. URIs sont exemptés s'ils correspondent aux expressions régulières d'URI exemptées du groupe de règles. 

  Pour plus d'informations sur les exigences relatives aux requêtes susceptibles de relever le défi d'un navigateur silencieux, consultez[CAPTCHAet comportement Challenge d'action](waf-captcha-and-challenge-actions.md).

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelant`DescribeManagedRuleGroup`. Les étiquettes sont répertoriées dans la `AvailableLabels` propriété de la réponse. 

Le groupe de règles gérées Anti- DDo S applique des libellés aux demandes, mais n'agit pas toujours en conséquence. La gestion des demandes dépend de la confiance avec laquelle le groupe de règles détermine la participation à une attaque. Si vous le souhaitez, vous pouvez gérer les demandes que le groupe de règles labellise en ajoutant une règle de correspondance d'étiquettes qui s'exécute après le groupe de règles. Pour plus d'informations à ce sujet et pour des exemples, consultez[AWS WAF Prévention du déni de service distribué (DDoS)](waf-anti-ddos.md).

## Liste des règles DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

Cette section répertorie les règles DDo anti-S.

 

**Note**  
Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) Pour plus d'informations sur les autres versions, utilisez la commande API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.   
Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le [AWS Support Centre](https://console.aws.amazon.com/support/home#/). 


| Nom de la règle | Description | 
| --- | --- | 
| ChallengeAllDuringEvent |  Correspond aux demandes portant l'`awswaf:managed:aws:anti-ddos:challengeable-request`étiquette de toute ressource protégée actuellement attaquée.  Action de la règle Challenge Vous ne pouvez remplacer cette action de règle que par Allow ouCount. L'utilisation de n'Allowest pas recommandée. Quel que soit le paramètre d'action d'une règle, la règle ne correspond qu'aux demandes `challengeable-request` portant l'étiquette. La configuration de cette règle influe sur l'évaluation de la règle suivante,`ChallengeDDoSRequests`. AWS WAF évalue cette règle uniquement lorsque l'action associée à cette règle est définie surCount, dans la configuration du groupe de règles géré par l'ACL Web.  Si votre charge de travail est vulnérable à des variations inattendues du volume de demandes, nous vous recommandons de contester toutes les demandes contestables, en conservant le paramètre d'action par défaut deChallenge. Pour les applications moins sensibles, vous pouvez définir l'action de cette règle sur, Count puis ajuster la sensibilité de vos Challenge réponses en fonction de la règle`ChallengeDDoSRequests`.  Étiquettes : `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Correspond aux demandes pour une ressource protégée qui respectent ou dépassent le paramètre de sensibilité aux défis configuré du groupe de règles, pendant les périodes où la ressource est attaquée.  Action de la règle Challenge Vous ne pouvez remplacer cette action de règle que par Allow ouCount. L'utilisation de n'Allowest pas recommandée. Dans tous les cas, la règle ne correspond qu'aux demandes `challengeable-request` portant l'étiquette. AWS WAF n'évalue cette règle que si vous remplacez l'action par celle de Count la règle précédente,. `ChallengeAllDuringEvent`  Étiquettes : `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Correspond aux demandes pour une ressource protégée qui respectent ou dépassent le paramètre de sensibilité aux blocs configuré du groupe de règles, pendant les périodes où la ressource est attaquée.  Action de la règle Block Étiquettes : `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Déploiements pour les groupes de règles AWS gérées versionnés
<a name="waf-managed-rule-groups-deployments"></a>

Cette section explique comment AWS déployer les mises à jour des groupes de règles AWS gérées.

AWS déploie les modifications apportées à ses groupes de règles AWS gérées versionnés dans trois déploiements standard : version candidate, version statique et version par défaut. En outre, il AWS peut parfois être nécessaire de publier un déploiement d'exception ou d'annuler le déploiement d'une version par défaut. 

**Note**  
Cette section s'applique uniquement aux groupes de règles AWS gérées qui sont versionnés. Les seuls groupes de règles qui ne sont pas versionnés sont les groupes de règles de réputation IP. 

**Topics**
+ [Notifications pour les déploiements de groupes de règles AWS gérées](waf-managed-rule-groups-deployments-notifications.md)
+ [Vue d'ensemble des déploiements standard pour les règles AWS gérées](waf-managed-rule-groups-deployments-standard.md)
+ [États de version typiques pour les règles AWS gérées](waf-managed-rule-groups-typical-version-states.md)
+ [Publiez des déploiements candidats pour les règles AWS gérées](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Déploiements de versions statiques pour les règles AWS gérées](waf-managed-rule-groups-deployments-static-version.md)
+ [Déploiements de versions par défaut pour AWS Managed Rules](waf-managed-rule-groups-deployments-default-version.md)
+ [Déploiements exceptionnels pour les règles AWS gérées](waf-managed-rule-groups-deployments-exceptions.md)
+ [Annulations de déploiement par défaut pour les règles AWS gérées](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Notifications pour les déploiements de groupes de règles AWS gérées
<a name="waf-managed-rule-groups-deployments-notifications"></a>

Cette section explique comment les notifications Amazon SNS fonctionnent avec les groupes de règles AWS gérées.

Les groupes de règles AWS gérées versionnés fournissent tous des notifications de mise à jour SNS pour les déploiements et utilisent tous la même rubrique SNS Amazon Resource Name (ARN). Les seuls groupes de règles qui ne sont pas versionnés sont les groupes de règles de réputation IP. 

Pour les déploiements qui affectent vos protections, tels que les modifications apportées à la version par défaut, AWS fournit des notifications SNS pour vous informer des déploiements planifiés et pour vous indiquer quand un déploiement commence. Pour les déploiements qui n'affectent pas vos protections, tels que les déploiements de versions candidates et de versions statiques, vous pouvez AWS être averti une fois le déploiement commencé ou même une fois celui-ci terminé. Une fois le déploiement d'une nouvelle version statique terminé, AWS met à jour ce guide, dans le journal des modifications [AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md) et dans la page d'historique du document à l'adresse. [Historique du document](doc-history.md) 

Pour recevoir toutes les AWS mises à jour relatives aux groupes de règles AWS gérées, abonnez-vous au flux RSS depuis n'importe quelle page HTML de ce guide et abonnez-vous à la rubrique SNS relative aux groupes de règles AWS gérées. Pour plus d'informations sur l'abonnement aux notifications SNS, consultez. [Être informé des nouvelles versions et des mises à jour d'un groupe de règles géré](waf-using-managed-rule-groups-sns-topic.md)

**Contenu des notifications SNS**  
Les champs des notifications Amazon SNS incluent toujours l'objet, le message et. MessageAttributes Les champs supplémentaires dépendent du type de message et du groupe de règles géré auquel la notification est destinée. Voici un exemple de liste de notifications pour`AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Vue d'ensemble des déploiements standard pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS déploie de nouvelles fonctionnalités de règles AWS gérées en trois étapes de déploiement standard : version candidate, version statique et version par défaut. 

Le schéma suivant décrit ces déploiements standard. Chacune est décrite plus en détail dans les sections qui suivent. 

![\[Quatre couloirs de nage verticaux présentent différentes étapes de déploiement standard. Le swimlane le plus à gauche montre la version par défaut définie sur la version statique recommandée 1.4. Le deuxième swimlane indique que la version par défaut est une version Release Candidate (RC) à des fins de test et de réglage. La version RC contient 1.4 règles et règles RC. Une note indique qu'après le test, la version statique recommandée est rétablie par défaut. Le troisième swimlane montre la création d'une version statique 1.5 à partir des règles de la version candidate à la publication. Le quatrième swimlane montre la version par défaut définie sur la nouvelle version statique recommandée 1.5.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# États de version typiques pour les règles AWS gérées
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalement, un groupe de règles géré versionné possède un certain nombre de versions statiques non expirées, et la version par défaut pointe vers la version statique recommandée. AWS La figure suivante montre un exemple d'ensemble typique de versions statiques et de paramètres de version par défaut. 

![\[Trois versions statiques Version_1.2, Version_1.3 et Version_1.4 sont empilées, avec Version_1.4 en haut. La version 1.4 comporte deux règles, RuleA et RuleB, toutes deux comportant une action de production. Un indicateur de version par défaut pointe vers Version_1.4.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


L'action de production pour la plupart des règles d'une version statique l'estBlock, mais elle peut être définie différemment. Pour des informations détaillées sur les paramètres d'action des règles, consultez la liste des règles pour chaque groupe de règles à l'adresse[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md). 

# Publiez des déploiements candidats pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

Cette section explique le fonctionnement d'un déploiement de version candidate à une version temporaire.

Lorsqu'un ensemble de règles candidat AWS est modifié pour un groupe de règles géré, il les teste dans le cadre d'un déploiement de version temporaire candidate. AWS évalue les règles candidates en mode comptage par rapport au trafic de production et effectue les dernières activités de réglage, notamment en atténuant les faux positifs. AWS les tests publient les règles candidates de cette manière pour tous les clients qui utilisent la version par défaut du groupe de règles. Les déploiements de versions candidates ne s'appliquent pas aux clients qui utilisent une version statique du groupe de règles.

Si vous utilisez la version par défaut, le déploiement d'une version candidate ne modifiera pas la façon dont votre trafic Web est géré par le groupe de règles. Vous remarquerez peut-être ce qui suit lors du test des règles relatives aux candidats : 
+ Le nom de version par défaut passe de `Default (using Version_X.Y)` à`Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Indicateurs de comptage supplémentaires sur Amazon CloudWatch avec leur nom `RC_COUNT` dans leur nom. Elles sont générées par les règles des versions candidates.

AWS teste une version candidate pendant environ une semaine, puis la supprime et rétablit la version par défaut sur la version statique actuellement recommandée. 

AWS exécute les étapes suivantes pour le déploiement d'une version candidate : 

1. **Créer la version candidate** : AWS ajoute une version candidate en fonction de la version statique actuellement recommandée, qui est la version vers laquelle pointe la version par défaut. 

   Le nom de la version candidate est le nom de version statique auquel est ajouté. `_PLUS_RC_COUNT` Par exemple, si la version statique actuellement recommandée est la version statique`Version_2.1`, la version candidate sera nommée`Version_2.1_PLUS_RC_COUNT`.

   La version candidate contient les règles suivantes : 
   + Règles copiées exactement à partir de la version statique actuellement recommandée, sans modification de la configuration des règles. 
   + Nouvelles règles candidates dont l'action est définie sur Count et dont les noms se terminent par`_RC_COUNT`. 

     La plupart des règles candidates proposent des améliorations aux règles qui existent déjà dans le groupe de règles. Le nom de chacune de ces règles est le nom de la règle existante auquel est ajouté. `_RC_COUNT` 

1. **Définissez la version par défaut sur la version candidate et testez** : AWS définit la version par défaut pour qu'elle pointe vers la nouvelle version candidate, afin d'effectuer des tests par rapport à votre trafic de production. Les tests prennent généralement environ une semaine.

    Vous verrez le nom de la version par défaut passer de celui qui indique uniquement la version statique, par exemple`Default (using Version_1.4)`, à un nom qui indique la version statique plus les règles relatives aux versions candidates, telles que`Default (using Version_1.4_PLUS_RC_COUNT)`. Ce schéma de dénomination vous permet d'identifier la version statique que vous utilisez pour gérer votre trafic Web. 

   Le schéma suivant montre l'état des exemples de versions de groupes de règles à ce stade.   
![\[En haut de la figure se trouvent trois versions statiques empilées, avec Version_1.4 en haut. La version Version_1.4_Plus_RC_Count est séparée de la pile de versions statiques. Cette version contient les règles de Version_1.4 et contient également deux règles candidates à la version, RuleB_RC_Count et Rulez_RC_Count, toutes deux dotées d'une action de comptage. L'indicateur de version par défaut pointe vers Version_1.4_Plus_RC_Count.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   Les règles des versions candidates sont toujours configurées avec des Count actions, de sorte qu'elles ne modifient pas la façon dont le groupe de règles gère le trafic Web. 

   Les règles relatives aux versions candidates génèrent des indicateurs de CloudWatch comptage Amazon qui sont AWS utilisés pour vérifier le comportement et identifier les faux positifs. AWS effectue les ajustements nécessaires, pour ajuster le comportement des règles de dénombrement des candidats à la publication. 

   La version candidate n'est pas une version statique et vous ne pouvez pas la choisir dans la liste des versions de groupes de règles statiques. Vous pouvez uniquement voir le nom de la version candidate dans la spécification de version par défaut.

1. **Rétablir la version par défaut à la version statique recommandée** : après avoir testé les règles de la version candidate AWS , rétablit la version par défaut sur la version statique recommandée actuelle. Le paramètre de nom de version par défaut supprime la `_PLUS_RC_COUNT` fin et le groupe de règles arrête de générer des mesures de CloudWatch nombre pour les règles des versions candidates. Il s'agit d'une modification silencieuse, différente du déploiement d'une restauration de version par défaut.

   Le schéma suivant montre l'état des exemples de versions de groupes de règles une fois le test de la version candidate terminé.   
![\[Il s'agit encore une fois de la version typique des états chiffrés. Trois versions statiques Version_1.2, Version_1.3 et Version_1.4 sont empilées avec Version_1.4 en haut. La version 1.4 comporte deux règles, RuleA et RuleB, toutes deux comportant une action de production. Un indicateur de version par défaut pointe vers Version_1.4.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Calendrier et notifications**  
AWS déploie les versions candidates selon les besoins, afin de tester les améliorations apportées à un groupe de règles. 
+ **SNS** — AWS envoie une notification SNS au début du déploiement. La notification indique la durée estimée pendant laquelle la version candidate sera testée. Lorsque le test est terminé, AWS rétablit silencieusement le paramètre de version statique par défaut, sans autre notification.
+ **Journal des modifications** : AWS ne met pas à jour le journal des modifications ni les autres parties de ce guide pour ce type de déploiement.

# Déploiements de versions statiques pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Lorsqu'il est AWS déterminé qu'une version candidate apporte des modifications importantes au groupe de règles, AWS déploie une nouvelle version statique pour le groupe de règles en fonction de la version candidate. Ce déploiement ne modifie pas la version par défaut du groupe de règles. 

La nouvelle version statique contient les règles suivantes issues de la version candidate : 
+ Règles issues de la version statique précédente qui n'ont pas de candidat de remplacement parmi les règles des versions candidates. 
+ Publiez les règles relatives aux candidats, avec les modifications suivantes : 
  + AWS modifie le nom de la règle en supprimant le suffixe `_RC_COUNT` de la version candidate.
  + AWS remplace les actions de règle par Count leurs actions de règles de production. 

   Pour les règles candidates qui remplacent des règles existantes, cela remplace les fonctionnalités des règles précédentes dans la nouvelle version statique. 

Le schéma suivant illustre la création de la nouvelle version statique à partir de la version candidate. 

![\[En haut de la figure figure la version candidate Version_1.4_Plus_RC_Count, avec les mêmes règles que dans la figure de déploiement de la version candidate précédente. La version contient les règles de Version_1.4 ainsi que les règles candidates RuleB_RC_Count et Rulez_RC_Count, toutes deux dotées d'une action de comptage. En dessous, au bas de la figure se trouve une version statique Version_1.5, qui contient les règles RuleA, RuleB et RuleZ, toutes avec une action de production. Les flèches pointent de la version RC vers Version_1.5 pour indiquer que la règle A est copiée à partir des règles de la version 1.4 et que la règle B et la règle Z sont copiées à partir des règles de la version candidate. Toutes les règles de la version 1.5 comportent des actions de production.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Après le déploiement, la nouvelle version statique est disponible pour que vous puissiez la tester et l'utiliser dans vos protections si vous le souhaitez. Vous pouvez consulter les actions et les descriptions des règles nouvelles et mises à jour dans les listes de règles du groupe de règles à l'adresse[AWS Liste des groupes de règles gérées](aws-managed-rule-groups-list.md). 

Une version statique est immuable après le déploiement et ne change que lorsqu'elle AWS expire. Pour plus d'informations sur les cycles de vie des versions, consultez[Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md).

**Chronométrage et notifications**  
AWS déploie une nouvelle version statique selon les besoins, afin de déployer des améliorations aux fonctionnalités des groupes de règles. Le déploiement d'une version statique n'a aucune incidence sur le paramètre de version par défaut.
+ **SNS** — AWS envoie une notification SNS lorsque le déploiement est terminé.
+ **Journal des modifications** : une fois le déploiement terminé partout où cela AWS WAF est disponible, AWS met à jour la définition du groupe de règles dans ce guide selon les besoins, puis annonce la publication dans le journal des modifications du groupe de règles AWS Managed Rules et sur la page d'historique de la documentation. 

# Déploiements de versions par défaut pour AWS Managed Rules
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Lorsqu'il est AWS déterminé qu'une nouvelle version statique fournit une meilleure protection au groupe de règles par rapport à la version par défaut actuelle, AWS met à jour la version par défaut vers la nouvelle version statique. AWS peut publier plusieurs versions statiques avant de promouvoir l'une d'entre elles vers la version par défaut du groupe de règles. 

Le schéma suivant montre l'état des exemples de versions de groupes de règles après le AWS déplacement du paramètre de version par défaut vers la nouvelle version statique. 

![\[Ceci est similaire à la figure typique des états de version, mais avec Version_1.5 en haut de la pile et l'indicateur par défaut pointant vers celui-ci.\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Avant de déployer cette modification dans la version par défaut, AWS fournit des notifications afin que vous puissiez tester et préparer les modifications à venir. Si vous utilisez la version par défaut, vous ne pouvez effectuer aucune action et y rester pendant toute la durée de la mise à jour. Si vous souhaitez plutôt retarder le passage à la nouvelle version, avant le début prévu du déploiement de la version par défaut, vous pouvez configurer explicitement votre groupe de règles pour qu'il utilise la version statique définie par défaut. 

**Chronométrage et notifications**  
AWS met à jour la version par défaut lorsqu'il recommande une version statique différente de celle actuellement utilisée pour le groupe de règles. 
+ **SNS** : AWS envoie une notification SNS au moins une semaine avant le jour de déploiement ciblé, puis une autre le jour du déploiement, au début du déploiement. Chaque notification inclut le nom du groupe de règles, la version statique vers laquelle la version par défaut est mise à jour, la date de déploiement et le calendrier prévu du déploiement pour chaque AWS région dans laquelle la mise à jour est effectuée. 
+ **Journal des modifications** : AWS ne met pas à jour le journal des modifications ni les autres parties de ce guide pour ce type de déploiement.

# Déploiements exceptionnels pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS peut contourner les étapes de déploiement standard afin de déployer rapidement les mises à jour qui répondent aux risques de sécurité critiques. Un déploiement exceptionnel peut impliquer l'un des types de déploiement standard, et il peut être déployé rapidement dans les AWS régions. 

AWS fournit une notification aussi avancée que possible pour les déploiements d'exceptions. 

**Calendrier et notifications**  
AWS effectue des déploiements d'exceptions uniquement lorsque cela est nécessaire. 
+ **SNS** : AWS envoie une notification SNS aussi longtemps que possible avant le jour de déploiement ciblé, puis une autre au début du déploiement. Chaque notification inclut le nom du groupe de règles, les modifications apportées et la date de déploiement. 
+ **Journal des modifications** : si le déploiement concerne une version statique, une fois le déploiement terminé partout où cela AWS WAF est disponible, AWS met à jour la définition du groupe de règles dans ce guide selon les besoins, puis annonce la publication dans le journal des modifications du groupe de règles AWS gérées et sur la page d'historique de la documentation. 

# Annulations de déploiement par défaut pour les règles AWS gérées
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

Dans certaines conditions, AWS peut rétablir les paramètres précédents de la version par défaut. Une annulation prend généralement moins de dix minutes pour toutes les AWS régions.

AWS effectue une annulation uniquement pour atténuer un problème important dans une version statique, tel qu'un niveau inacceptable de faux positifs. 

Après l'annulation du paramètre de version par défaut, AWS accélère à la fois l'expiration de la version statique présentant le problème et la publication d'une nouvelle version statique pour résoudre le problème. 

**Chronométrage et notifications**  
AWS effectue des annulations de version par défaut uniquement lorsque cela est nécessaire. 
+ **SNS** : AWS envoie une seule notification SNS au moment de l'annulation. La notification inclut le nom du groupe de règles, la version pour laquelle la version par défaut est définie et la date de déploiement. Ce type de déploiement étant très rapide, la notification ne fournit pas d'informations temporelles pour les régions. 
+ **Journal des modifications** : AWS ne met pas à jour le journal des modifications ni les autres parties de ce guide pour ce type de déploiement.

# AWS Journal des modifications des règles gérées
<a name="aws-managed-rule-groups-changelog"></a>

Cette section répertorie les modifications apportées aux règles AWS gérées AWS WAF depuis leur publication en novembre 2019.

**Note**  
Ce journal des modifications indique les modifications apportées aux règles et aux groupes de règles dans AWS Managed Rules for. AWS WAF  
Pour le[Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md), ce journal des modifications indique les modifications apportées aux règles et au groupe de règles, ainsi que les modifications importantes apportées aux sources des listes d'adresses IP utilisées par les règles. Il ne signale pas les modifications apportées aux listes d'adresses IP elles-mêmes, en raison de la nature dynamique de ces listes. Si vous avez des questions concernant les listes d'adresses IP, contactez votre responsable de compte ou ouvrez un dossier auprès [AWS Support du Center](https://console.aws.amazon.com/support/home#/). 


| Groupe de règles et règles | Description | Date | 
| --- | --- | --- | 
| [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  A publié la version statique 2.2 de ce groupe de règles.  Détections améliorées et `PHPHighRiskMethodsVariables_URIPATH` règle ajoutée.  | 24/03/2026/ | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelles règles : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 5.0 de ce groupe de règles. Ajout de plus de 400 nouveaux robots dans plusieurs catégories, dont deux nouvelles catégories de robots avec leurs règles respectives : Page Preview et Webhooks. **Améliorations clés** Précision améliorée des signaux de détection des robots et correspondance des modèles de robots génériques, ce qui se traduit par une classification plus précise du trafic.  Cette mise à jour modifie la façon dont le groupe de règles géré priorise la détection des bots. Les modèles de bots spécifiques non vérifiés sont désormais évalués avant les modèles génériques et les signaux de détection. Cela signifie que les demandes sont plus susceptibles d'être classées en fonction de leurs caractéristiques les plus spécifiques plutôt que d'indicateurs génériques. **Ce que cela signifie pour votre trafic :** Le modèle de bot générique correspondra désormais moins fréquemment. Ces modèles ne s'appliquent que lorsqu'aucune règle de bot plus spécifique n'a déjà identifié le trafic. Cela réduit la surclassification et garantit que les demandes sont étiquetées avec l'identification de bot la plus précise disponible. Les signaux de détection, tels que les indicateurs indiquant qu'une demande provient d'un fournisseur de services cloud, d'un centre de données connu sous forme de bot ou qu'elle utilise un agent utilisateur autre que le navigateur, sont désormais appliqués après les règles d'identification des robots. Cela garantit que les classifications spécifiques des robots ont la priorité sur les feux de circulation génériques. **Impact :** Vous verrez peut-être moins d'étiquettes pour les modèles de bots génériques dans vos journaux de trafic, car les demandes sont désormais classées avec plus de précision selon des règles de bot spécifiques. Cela permet de mieux comprendre la nature réelle de votre trafic automatisé et de réduire le bruit causé par une correspondance de modèles trop large. Les classifications de bots non vérifiées seront plus visibles et plus précises, ce qui vous aidera à mieux comprendre et gérer les demandes automatisées adressées à vos applications. **Remarque :** Cette version inclut les mises à jour `awswaf:managed:aws:bot-control:bot:web_bot_auth` des étiquettes et des règles depuis Version\$14.0, mais la `Web Bot Auth` fonctionnalité n'est toujours disponible que dans. CloudFront  | 25/02/2026/ | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  A publié la version statique 3.2 de ce groupe de règles.  Signatures de détection améliorées pour toutes les règles.  | 15-01-2026/ | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.25 de ce groupe de règles. Mise à jour du `ReactJSRCE_BODY` pour améliorer la détection.  | 2025-12-08 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  A publié la version statique 3.1 de ce groupe de règles.  Signatures de détection améliorées pour toutes les règles.  | 2025-12-08 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.24 de ce groupe de règles. Mise à jour du `ReactJSRCE_BODY` pour améliorer la détection.  | 04/12/2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouveaux labels :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Champ d'application : CloudFront |  Déploiement de la nouvelle version statique `AWSManagedRulesBotControlRuleSet` Version\$14.0 avec prise en charge de l'authentification par bot Web (WBA) pour la vérification cryptographique des robots. Cette version doit être sélectionnée de manière explicite et ne met pas automatiquement à jour les déploiements existants à l'aide de la version par défaut. Nouvelles fonctionnalités : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Mises à jour des règles : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Version\$14.0 est une version statique uniquement ; elle ne modifie pas le comportement de la version par défaut. Pour utiliser les fonctionnalités WBA, sélectionnez explicitement la version \$14.0 lors de la configuration de votre ACL Web.   | 20-11-2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelles étiquettes de robots vérifiées :Publicité :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)IA :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Récupérateur de contenu :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Médias sociaux :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Principales améliorations :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  Les règles relatives aux catégories de robots dans Bot Control ne se déclenchent que sur les robots non vérifiés, à l'exception de CategoryAI qui se déclenche également sur les robots vérifiés. Version\$13.3 est une version statique uniquement, elle ne modifie pas le comportement de la version par défaut.   | 17/11/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.20 de ce groupe de règles.  Signatures de détection améliorées pour les règles SSRF (Server Side Request Forgery).  | 02/10/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.19 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.  | 14/08/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.18 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.  | 18/06/2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouveaux labels : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 3.2 de ce groupe de règles.  Les nouvelles étiquettes répertoriées ont été ajoutées.   | 29/05/2025 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.17 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.  | 03/03/2025 | 
| [Groupe de règles géré par base de données SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.3 de ce groupe de règles.  Ajout d'une double transformation de `URL_DECODE_UNI` texte aux règles répertoriées.  | 24-01-2025 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.6 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 24-01-2025 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelle étiquette de nom de bot dans les étiquettes Bot Control : `awswaf:managed:aws:bot-control:bot::name:nytimes`  | A publié la version statique 3.1 de ce groupe de règles.  L'étiquette du New York Times a été ajoutée à la liste des étiquettes de noms de robots.   | 07/11/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.16 de ce groupe de règles.  Signatures de détection améliorées pour les règles de script intersites.   | 16/10/2024 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) Nouvelles règles : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Règles supprimées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Nouveaux labels : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Étiquetage supplémentaire dans les règles existantes.  | A publié les versions statiques 2.0 et 3.0 de ce groupe de règles. La version 2.0 est identique à la version 3.0, mais les actions des règles pour toutes les nouvelles règles sont définies surCount. Ce guide décrit la dernière version de chaque groupe de règles.  Les nouvelles règles listées ont été ajoutées.  Étiquetage mis à jour afin que toutes les règles appliquent une étiquette avec le motif`awswaf:managed:aws:bot-control:<RuleName>`.  Ajout d'étiquettes de fournisseur de services cloud aux étiquettes de signal Bot Control.  Ajout de nouvelles étiquettes de nom de bot qui sont inspectées selon les règles des catégories de robots.   | 13/09/2024 | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) Toutes les règles  | A publié la version statique 1.1 de ce groupe de règles.  Étiquetage mis à jour afin que toutes les règles appliquent une étiquette avec le motif`awswaf:managed:aws:atp:<RuleName>`.   | 13/09/2024 | 
| [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md) Toutes les règles  | A publié la version statique 1.1 de ce groupe de règles.  Étiquetage mis à jour afin que toutes les règles appliquent une étiquette avec le motif`awswaf:managed:aws:acfp:<RuleName>`.   | 13/09/2024 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Toutes les règles  | A publié la version statique 2.5 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 02/09/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.15 de ce groupe de règles.  Signatures de détection améliorées pour les règles LFI génériques.   | 30/08/2024/ | 
| [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.3 de ce groupe de règles.  Signatures de détection ajustées dans les règles répertoriées afin de réduire les faux positifs.   | 28/08/2024/ | 
| [WordPress groupe de règles géré par les applications](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.3 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée à la règle répertoriée.   | 15/07/2024 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.4 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée à la règle répertoriée.   | 12/07/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.14 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée aux règles répertoriées.   | 2024-07-09 | 
| [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée aux règles répertoriées.   | 2024-07-03 | 
| [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.2 de ce groupe de règles.  La transformation de texte JS\$1DECODE a été ajoutée aux règles répertoriées.   | 2024-07-03 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Toutes les règles  | A publié la version statique 2.3 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 2024-06-06 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md)  | Les groupes de règles relatives aux robots et aux fraudes sont désormais versionnés. Si vous utilisez l'un de ces groupes de règles, cette mise à jour ne modifie pas la façon dont il gère votre trafic Web.  Cette mise à jour définit la version actuelle du groupe de règles sur la version statique 1.0 et définit la version par défaut pour qu'elle pointe vers celui-ci.  Pour plus d'informations sur les règles gérées versionnées, consultez les rubriques suivantes :  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 29/05/2024 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 3.0 de ce groupe de règles.  `UNIXShellCommandsVariables_QUERYARGUMENTS`Supprimé et remplacé par`UNIXShellCommandsVariables_QUERYSTRING`. Si vous avez des règles qui correspondent sur l'étiquette pour`UNIXShellCommandsVariables_QUERYARGUMENTS`, lorsque vous utiliserez cette version, remplacez-les pour qu'elles correspondent à l'étiquette pour`UNIXShellCommandsVariables_QUERYSTRING`. Le nouveau label est`awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Ajout de la règle`UNIXShellCommandsVariables_HEADER`, qui correspond à tous les en-têtes. Toutes les règles du groupe de règles géré ont été mises à jour avec une logique de détection améliorée.  Correction de la capitalisation documentée de l'étiquette pour`UNIXShellCommandsVariables_BODY`.   | 28/05/2024 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.12 de ce groupe de règles.  Ajout de signatures à toutes les règles de script intersites afin d'améliorer la détection et de réduire le nombre de faux positifs.  | 21/05/2021 | 
| [Groupe de règles géré par base de données SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version statique 1.2 de ce groupe de règles. La transformation de `JS_DECODE` texte a été ajoutée aux règles répertoriées.   | 14-05-2024/ | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.22 de ce groupe de règles. La transformation de `JS_DECODE` texte a été ajoutée aux règles répertoriées.   | 08-05-2024/ | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | A publié la version statique 2.2 de ce groupe de règles.  La transformation du `JS_DECODE` texte a été ajoutée aux deux règles.   | 08-05-2024/ | 
| [Groupe de règles géré par le système d'exploitation Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  Ajout de signatures `PowerShellCommands_BODY` pour améliorer la détection.   | 03/05/2024 | 
| [Groupe de règles géré par Amazon IP Reputation](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Mise à jour des sources de la liste de réputation des adresses IP, afin d'améliorer l'identification des adresses activement impliquées dans des activités malveillantes et de réduire le nombre de faux positifs.  Cette mise à jour n'implique pas de nouvelle version car ce groupe de règles n'est pas versionné.   | 13/03/2024 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | A publié la version statique 1.21 de ce groupe de règles. Ajout de signatures pour améliorer la détection et réduire le nombre de faux positifs.   | 16/12/2023 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.20 de ce groupe de règles. Mise à jour de la `ExploitablePaths_URIPATH` règle pour ajouter la détection des demandes correspondant à la vulnérabilité d'autorisation incorrecte CVE-2023-22518 d'Atlassian Confluence. Cette vulnérabilité affecte toutes les versions de Confluence Data Center et Server. Pour plus d'informations, voir [NIST : National Vulnerability Database : CVE-2023-22518](https://nvd.nist.gov/vuln/detail/CVE-2023-22518) Detail.  | 14/12/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.11 de ce groupe de règles.  Ajout de signatures à toutes les règles de script intersites afin d'améliorer la détection et de réduire le nombre de faux positifs.  | 06/12/2023 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | L'étiquette de faible activité coordonnée a été ajoutée aux étiquettes de niveau de protection ciblées du groupe de règles. Cette étiquette n'est associée à aucune règle. Cet étiquetage s'ajoute aux règles et labels de niveau moyen et élevé.  | 23/12-05 | 
| [Étiquettes Bot Control](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout d'une étiquette de signal au groupe de règles indiquant la détection d'une extension de navigateur facilitant l'automatisation. Cette étiquette n'est pas spécifique à une règle individuelle.   | 14/11/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.10 de ce groupe de règles.  Mise à jour d'une règle pour améliorer la détection et réduire le nombre de faux positifs.  | 02/11/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.9 de ce groupe de règles.  Règles mises à jour pour améliorer la détection et réduire les faux positifs.  | 30/10/2023 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  Mise à jour de la règle des arguments de requête pour améliorer la détection.   | 2023-10-12 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.8 de ce groupe de règles.  Règles mises à jour pour améliorer la détection.  | 11/10/2023 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Déploiement exceptionnel : publication de la version statique 1.19 de ce groupe de règles. Mise à jour de la version par défaut pour utiliser la version 1.19. Mise à jour de la `ExploitablePaths_URIPATH` règle afin d'ajouter la détection des demandes correspondant à la vulnérabilité d'escalade de privilèges CVE-2023-22515 d'Atlassian Confluence. Cette vulnérabilité affecte certaines versions d'Atlassian Confluence. Pour plus d'informations, consultez [NIST : National Vulnerability Database : CVE-2023-22515 Detail et [Atlassian](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html) Support : FAQ pour CVE-2023-22515](https://nvd.nist.gov/vuln/detail/CVE-2023-22515). Pour plus d'informations sur ce type de déploiement, consultez[Déploiements exceptionnels pour les règles AWS gérées](waf-managed-rule-groups-deployments-exceptions.md). | 04/10/2023 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Déploiement exceptionnel : publication de la version statique 1.18 de ce groupe de règles. Il s'agit d'un déploiement rapide de cette version statique pour permettre la création et le déploiement de la version 1.19.  Mise à jour de la `Host_localhost_HEADER` règle et de toutes les règles de désérialisation de Log4J et Java pour une meilleure détection.  Pour plus d'informations sur ce type de déploiement, consultez[Déploiements exceptionnels pour les règles AWS gérées](waf-managed-rule-groups-deployments-exceptions.md). | 04/10/2023 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Des règles ont été ajoutées au groupe de règles avec Count action.  La règle IP de réutilisation des jetons détecte et compte le partage de jetons entre les adresses IP.  Les règles d'activité coordonnées utilisent une analyse automatisée du trafic du site Web par apprentissage automatique (ML) pour détecter les activités liées aux robots. Dans la configuration de votre groupe de règles, vous pouvez refuser l'utilisation du ML. Avec cette version, les clients qui utilisent actuellement le niveau de protection ciblé ont opté pour l'utilisation du ML. La désinscription désactive les règles d'activité coordonnées.  | 06/09/2023 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | La règle a été ajoutée `CategoryAI` au groupe de règles.  | 30/08/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.7 de ce groupe de règles.  Extensions restreintes mises à jour et règles SSRF des métadonnées EC2 pour améliorer la détection et réduire les faux positifs.  | 26/07/2023 | 
| [AWS WAF Groupe de règles de prévention de la fraude (ACFP) pour la création de comptes et la prévention des fraudes](aws-managed-rule-groups-acfp.md) Toutes les règles du nouveau groupe de règles  | Le groupe de règles a été ajoutéAWSManagedRulesACFPRuleSet.  | 13/06/2023 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.2 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection.   | 22/05/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.6 de ce groupe de règles.  Mise à jour du cross-site scripting (XSS) et règles d'extension restreintes pour améliorer la détection et réduire les faux positifs.  | 28/04/2023 | 
| [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.0 de ce groupe de règles.  Signatures ajoutées pour améliorer la détection dans toutes les règles.  La règle `PHPHighRiskMethodsVariables_QUERYARGUMENTS` a été remplacée par`PHPHighRiskMethodsVariables_QUERYSTRING`, qui inspecte l'intégralité de la chaîne de requête au lieu de se limiter aux arguments de la requête.  Ajout de la règle`PHPHighRiskMethodsVariables_HEADER`, pour étendre la couverture afin d'inclure tous les en-têtes. Les libellés suivants ont été mis à jour pour les aligner sur l'étiquetage standard des règles AWS gérées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 27/02/2023 | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout de règles d'inspection des réponses de connexion à utiliser avec les CloudFront distributions Amazon protégées. Ces règles peuvent bloquer les nouvelles tentatives de connexion provenant d'adresses IP et de sessions client qui ont récemment été à l'origine d'un trop grand nombre de tentatives de connexion infructueuses.  | 15/02/2023 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.5 de ce groupe de règles.  Filtres XSS (Cross Site Scripting) mis à jour pour améliorer la détection.  | 25/01/2023 | 
| [Groupe de règles géré par le système d'exploitation Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 2.1 de ce groupe de règles.  Suppression de la règle `LFI_COOKIE` et de son étiquette`awswaf:managed:aws:linux-os:LFI_Cookie`, et remplacée par la nouvelle règle `LFI_HEADER` et son étiquette`awswaf:managed:aws:linux-os:LFI_Header`. Cette modification étend l'inspection à plusieurs en-têtes.  Des transformations de texte et des signatures ont été ajoutées à toutes les règles pour améliorer la détection.  | 15 décembre | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.4 de ce groupe de règles.  Ajout d'une transformation de texte `NoUserAgent_HEADER` pour supprimer tous les octets nuls. Mise à jour des filtres dans les règles de script intersite afin d'améliorer la détection.  | 05.12-05 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.17 de ce groupe de règles.  Mise à jour des règles de désérialisation de Java afin d'ajouter la détection des requêtes correspondant à Apache CVE-42889, une vulnérabilité d'exécution de code à distance (RCE) dans les versions d'Apache Commons Text antérieures à la version 1.10.0. Pour plus d'informations, consultez [NIST : National Vulnerability Database : CVE-42889 Detail et CVE-42889](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) [: Apache Commons Text antérieur à la version 1.10.0 autorise le RCE lorsqu'il est appliqué à](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om) des entrées non fiables en raison de valeurs d'interpolation par défaut non sécurisées. Détection améliorée dans`Host_localhost_HEADER`. | 10-20 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.16 de ce groupe de règles.  Suppression des faux positifs AWS identifiés dans la version 1.15. | 05.10-05 | 
| [Groupe de règles géré par le système d'exploitation POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [Groupe de règles géré par une application PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress groupe de règles géré par les applications](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Les noms d'étiquettes documentés ont été corrigés.   | 09-19 | 
| [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Cette modification ne modifie pas la façon dont le groupe de règles gère le trafic Web. Ajout d'une nouvelle règle Count permettant d'inspecter les adresses IP activement impliquées dans des activités DDo S, selon Amazon Threat Intelligence.  | 08-30 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version statique 1.15 de ce groupe de règles.  `Log4JRCE`Supprimé et remplacé par`Log4JRCE_HEADER`,`Log4JRCE_QUERYSTRING`, et `Log4JRCE_URI``Log4JRCE_BODY`, pour une surveillance et une gestion plus précises des faux positifs.  Des signatures ont été ajoutées pour améliorer la détection et le blocage de tous `PROPFIND_METHOD` `JavaDeserializationRCE*` et de toutes les `Log4JRCE*` règles.  Libellés mis à jour pour corriger la capitalisation dans `Host_localhost_HEADER` et dans toutes les `JavaDeserializationRCE*` règles.  Correction de la description de`JavaDeserializationRCE_HEADER`. | 22/08 | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout d'une règle pour empêcher l'utilisation du groupe de règles géré de prévention du piratage de compte pour le trafic Web du groupe d'utilisateurs Amazon Cognito.  | 08-11 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS a une date d'expiration planifiée pour les versions `Version_1.2` et pour le groupe `Version_2.0` de règles. Les versions expireront le 9 septembre 2022. Pour plus d'informations sur l'expiration des versions, consultez[Utilisation de groupes de règles gérés versionnés dans AWS WAF](waf-managed-rule-groups-versioning.md). | 09/06/2018 | 
| [Groupe de règles géré par un ensemble de règles de base (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.3 de ce groupe de règles. Cette version met à jour les signatures de correspondance dans les règles `GenericLFI_URIPATH` et`GenericRFI_URIPATH`, pour améliorer la détection.  | 24/05/2018 | 
| [AWS WAF Groupe de règles Bot Control](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | La règle a été ajoutée `CategoryEmailClient` au groupe de règles.  | 06/04/2018 | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.14 de ce groupe de règles. Les quatre `JavaDeserializtionRCE` règles passent en Block mode. | 31 mars | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.13 de ce groupe de règles. Mise à jour de la transformation de texte pour les vulnérabilités Spring Core et Cloud Function RCE. Ces règles sont en mode décompte pour recueillir des métriques et évaluer les modèles correspondants. L'étiquette peut être utilisée pour bloquer les demandes dans une règle personnalisée. Une version ultérieure sera déployée avec ces règles en mode bloc. | 31 mars | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.12 de ce groupe de règles. Signatures ajoutées pour les vulnérabilités Spring Core et Cloud Function RCE. Ces règles sont en mode décompte pour recueillir des métriques et évaluer les modèles correspondants. L'étiquette peut être utilisée pour bloquer les demandes dans une règle personnalisée. Une version ultérieure sera déployée avec ces règles en mode bloc. Suppression des règles `Log4JRCE_HEADER``Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`, `Log4JRCE_BODY` et et remplacées par la règle`Log4JRCE`. | 30/03/2018 | 
| [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | La AWSManagedReconnaissanceList règle a été mise à jour pour changer l'action du nombre à l'action en bloquant.  | 15 février | 
| [AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)](aws-managed-rule-groups-atp.md) Toutes les règles du nouveau groupe de règles  | Le groupe de règles a été ajoutéAWSManagedRulesATPRuleSet.  | 11 février | 
| [Groupe de règles géré pour les entrées erronées connues](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A publié la version 1.9 de ce groupe de règles. Suppression de la règle `Log4JRCE` et remplacée par les règles`Log4JRCE_HEADER`,`Log4JRCE_QUERYSTRING`,`Log4JRCE_URI`, et`Log4JRCE_BODY`, pour plus de flexibilité dans l'utilisation de cette fonctionnalité. Signatures ajoutées pour améliorer la détection et le blocage. | 28/01/2018 | 
| Ensemble de règles de base (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version 2.0 de ce groupe de règles. Pour ces règles, les signatures de détection ont été ajustées afin de réduire le nombre de faux positifs. La transformation de `URL_DECODE` texte a été remplacée par la transformation de `URL_DECODE_UNI` texte double. Ajout de la transformation `HTML_ENTITY_DECODE` du texte.  | 01/01/10 | 
| Ensemble de règles de base (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Dans le cadre de la publication de la version 2.0 de ce groupe de règles, la transformation du `URL_DECODE_UNI` texte a été ajoutée. Suppression de la transformation de `URL_DECODE` texte de`RestrictedExtensions_URIPATH`.  | 01/01/10 | 
| Base de données SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  A publié la version 2.0 de ce groupe de règles. Remplace la transformation de `URL_DECODE` texte par la transformation de `URL_DECODE_UNI` texte double et ajout de la transformation de `COMPRESS_WHITE_SPACE` texte. Ajout de signatures de détection supplémentaires à`SQLiExtendedPatterns_QUERYARGUMENTS`. L'inspection JSON a été ajoutée à`SQLi_BODY`. Ajout de la règle`SQLiExtendedPatterns_BODY`. Suppression de la règle`SQLi_URIPATH`.  | 01/01/10 | 
| Entrées erronées connues [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Publication de la version 1.8 de la règle `Log4JRCE` pour améliorer l'inspection des en-têtes et les critères de correspondance. | 17/12/2021 | 
| Entrées erronées connues [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Publication de la version 1.4 de la règle `Log4JRCE` pour ajuster les critères de correspondance et inspecter les en-têtes supplémentaires. Sortie de la version 1.5 pour ajuster les critères de correspondance. | 11/12/2021 | 
| Entrées erronées connues [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Ajout de la `Log4JRCE` version 1.2 de la règle en réponse au problème de sécurité récemment révélé dans Log4j. Pour plus d'informations, voir [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Cette règle inspecte les chemins d'URI courants, les chaînes de requête, les 8 premiers Ko du corps de la demande et les en-têtes communs. La règle utilise des transformations de `URL_DECODE_UNI` texte double. A publié la version 1.3 de `Log4JRCE` pour ajuster les critères de correspondance et inspecter les en-têtes supplémentaires.  Suppression de la règle`BadAuthToken_COOKIE_AUTHORIZATION`.  | 2021-12-10 | 

Le tableau suivant répertorie les modifications apportées avant décembre 2021. 


| Groupe de règles et règles | Description | Date | 
| --- | --- | --- | 
| Liste de réputation des adresses IP Amazon | `AWSManagedReconnaissanceList` | Ajout de la AWSManagedReconnaissanceList règle en mode surveillance/comptage. Cette règle contient les adresses IP qui effectuent une reconnaissance par rapport AWS aux ressources. | 23/11/2021 | 
| Système d'exploitation Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Ajout de trois nouvelles règles pour WindowsShell les commandes : `WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`, et`WindowsShellCommands_BODY`. Ajout d'une nouvelle PowerShell règle :`PowerShellCommands_COOKIE`. Restructuration de la dénomination `PowerShellComands` des règles en supprimant les chaînes \$1Set1 et \$1Set2. Des signatures de détection plus complètes ont été ajoutées à`PowerShellRules`. Ajout d'une transformation de `URL_DECODE_UNI` texte à toutes les règles du système d'exploitation Windows.  | 23/11/2021 | 
| Système d'exploitation Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  La double transformation de `URL_DECODE` texte a été remplacée par une double transformation`URL_DECODE_UNI`. Ajouté `NORMALIZE_PATH_WIN` en tant que deuxième transformation de texte. A remplacé la `LFI_BODY` règle par la `LFI_COOKIE` règle. Ajout de signatures de détection plus complètes pour toutes les `LFI` règles.  | 23/11/2021 | 
| Ensemble de règles de base (CRS) |  `SizeRestrictions_BODY`  | Réduction de la limite de taille pour bloquer les requêtes Web dont la charge utile corporelle est supérieure à 8 Ko. Auparavant, la limite était de 10 Ko.  | 2021-10-27 | 
| Ensemble de règles de base (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Ajout de nouvelles signatures de détection. Ajout d'un double décodage d'URL Unicode pour améliorer le blocage.  | 2021-10-27 | 
| Ensemble de règles de base (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Ajout d'un double décodage d'URL Unicode pour améliorer le blocage.  | 2021-10-27 | 
| Ensemble de règles de base (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | Mise à jour des signatures de règles afin de réduire le nombre de faux positifs, en fonction des commentaires des clients. Ajout d'un double décodage d'URL Unicode pour améliorer le blocage.  | 2021-10-27 | 
| Tous | Toutes les règles | Ajout de la prise en charge des AWS WAF étiquettes à toutes les règles qui ne prenaient pas déjà en charge l'étiquetage.  | 2021-10-25 | 
| Liste de réputation des adresses IP Amazon | `AWSManagedIPReputationList_xxxx` | Restructuration de la liste de réputation IP, suppression des suffixes du nom de la règle et ajout de la prise en charge des étiquettes. AWS WAF  | 04/05/2021 | 
| Liste des adresses IP anonymes | `AnonymousIPList` `HostingProviderList` | Ajout du support pour les AWS WAF étiquettes.  | 04/05/2021 | 
| Contrôle des robots | Tous | Ajout de l'ensemble de règles Bot Control.  | 01-04-2021 | 
| Ensemble de règles de base (CRS) | `GenericRFI_QUERYARGUMENTS`  | Ajout d'un double décodage d'URL.  | 03/03/2021 | 
| Ensemble de règles de base (CRS) | `RestrictedExtensions_URIPATH`  | Amélioration de la configuration des règles et ajout d'un décodage d'URL supplémentaire.  | 03/03/2021 | 
| Protection de l'administrateur | `AdminProtection_URIPATH`  | Ajout d'un double décodage d'URL.  | 03/03/2021 | 
| Entrées erronées connues | `ExploitablePaths_URIPATH`  | Amélioration de la configuration des règles et ajout d'un décodage d'URL supplémentaire.  | 03/03/2021 | 
| Système d'exploitation Linux | `LFI_QUERYARGUMENTS`  | Amélioration de la configuration des règles et ajout d'un décodage d'URL supplémentaire.  | 03/03/2021 | 
| Système d'exploitation Windows | Tous | Amélioration de la configuration des règles.  | 2020-09-23 | 
| Application PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Modification de la transformation du texte du décodage HTML au décodage URL, afin d'améliorer le blocage.  | 16/09/2020 | 
| Système d'exploitation POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Modification de la transformation du texte du décodage HTML au décodage URL, afin d'améliorer le blocage.  | 16/09/2020 | 
| Ensemble de règles de base | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Modification de la transformation du texte du décodage HTML au décodage URL, afin d'améliorer le blocage.  | 2020-08-07 | 
| Système d'exploitation Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Changement de la transformation de texte du décodage d'entité HTML au décodage d'URL, afin d'améliorer la détection et le blocage.  | 19/05/2020 | 
| Liste des adresses IP anonymes | Tous | Nouveau groupe de règles visant [Groupes de règles de réputation IP](aws-managed-rule-groups-ip-rep.md) à bloquer les demandes provenant de services qui permettent de masquer l'identité des utilisateurs, afin de limiter les robots et de contourner les restrictions géographiques.  | 06/03/2020 | 
| WordPress candidature | `WordPressExploitableCommands_QUERYSTRING`  | Nouvelle règle qui vérifie les commandes exploitables dans la chaîne de requête. | 03/03/2020 | 
| Ensemble de règles de base (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Ajustement des contraintes de valeur de taille pour améliorer la précision.  | 03/03/2020 | 
| Base de données SQL | `SQLi_URIPATH`  | Les règles vérifient maintenant l'URI du message. | 23/01/2020 | 
| Base de données SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Transformations de texte mises à jour. | 2019-12-20 | 
| Ensemble de règles de base (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Transformations de texte mises à jour. | 2019-12-20 |