**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Choisir et configurer Bot Control pour votre cas d'utilisation
Bot Control protège contre toute une série de menaces automatisées. La bonne configuration dépend de ce que vous protégez et des menaces auxquelles vous êtes confronté. Utilisez cette rubrique pour choisir le niveau de protection approprié et configurer Bot Control pour les scénarios d'application courants.
## Adapter Bot Control à votre application
Les menaces liées aux bots se répartissent généralement en trois catégories :
+ **Menaces de fraude** : bourrage d'informations d'identification, faux comptes et achats automatisés.
+ **Menaces liées au contenu** : extraction des données de tarification, des catalogues de produits et du contenu publié.
+ **Menaces liées à la disponibilité** : volume de trafic des bots qui dégrade les performances ou augmente les coûts d'infrastructure.
Pour la plupart de ces menaces, nous recommandons le niveau de protection ciblé avec les SDK d'intégration des applications clientes. Les scénarios suivants décrivent comment configurer le contrôle des robots pour chacun d'entre eux.
**Protection des pages de connexion et de compte**
Les attaques d'usurpation d'identifiants et de prise de contrôle de compte utilisent des outils automatisés pour tester les informations d'identification volées par rapport à vos points de terminaison de connexion. La fraude liée à la création de comptes utilise des robots pour créer de faux comptes à grande échelle. Intégrez le SDK d'intégration des applications sur votre site et associez Bot Control aux groupes de règles gérés par AWS WAF Fraud Control pour protéger la connexion et la création de compte.
**Protection des catalogues de produits et des données de prix**
Si votre application affiche des informations sur les produits, les prix, les niveaux de stock ou d'autres données concurrentielles, les robots peuvent extraire ce contenu pour fournir des informations sur les concurrents, créer des sites de comparaison ou réduire vos prix. Ces scrapers imitent souvent les vrais navigateurs et alternent entre les adresses IP résidentielles pour éviter d'être détectés. Appliquez le Bot Control sur toutes les pages de vos produits et de votre catalogue, et pas seulement sur le paiement. Ainsi, Bot Control peut détecter les modèles comportementaux du scraping automatique même lorsque le bot semble être un navigateur normal.
**Protection du contenu publié**
Les éditeurs de contenu, les sites d'actualités et les plateformes médiatiques sont confrontés à des robots qui copient des articles, des images et d'autres contenus originaux. Ce vol de contenu peut diluer votre classement dans les résultats de recherche, réduire les recettes publicitaires et saper votre position concurrentielle. Appliquez le Bot Control sur toutes vos pages de contenu. Utilisez le tableau de bord Bot Control pour surveiller les robots qui accèdent à votre contenu et décider comment gérer chaque catégorie. Pour de plus amples informations, veuillez consulter [AWS WAF Composants de Bot Control](waf-bot-control-components.md).
**Réduction des coûts d'infrastructure liés aux robots d'exploration indésirables**
Les scrapers, les crawlers et les outils automatisés peuvent générer un volume de trafic élevé, augmentant ainsi vos coûts de calcul et de transfert de données sans apporter de valeur commerciale. Bot Control identifie les robots autodéclarants par catégorie, tels que les scrapers, les bibliothèques HTTP et les frameworks d'exploration. Vous pouvez ensuite bloquer ou limiter le taux de chaque catégorie indépendamment à l'aide d'étiquettes. Pour éviter le scraping, la protection ciblée détecte les robots qui dissimulent leur identité, notamment ceux qui utilisent des proxys résidentiels et des navigateurs sans interface.
**Protection des transactions de grande valeur**
Les flux de paiement, les achats en stock limité et les ventes de billets sont les cibles des robots d'achat automatisés qui font concurrence aux clients légitimes. Bot Control détecte les navigateurs automatisés tels que Selenium et Puppeteer, et applique une limite de débit au niveau des sessions pour empêcher un seul client de monopoliser l'inventaire. Intégrez les SDK sur vos pages de transaction pour une précision de détection maximale.
**Gestion des robots d'exploration basés sur l'IA et formation des scrapeurs de données**
Les robots intelligents collectent le contenu de votre application pour entraîner des modèles ou des données de surface dans des applications d'IA. Bot Control catégorise les robots IA connus. Rédigez des règles personnalisées pour autoriser les robots IA spécifiques que vous souhaitez autoriser, tels que les robots d'exploration des moteurs de recherche vérifiés, et bloquez ou limitez le taux d'autres robots. Pour les agents d'intelligence artificielle qui utilisent des frameworks d'automatisation de navigateur pour interagir avec votre application, Bot Control détecte et conteste ces sessions automatisées. Grâce à l'authentification par bot Web (WBA), les agents IA légitimes peuvent prouver leur identité de manière cryptographique. Cela vous donne un signal fiable pour distinguer les agents autorisés des agents non autorisés. Pour plus d'informations sur WBA, consultez[Authentification par bot Web pour les agents d'intelligence artificielle](waf-bot-control.md#waf-bot-ai-agents).
**Protection des applications mobiles**
Les applications mobiles sont confrontées à des menaces de bots similaires aux applications Web, mais leur trafic présente des caractéristiques différentes. Les clients mobiles utilisent des agents utilisateurs autres que les navigateurs. Les requêtes HTTP provenant de frameworks d'applications mobiles natives sont exclues de la `SignalNonBrowserUserAgent` règle Bot Control, mais pas les bibliothèques HTTP non standard et les navigateurs intégrés à l'application. Intégrez le SDK AWS WAF mobile à votre application iOS ou Android pour fournir les jetons côté client que la protection ciblée utilise pour une détection précise.
## Choisir entre une protection commune et une protection ciblée
Bot Control propose deux niveaux de protection. Les conseils suivants vous aident à choisir le niveau adapté à votre application.
**Niveau de protection commun**
La protection commune détecte les robots qui s'identifient par le biais de leurs chaînes d'agent utilisateur, de leurs adresses IP et d'autres caractéristiques de demande. Il vérifie que les robots prétendant appartenir à des organisations connues (comme les moteurs de recherche) proviennent réellement de ces organisations. La protection commune vous permet de savoir qui visite votre application et de contrôler chaque catégorie de bot indépendamment. Il ne nécessite pas de SDK et son coût par demande est inférieur. Une protection commune constitue un bon point de départ lorsque vous devez principalement gérer le trafic de bots connu, par exemple en bloquant les scrapers indésirables tout en autorisant les robots d'exploration des moteurs de recherche.
**Niveau de protection ciblé**
Le niveau de protection ciblé détecte tout ce que le niveau de protection commun détecte et permet de détecter les robots qui ne s'identifient pas eux-mêmes. Il utilise l'interrogation du navigateur, l'empreinte TLS, l'heuristique comportementale et l'apprentissage automatique pour distinguer les clients automatisés des humains. L'apprentissage automatique analyse les modèles de trafic de votre site Web spécifique, y compris les horodatages, les caractéristiques du navigateur et le comportement de navigation. Il met à jour sa détection à mesure que votre trafic évolue et que les tactiques des robots changent. Une protection ciblée est recommandée pour les applications confrontées au bourrage d'informations d'identification, au scraping avancé, aux achats automatisés ou à toute activité de bot dans le cadre de laquelle l'attaquant tente activement d'échapper à la détection.
Pour la plupart des applications Web de production, nous recommandons une protection ciblée. Pour obtenir des conseils sur la configuration de la protection ciblée pour des scénarios spécifiques, consultez[Adapter Bot Control à votre application](#waf-bot-control-use-cases-scenarios). Pour obtenir des conseils sur la gestion des coûts en cas de volumes de trafic élevés, voir[Gestion des coûts](#waf-bot-control-cost-strategies).
| | Courant | Ciblé |
| --- | --- | --- |
| Détecte les robots qui s'auto-identifient | Oui | Oui |
| Vérifie les robots légitimes (moteurs de recherche, services de surveillance) | Oui | Oui |
| Détecte les robots qui cachent leur identité | Non | Oui |
| Un apprentissage automatique adapté à votre trafic | Non | Oui |
| Session-level limitation de débit | Non | Oui |
| Détecte les outils d'automatisation du navigateur | Oui (auto-identification) | Oui (y compris évasif) |
| SDK d'intégration d'applications clientes | Facultatif | Fortement recommandé |
**Vérifier la version de votre groupe de règles**
Le groupe de règles géré par Bot Control est mis à jour au fil du temps avec de nouvelles fonctionnalités de détection. Vérifiez la version que vous utilisez actuellement et si une version statique plus récente est disponible. Les nouvelles versions incluent des détections supplémentaires qui peuvent augmenter votre couverture contre les nouvelles menaces de bots. Vous pouvez consulter les versions disponibles et leurs modifications dans le[AWS Journal des modifications des règles gérées](aws-managed-rule-groups-changelog.md).
## Comment fonctionne la détection par Bot Control
Bot Control étiquette chaque demande qu'il évalue à l'aide d'une classification granulaire : nom du bot, catégorie, organisation et statut de vérification. Vous écrivez des règles qui correspondent sur ces étiquettes afin de décider de l'action à entreprendre pour chaque type de bot. Cela vous donne un contrôle total plutôt qu'une seule décision d'autoriser ou de bloquer l'ensemble du trafic des bots.
Au niveau de protection ciblé, Bot Control combine plusieurs techniques de détection. Il s'agit notamment de la correspondance des signatures, de l'interrogation du navigateur, de l'empreinte TLS, de l'heuristique comportementale et de l'apprentissage automatique adapté aux modèles de trafic de votre site Web. Un bot qui échappe à une technique peut être attrapé par une autre. L'apprentissage automatique détecte également l'activité coordonnée des bots : des modèles dans lesquels plusieurs clients travaillent ensemble d'une manière qui passerait inaperçue lors d'une analyse individuelle des demandes. Pour une description détaillée de tous les composants de Bot Control, voir[AWS WAF Composants de Bot Control](waf-bot-control-components.md). Pour un aperçu du fonctionnement des CAPTCHA interactions Challenge et entre le client et AWS WAF, voir[CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md).
## Gestion des coûts
Les coûts liés à l'utilisation du groupe de règles géré par Bot Control augmentent en fonction du nombre de requêtes Web AWS WAF évaluées à l'aide de ce groupe. Pour la plupart des applications, le coût du Bot Control est justifié par la protection qu'il fournit. Le blocage du trafic des bots réduit vos coûts de calcul, de bande passante et de transfert de données, souvent supérieurs au coût de l'inspection elle-même. Si vous devez optimiser davantage les coûts, les stratégies suivantes peuvent vous aider.
**Exclure les actifs statiques**
L'optimisation des coûts la plus simple consiste à exclure les demandes de types de fichiers statiques tels que`.css`, `.png``.jpg`, et `.svg` de l'inspection par Bot Control. Les robots qui ciblent les données et les fonctionnalités de votre application atteignent les points de terminaison dynamiques, et non vos feuilles de style ou vos images. Cela permet de réduire les demandes inspectées sans réduire l'efficacité de la détection. Pour obtenir un exemple, consultez [Exemple de contrôle des robots : utilisation du contrôle des robots uniquement pour le contenu dynamique](waf-bot-control-example-scope-down-dynamic-content.md).
**Règles de commande pour plus d'efficacité**
Placez les règles les moins coûteuses avant le groupe de règles géré par Bot Control dans votre pack de protection (ACL Web). Les règles telles que les listes de réputation d'adresses IP, les restrictions géographiques et les règles basées sur les tarifs peuvent bloquer le trafic clairement indésirable avant qu'il n'atteigne l'inspection payante Bot Control. Les demandes bloquées par les règles antérieures ne sont jamais évaluées par Bot Control. Vous n'avez donc pas à payer de frais supplémentaires par demande.
**Portée à des points de terminaison spécifiques, le cas échéant**
Pour certaines applications, vous souhaiterez peut-être appliquer le Bot Control uniquement à des parties spécifiques de votre site. Par exemple, si votre application comporte une section d'information publique qui ne contient pas de données sensibles ou de contenu précieux, vous pouvez l'exclure de l'inspection. Veillez à ne pas exclure les pages dont le contenu mérite d'être protégé, comme les catalogues de produits, les données de prix ou les articles publiés. Pour obtenir un exemple, consultez [Exemple de Bot Control : utilisation du Bot Control uniquement pour la page de connexion](waf-bot-control-example-scope-down-login.md).
## Intégration des SDK d'intégration des applications clientes
Utilisez les SDK mobiles JavaScript et pour optimiser l'efficacité de la protection ciblée. Les SDK fournissent l'empreinte digitale du navigateur, la gestion des jetons de défi et la télémétrie comportementale que les règles ciblées utilisent pour la détection au niveau des sessions. Ici, une session est identifiée par le jeton client acquis par le SDK, qui représente un navigateur ou un appareil spécifique. Sans les SDK, la protection ciblée est beaucoup moins contextuelle et ne permet pas de distinguer de manière fiable les robots avancés des utilisateurs légitimes.
**Intégrez le SDK dès le départ**
Lorsque vous déployez une protection ciblée, intégrez les SDK en même temps. Cela s'applique que vous effectuiez un déploiement en production ou que vous évaluiez Bot Control dans un environnement de test. L'évaluation d'une protection ciblée sans les SDK ne vous donne pas une idée précise de ses capacités de détection, car de nombreuses règles ciblées dépendent des signaux côté client que seuls les SDK fournissent.
**Intégration étendue recommandée**
Pour une détection optimale, intégrez le JavaScript SDK à toutes les pages diffusant du contenu dynamique, et pas seulement à la connexion ou au paiement. Bot Control crée des profils comportementaux à partir de la façon dont les clients naviguent dans votre application, notamment le calendrier des demandes, les séquences de pages et les modèles d'interaction. Lorsque le SDK n'est présent que sur une seule page, Bot Control dispose d'un contexte comportemental limité pour distinguer un utilisateur réel d'un bot qui a appris à imiter le chargement d'une page. Une intégration plus large donne à Bot Control une image plus complète de chaque session client, ce qui améliore la détection des bots avancés tels que les botnets proxy résidentiels. Intégrez au minimum le SDK sur vos pages les plus critiques, mais considérez-le comme un point de départ plutôt que comme un état final.
**Les applications mobiles**
Pour les applications iOS et Android, utilisez le SDK AWS WAF mobile. Le SDK mobile gère l'acquisition et le renouvellement des jetons dans votre application. Pour plus d’informations sur les kits SDK, consultez [Intégrations d'applications clientes dans AWS WAF](waf-application-integration.md).
## Ajustements de configuration courants
La plupart des déploiements de Bot Control nécessitent certains ajustements de configuration pour répondre aux caractéristiques spécifiques du trafic de votre application. Les ajustements les plus courants sont les suivants.
**Permettre les outils de surveillance et de contrôle de santé**
Les outils de surveillance internes, les vérificateurs de disponibilité et les contrôles de santé de l'équilibreur de charge génèrent un trafic automatisé que Bot Control peut identifier comme une activité de bot. Excluez ces demandes de l'inspection Bot Control à l'aide d'une instruction scope-down correspondant à la plage d'adresses IP source ou d'un en-tête personnalisé inclus dans vos outils de surveillance.
**À l'exclusion des navigateurs intégrés à l'application et des bibliothèques HTTP non standard**
Si les utilisateurs accèdent à votre site via des navigateurs intégrés à l'application, tels que des liens ouverts depuis des applications de réseaux sociaux, ou si votre application mobile utilise une bibliothèque HTTP non standard, ces clients peuvent déclencher la `SignalNonBrowserUserAgent` règle. Les frameworks mobiles natifs standard sont exclus de cette règle, mais pas les autres agents utilisateurs autres que les navigateurs. Configurez une exception d'agent utilisateur dans le groupe de règles Bot Control pour ces clients. Pour obtenir un exemple, consultez [Exemple de contrôle des bots : création d'une exception pour un agent utilisateur bloqué](waf-bot-control-example-user-agent-exception.md).
**Gestion des robots d'exploration vérifiés**
Bot Control autorise les robots vérifiés par défaut. Si vous souhaitez limiter le débit des robots d'exploration, même vérifiés, par exemple pour réduire la charge due à une exploration agressive mais légitime des moteurs de recherche, utilisez les étiquettes des robots pour rédiger des règles personnalisées basées sur le taux qui limitent le taux de demandes pour des catégories de robots vérifiées spécifiques. Pour obtenir un exemple, consultez [Exemple de contrôle des bots : autorisation explicite des robots vérifiés](waf-bot-control-example-allow-verified-bots.md).
**Transférer les signaux du bot vers votre point d'origine**
Vous pouvez transmettre les étiquettes de classification Bot Control à votre application sous forme d'en-têtes de demande personnalisés. Votre origine peut ensuite utiliser les étiquettes pour proposer du contenu simplifié aux personnes soupçonnées d'être des scrapeurs, enregistrer l'activité des robots dans vos propres analyses ou inclure un identifiant de demande dans les pages bloquées en cas de signalement de faux positifs. Utilisez la fonctionnalité d'en-tête de demande AWS WAF personnalisé pour insérer des en-têtes en fonction des correspondances entre les étiquettes. Pour plus d'informations sur les valeurs d'étiquette dynamiques dans les en-têtes, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).
**Déclenchement de l'authentification renforcée**
Au lieu de bloquer purement et simplement le trafic suspect, vous pouvez transmettre les signaux Bot Control à votre application et les utiliser pour déclencher une vérification supplémentaire. Par exemple, si Bot Control qualifie une session de suspecte, votre application peut exiger une authentification multifactorielle ou présenter une étape de vérification supplémentaire avant d'effectuer une action sensible. Step-up l'authentification réduit l'impact des faux positifs tout en offrant une protection contre les menaces automatisées. Utilisez des en-têtes de demande personnalisés pour transmettre les étiquettes Bot Control pertinentes à votre origine.
**Tester avant d'appliquer**
Déployez toujours Bot Control en mode décompte en premier. En mode comptage, Bot Control étiquette toutes les demandes mais ne bloque aucun trafic. Passez en revue les étiquettes de vos AWS WAF journaux pour comprendre ce que Bot Control détecte dans votre trafic, vérifiez que le trafic légitime n'est pas mal étiqueté, puis passez en mode blocage une fois que vous êtes sûr de la précision de détection. Pour obtenir des instructions détaillées sur les tests et le déploiement, consultez[Tester et déployer AWS WAF Bot Control](waf-bot-control-deploying.md).