**Ti presentiamo una nuova esperienza di console per AWS WAF** Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Test e implementazione di AWS WAF Bot Control Questa sezione fornisce indicazioni generali per configurare e testare un'implementazione di AWS WAF Bot Control per il tuo sito. I passaggi specifici che sceglierai di seguire dipenderanno dalle tue esigenze, dalle tue risorse e dalle richieste web che ricevi. Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzo[Test e ottimizzazione delle protezioni AWS WAF](web-acl-testing.md). **Nota** AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) per assicurarti che le tue risorse AWS siano adeguatamente protette. **Rischio legato al traffico di produzione** Prima di implementare l'implementazione di Bot Control per il traffico di produzione, testala e ottimizzala in un ambiente di staging o test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio in base al traffico di produzione prima di attivarle. Questa guida è destinata agli utenti che sanno in generale come creare e gestire pacchetti di AWS WAF protezione (Web ACLs), regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida. **Per configurare e testare un'implementazione di Bot Control** Esegui questi passaggi prima in un ambiente di test, poi in produzione. 1. **Aggiungi il gruppo di regole gestito da Bot Control** **Nota** Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/). Aggiungi il gruppo di AWS regole gestito `AWSManagedRulesBotControlRuleSet` a un pacchetto di protezione nuovo o esistente (ACL Web) e configuralo in modo che non alteri il comportamento del Protection Pack (Web ACL) corrente. + Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue: + Nel riquadro **Livello di ispezione**, seleziona il livello di ispezione che desideri utilizzare. + **Comune**: rileva una varietà di bot che si identificano automaticamente, come framework di web scraping, motori di ricerca e browser automatici. Le protezioni Bot Control a questo livello identificano i bot più comuni utilizzando tecniche di rilevamento dei bot tradizionali, come l'analisi statica dei dati delle richieste. Le regole etichettano il traffico proveniente da questi bot e bloccano quello che non possono verificare. + **Mirato**: include le protezioni di livello comune e aggiunge il rilevamento mirato per bot sofisticati che non si identificano automaticamente. Le protezioni mirate mitigano l'attività dei bot utilizzando una combinazione di limitazioni della velocità e sfide legate al CAPTCHA e al browser in background. + **`TGT_`**— Le regole che forniscono una protezione mirata hanno nomi che iniziano con. `TGT_` Tutte le protezioni mirate utilizzano tecniche di rilevamento come l'interrogazione del browser, il rilevamento delle impronte digitali e l'euristica comportamentale per identificare il traffico di bot non valido. + **`TGT_ML_`**— Le regole di protezione mirate che utilizzano l'apprendimento automatico hanno nomi che iniziano con. `TGT_ML_` Queste regole utilizzano l'analisi automatizzata e basata sull'apprendimento automatico delle statistiche sul traffico dei siti Web per rilevare comportamenti anomali indicativi di un'attività distribuita e coordinata dei bot. AWS WAF analizza le statistiche sul traffico del sito Web, ad esempio timestamp, caratteristiche del browser e URL visitato in precedenza, per migliorare il modello di apprendimento automatico di Bot Control. Le funzionalità di machine learning sono abilitate per impostazione predefinita, ma puoi disabilitarle nella configurazione del gruppo di regole. Quando l'apprendimento automatico è disabilitato, AWS WAF non valuta queste regole. Per ulteriori informazioni su questa scelta, vedere[AWS WAF Gruppo di regole Bot Control](aws-managed-rule-groups-bot.md). + Nel riquadro **Regole**, apri il menu a discesa **Sostituisci tutte le azioni delle regole** e scegli. **Count** Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta [Sovrascrivere le azioni delle regole in un gruppo di regole](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override). Con questo override, puoi monitorare il potenziale impatto delle regole di Bot Control sul tuo traffico, per determinare se desideri aggiungere eccezioni per cose come casi d'uso interni o bot desiderati. + Posiziona il gruppo di regole in modo che venga valutato per ultimo nel pacchetto di protezione (Web ACL), con un'impostazione di priorità numericamente superiore a qualsiasi altra regola o gruppo di regole che stai già utilizzando. Per ulteriori informazioni, consulta [Impostazione della priorità delle regole](web-acl-processing-order.md). In questo modo, la tua attuale gestione del traffico non viene interrotta. Ad esempio, se disponi di regole che rilevano traffico dannoso come SQL injection o cross-site scripting, continueranno a rilevare e registrare tali richieste. In alternativa, se disponi di regole che consentono il traffico noto e non dannoso, possono continuare a consentire tale traffico senza che venga bloccato dal gruppo di regole gestito da Bot Control. Potresti decidere di modificare l'ordine di elaborazione durante le attività di test e ottimizzazione, ma questo è un buon modo per iniziare. 1. **Abilita la registrazione e le metriche per il pacchetto di protezione (Web ACL)** Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per il pacchetto di protezione (Web ACL). Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito da Bot Control con il tuo traffico. + Per ulteriori informazioni sulla registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md). + Per informazioni su Amazon Security Lake, consulta [Cos'è Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Raccolta di dati dai AWS servizi](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) nella *guida per l'utente di Amazon Security Lake*. + Per informazioni sui CloudWatch parametri di Amazon, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md). + Per informazioni sul campionamento delle richieste web, consulta. [Visualizzazione di un esempio di richieste Web](web-acl-testing-view-sample.md) 1. **Associare il pacchetto di protezione (Web ACL) a una risorsa** Se il protection pack (Web ACL) non è già associato a una risorsa, associalo. Per informazioni, consulta [Associare o dissociare la protezione a una risorsa AWS](web-acl-associating-aws-resource.md). 1. **Monitora il traffico e la corrispondenza delle regole di Bot Control** Assicurati che il traffico scorra e che le regole del gruppo di regole gestito da Bot Control aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere le metriche dei bot e delle etichette nei parametri di Amazon CloudWatch . Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate in `ruleGroupList` with `action` set to count e `overriddenAction` indicano l'azione della regola configurata che hai ignorato. **Nota** Il gruppo di regole gestito da Bot Control verifica i bot utilizzando gli indirizzi IP di. AWS WAF Se utilizzi Bot Control e hai verificato i bot che effettuano il routing attraverso un proxy o un sistema di bilanciamento del carico, potresti dover autorizzarli esplicitamente utilizzando una regola personalizzata. Per informazioni su come creare una regola personalizzata, consulta. [Utilizzo degli indirizzi IP inoltrati in AWS WAF](waf-rule-statement-forwarded-ip-address.md) Per informazioni su come utilizzare la regola per personalizzare la gestione delle richieste web di Bot Control, consulta il passaggio successivo. Esamina attentamente la gestione delle richieste Web per individuare eventuali falsi positivi che potresti dover mitigare con una gestione personalizzata. Per esempi di falsi positivi, vedere. [Scenari di esempio di falsi positivi con AWS WAF Bot Control](waf-bot-control-false-positives.md) 1. **Personalizza la gestione delle richieste web di Bot Control** Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole di Bot Control le gestirebbero altrimenti. Il modo in cui eseguire questa operazione dipende dal caso d'uso, ma le soluzioni più comuni sono le seguenti: + Consenti esplicitamente le richieste con una regola che aggiungi prima del gruppo di regole gestito da Bot Control. In questo modo, le richieste consentite non raggiungono mai il gruppo di regole per la valutazione. Questo può aiutare a contenere il costo dell'utilizzo del gruppo di regole gestito da Bot Control. + Escludi le richieste dalla valutazione di Bot Control aggiungendo un'istruzione scope-down all'interno dell'istruzione del gruppo di regole gestito da Bot Control. Funziona come l'opzione precedente. Può aiutare a contenere i costi dell'utilizzo del gruppo di regole gestito da Bot Control, poiché le richieste che non corrispondono all'istruzione scope-down non raggiungono mai la valutazione del gruppo di regole. Per informazioni sulle istruzioni scope-down, consulta. [Utilizzo di istruzioni scope-down in AWS WAF](waf-rule-scope-down-statements.md) Per esempi di , consulta le sezioni seguenti: + [Esclusione dell'intervallo IP dalla gestione dei bot](waf-bot-control-example-scope-down-ip.md) + [Consentire il traffico proveniente da un bot che controlli](waf-bot-control-example-scope-down-your-bot.md) + Utilizza le etichette Bot Control nella gestione delle richieste per consentire o bloccare le richieste. Aggiungi una regola di corrispondenza delle etichette dopo il gruppo di regole gestito da Bot Control per filtrare le richieste etichettate che desideri consentire da quelle che desideri bloccare. Dopo il test, mantieni le relative regole di Bot Control in modalità count e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata. Per informazioni sulle istruzioni label match, consulta[Dichiarazione della regola di corrispondenza delle etichette](waf-rule-statement-type-label-match.md). Per esempi di questo tipo di personalizzazione, consulta quanto segue: + [Creazione di un'eccezione per un agente utente bloccato](waf-bot-control-example-user-agent-exception.md) + [Autorizzazione di uno specifico bot bloccato](waf-bot-control-example-allow-blocked-bot.md) + [Blocco dei bot verificati](waf-bot-control-example-block-verified-bots.md) Per ulteriori esempi, consulta [AWS WAF Esempi di Bot Control](waf-bot-control-examples.md). 1. **Se necessario, abilita le impostazioni del gruppo di regole gestito da Bot Control** A seconda della situazione, potresti aver deciso di lasciare alcune regole di Bot Control in modalità count o con un'azione diversa che sostituisce. Per le regole che desideri far eseguire così come sono configurate all'interno del gruppo di regole, abilita la normale configurazione delle regole. A tale scopo, modifica l'istruzione del gruppo di regole nel tuo protection pack (Web ACL) e apporta le modifiche nel riquadro **Regole**.