**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Regras gerenciadas para AWS WAF
<a name="aws-managed-rule-groups"></a>

Esta seção explica para que AWS servem as Regras AWS WAF Gerenciadas.

AWS O Managed Rules for AWS WAF é um serviço gerenciado que fornece proteção contra vulnerabilidades de aplicativos ou outros tráfegos indesejados. Você tem a opção de selecionar um ou mais grupos de regras das Regras AWS gerenciadas para cada ACL da web, até o limite máximo da unidade de capacidade (WCU) do pacote de proteção (ACL da web). 

**Mitigação de falsos positivos e testes de mudanças no grupo de regras**  
Antes de usar qualquer grupo de regras gerenciadas na produção, teste-o em um ambiente que não seja de produção, conforme as orientações em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md). Siga as orientações de teste e ajuste ao adicionar um grupo de regras ao pacote de proteção (ACL da Web), para testar uma nova versão de um grupo de regras e sempre que um grupo de regras não gerenciar o tráfego da Web como necessário. 

**Responsabilidades de segurança compartilhadas**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Importante**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

# AWS Lista de grupos de regras de regras gerenciadas
<a name="aws-managed-rule-groups-list"></a>

Esta seção fornece uma lista dos grupos de regras de regras AWS gerenciadas disponíveis.

Esta seção descreve as versões mais recentes dos grupos de regras de regras AWS gerenciadas. Você as vê no console quando você adiciona um grupo de regras gerenciadas ao pacote de proteção (ACL da Web). Por meio da API, você pode recuperar essa lista junto com os grupos de AWS Marketplace regras nos quais está inscrito por meio de chamadas. `ListAvailableManagedRuleGroups` 

**nota**  
Para obter informações sobre como recuperar as versões de um grupo de regras de regras AWS gerenciadas, consulte[Recuperação das versões disponíveis para um grupo de regras gerenciadas](waf-using-managed-rule-groups-versions.md). 

Todos os grupos de regras de regras AWS gerenciadas oferecem suporte à rotulagem, e as listagens de regras nesta seção incluem especificações de etiquetas. Você pode recuperar os rótulos de um grupo de regras gerenciadas por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade AvailableLabels na resposta. Para saber mais sobre rotulagem, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

Teste e ajuste todas as alterações em suas AWS WAF proteções antes de usá-las para tráfego de produção. Para mais informações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**Contents**
+ [Grupos de regras de linha de base](aws-managed-rule-groups-baseline.md)
  + [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [Grupo de regras gerenciadas de proteção administrativa](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [Grupos de regras específicos de caso de uso](aws-managed-rule-groups-use-case.md)
  + [Grupo de regras gerenciadas do banco de dados SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [WordPress grupo de regras gerenciado por aplicativos](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md)
  + [Grupo de regras gerenciadas da lista de reputação de IPs da Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [Grupo de regras gerenciadas da lista de IPs anônimos](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md)
  + [Considerações sobre o uso deste grupo de regras](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [Rótulos adicionados por esse grupo de regras](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [rótulos de token](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [rótulos do ACFP](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [Lista de regras de prevenção contra fraude na criação de contas](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md)
  + [Considerações sobre o uso deste grupo de regras](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [Rótulos adicionados por esse grupo de regras](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [rótulos de token](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [rótulos do ATP](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [Lista de regras de prevenção contra apropriação de contas](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md)
  + [Níveis de proteção](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [Considerações sobre o uso deste grupo de regras](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [Rótulos adicionados por esse grupo de regras](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [rótulos de token](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [Rótulos do Controle de Bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [Lista de regras do Controle de Bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md)
  + [Considerações sobre o uso deste grupo de regras](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [Rótulos adicionados por esse grupo de regras](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [rótulos de token](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [Etiquetas DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [Lista de regras DDo anti-S](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Grupos de regras de linha de base
<a name="aws-managed-rule-groups-baseline"></a>

Os grupos de regras gerenciadas de linha de base fornecem proteção geral contra uma grande variedade de ameaças comuns. Escolha um ou mais desses grupos de regras para estabelecer a proteção da linha de base para seus recursos. 

## Grupo de regras gerenciadas do conjunto de regras principais (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesCommonRuleSet`, WCU: 700

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do conjunto de regras principais (CRS) contém regras que são aplicáveis de modo geral a aplicativos web. Isso fornece proteção contra a exploração de uma ampla gama de vulnerabilidades, incluindo algumas das vulnerabilidades comuns e de alto risco descritas em publicações do OWASP, como [OWASP Top 10](https://owasp.org/www-project-top-ten/).. Considere usar esse grupo de regras para qualquer caso de AWS WAF uso.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Inspeciona as solicitações sem o cabeçalho HTTP `User-Agent`. Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Inspeciona valores de cabeçalho `User-Agent` comuns que indicam que a solicitação é um bot inválido. Os padrões de exemplo incluem `nessus` e `nmap`. Para gerenciamento de bots, consulte também [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Inspeciona strings de consulta de URI com mais de 2.048 bytes.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Inspeciona cabeçalhos de cookies com mais de 10.240 bytes.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Inspeciona corpos de solicitação com mais de 8 KB (8.192 bytes).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Inspeciona paths de URI com mais de 1.024 bytes.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Inspeciona tentativas de exfiltrar metadados Amazon EC2 do corpo da solicitação.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Inspeciona tentativas de exfiltrar metadados Amazon EC2 do cookie de solicitação.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Amazon EC2Inspeciona tentativas de exfiltrar metadados do path do URI de solicitação.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Inspeciona tentativas de exfiltrar metadados do Amazon EC2 dos argumentos da consulta de solicitação.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Inspeciona a presença de explorações de inclusão local de arquivos (LFI) nos argumentos de consulta. Exemplos incluem tentativas de path traversal usando técnicas como `../../`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Inspeciona a presença de explorações de inclusão local de arquivos (LFI) no caminho do URI. Exemplos incluem tentativas de path traversal usando técnicas como `../../`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Inspeciona a presença de explorações de inclusão local de arquivos (LFI) no corpo da solicitação. Exemplos incluem tentativas de path traversal usando técnicas como `../../`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Inspeciona as solicitações cujos caminhos de URI contêm extensões de arquivos do sistema que não são seguras para leitura ou execução. Os padrões de exemplo incluem extensões como `.log` e `.ini`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Inspeciona as solicitações cujos argumentos de consulta contêm extensões de arquivos do sistema que não são seguras para leitura ou execução. Os padrões de exemplo incluem extensões como `.log` e `.ini`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da Web por meio da incorporação URLs que contém endereços. IPv4 Os exemplos incluem padrões como`http://`,`https://`,`ftp://`, e `ftps://``file://`, com um cabeçalho de IPv4 host na tentativa de exploração.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Inspeciona o corpo da solicitação em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da Web por meio da incorporação URLs que contém endereços. IPv4 Os exemplos incluem padrões como`http://`,`https://`,`ftp://`, e `ftps://``file://`, com um cabeçalho de IPv4 host na tentativa de exploração.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Inspeciona o caminho do URI em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da Web por meio da incorporação URLs que contém endereços. IPv4 Os exemplos incluem padrões como`http://`,`https://`,`ftp://`, e `ftps://``file://`, com um cabeçalho de IPv4 host na tentativa de exploração.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Inspeciona os valores dos cabeçalhos de cookies em busca de padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Inspeciona os valores dos argumentos de consulta para padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Inspeciona o valor do caminho do URI para padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Grupo de regras gerenciadas de proteção administrativa
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras de proteção de administrador contém regras que permitem bloquear o acesso externo a páginas administrativas expostas. Isso poderá ser útil se você executar software de terceiros ou quiser reduzir o risco de um agente mal-intencionado obter acesso administrativo ao aplicativo.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Inspeciona caminhos de URI que geralmente são reservados para a administração de um aplicativo ou servidor web. Os padrões de exemplo incluem `sqlmanager`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Grupo de regras gerenciadas de entradas nocivas conhecidas
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras de entradas nocivas conhecidas contém regras para bloquear padrões de solicitação conhecidos como inválidos e associados à exploração ou à descoberta de vulnerabilidades. Isso pode ajudar a reduzir o risco de um agente mal-intencionado descobrir um aplicativo vulnerável.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Inspeciona as chaves e os valores dos cabeçalhos de solicitação HTTP em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Inspeciona o URI da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Inspeciona a string de consulta da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Inspeciona o cabeçalho do host na solicitação buscando padrões que indicam localhost. Os padrões de exemplo incluem `localhost`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Inspeciona o método HTTP na solicitação buscando `PROPFIND`, que é um método semelhante ao `HEAD`, mas com a intenção adicional de exfiltrar objetos XML.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Inspeciona o caminho do URI buscando tentativas de acessar caminhos de aplicativos web exploráveis. Os padrões de exemplo incluem caminhos como `web-inf`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  Inspeciona as chaves e os valores dos cabeçalhos de solicitação quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  Inspeciona as strings de consulta quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  Inspeciona o corpo quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  Inspeciona o caminho do URI quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões que indiquem a presença de CVE-2025-55182.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e AWS Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `CONTINUE` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Grupos de regras específicos de caso de uso
<a name="aws-managed-rule-groups-use-case"></a>

Grupos de regras específicos para casos de uso fornecem proteção incremental para diversos AWS WAF casos de uso. Escolha os grupos de regras que se aplicam ao seu aplicativo. 

## Grupo de regras gerenciadas do banco de dados SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesSQLiRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do banco de dados SQL contém regras para bloquear padrões de solicitação associados à exploração de bancos de dados SQL, como ataques de injeção de SQL. Isso pode ajudar a evitar a injeção remota de consultas não autorizadas. Avalie esse grupo de regras para uso se o aplicativo fizer interface com um banco de dados SQL.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar os valores de todos os parâmetros de consulta em busca de padrões que correspondam ao código SQL malicioso.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta buscando padrões que correspondem ao código SQL mal-intencionado. Os padrões que essa regra inspeciona não são cobertos pelo `SQLi_QUERYARGUMENTS` da regra.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar o corpo da solicitação em busca de padrões que correspondam ao código SQL malicioso.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões que correspondam ao código SQL malicioso. Os padrões que essa regra inspeciona não são cobertos pelo `SQLi_BODY` da regra.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar os cabeçalhos dos cookies de solicitação em busca de padrões que correspondam ao código SQL malicioso.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar os cabeçalhos dos cookies de solicitação em busca de padrões que correspondam ao código SQL malicioso.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Grupo de regras gerenciadas do sistema operacional Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesLinuxRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do sistema operacional Linux contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas do Linux, incluindo ataques de inclusão local de arquivos (LFI) específicos do Linux. Isso pode ajudar a evitar ataques que expõem o conteúdo do arquivo ou executam código ao qual o invasor não deveria ter tido acesso. Você deve avaliar esse grupo de regras se qualquer parte do seu aplicativo for executado no Linux. Você deve usar esse grupo de regras com o grupo de regras [Sistema operacional POSIX](#aws-managed-rule-groups-use-case-posix-os).

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| LFI\$1URIPATH |  Inspeciona o caminho da solicitação buscando tentativas de explorar vulnerabilidades de inclusão local de arquivos (LFI) em aplicativos web. Os padrões de exemplo incluem arquivos como `/proc/version`, que podem fornecer informações do sistema operacional para invasores.  Ação de regra: Block Rótulo: `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Inspeciona os valores de todas as sequências de consulta buscando tentativas de explorar vulnerabilidades de inclusão local de arquivos (LFI) em aplicativos web. Os padrões de exemplo incluem arquivos como `/proc/version`, que podem fornecer informações do sistema operacional para invasores.  Ação de regra: Block Rótulo: `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Inspeciona o corpo da solicitação buscando tentativas de explorar vulnerabilidades de inclusão local de arquivos (LFI) em aplicativos web. Os padrões de exemplo incluem arquivos como `/proc/version`, que podem fornecer informações do sistema operacional para invasores.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:linux-os:LFI_Header`  | 

## Grupo de regras gerenciadas do sistema operacional POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesUnixRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do sistema operacional POSIX contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas para sistemas operacionais POSIX e semelhantes, incluindo ataques de inclusão local de arquivos (LFI). Isso pode ajudar a evitar ataques que expõem o conteúdo do arquivo ou executam código ao qual o invasor não deveria ter tido acesso. Você deverá avaliar esse grupo de regras se qualquer parte do aplicativo for executada em um sistema operacional POSIX ou semelhante, incluindo Linux, AIX, HP-UX, macOS, Solaris, FreeBSD e OpenBSD. 

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Inspeciona os valores das strings de consulta buscando tentativas de explorar vulnerabilidades de injeção de comando, de LFI e de path traversal em aplicativos web executados em sistemas Unix. Exemplos incluem padrões como `echo $HOME` e `echo $PATH`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Inspeciona o corpo da solicitação buscando tentativas de explorar vulnerabilidades de injeção de comando, LFI e path traversal em aplicativos web executados em sistemas Unix. Exemplos incluem padrões como `echo $HOME` e `echo $PATH`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Inspeciona todos os cabeçalhos de solicitação para explorar vulnerabilidades de injeção de comando, de LFI e de path traversal em aplicativos web executados em sistemas Unix. Exemplos incluem padrões como `echo $HOME` e `echo $PATH`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Grupo de regras gerenciadas do sistema operacional Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesWindowsRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do sistema operacional Windows contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas do Windows, como a execução remota de PowerShell comandos. Isso pode ajudar a impedir a exploração de vulnerabilidades que permitem que um invasor execute comandos não autorizados ou códigos mal-intencionados. Avalie esse grupo de regras se alguma parte do seu aplicativo for executada em um sistema operacional Windows.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Inspeciona os cabeçalhos do cookie de solicitação em busca de tentativas de injeção de WindowsShell comando em aplicativos da web. Os padrões de correspondência representam WindowsShell comandos. Os padrões de exemplo incluem `\|\|nslookup` e `;cmd`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta para tentativas de injeção de WindowsShell comando em aplicativos web. Os padrões de correspondência representam WindowsShell comandos. Os padrões de exemplo incluem `\|\|nslookup` e `;cmd`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Inspeciona o corpo da solicitação em busca de tentativas de injeção de WindowsShell comando em aplicativos da web. Os padrões de correspondência representam WindowsShell comandos. Os padrões de exemplo incluem `\|\|nslookup` e `;cmd`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Inspeciona os cabeçalhos do cookie de solicitação em busca de tentativas de injeção de PowerShell comando em aplicativos da web. Os padrões de correspondência representam PowerShell comandos. Por exemplo, .`Invoke-Expression`  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta para tentativas de injeção de PowerShell comando em aplicativos web. Os padrões de correspondência representam PowerShell comandos. Por exemplo, .`Invoke-Expression`  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Inspeciona o corpo da solicitação em busca de tentativas de injeção de PowerShell comando em aplicativos da web. Os padrões de correspondência representam PowerShell comandos. Por exemplo, .`Invoke-Expression`  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## Grupo de regras gerenciadas do aplicativo PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesPHPRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do aplicativo PHP contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas para o uso da linguagem de programação PHP, incluindo injeção de funções PHP não seguras. Isso pode ajudar a impedir a exploração de vulnerabilidades que permitem que um invasor execute código ou comandos remotamente para os quais ele não está autorizado. Avalie este grupo de regras se o PHP estiver instalado em qualquer servidor com o qual seu aplicativo interage.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Inspeciona todos os cabeçalhos buscando tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Inspeciona tudo depois do primeiro `?` na URL da solicitação, procurando por tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Inspeciona os valores do corpo da solicitação buscando tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Inspeciona o caminho da solicitação para tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress grupo de regras gerenciado por aplicativos
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesWordPressRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do WordPress aplicativo contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas dos WordPress sites. Você deve avaliar esse grupo de regras se estiver executandoWordPress. Esse grupo de regras deve ser usado com os grupos de regras [Banco de dados SQL](#aws-managed-rule-groups-use-case-sql-db) e [Aplicativo PHP](#aws-managed-rule-groups-use-case-php-app).

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Inspeciona a string de consulta da solicitação em busca de WordPress comandos de alto risco que possam ser explorados em instalações ou plug-ins vulneráveis. Os padrões de exemplo incluem comandos como `do-reset-wordpress`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Inspeciona o caminho do URI da solicitação para WordPress arquivos como`xmlrpc.php`, que são conhecidos por terem vulnerabilidades facilmente exploráveis.  Ação de regra: Block Rótulo: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Grupos de regras de reputação de IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Os grupos de regras de reputação de IP bloqueiam solicitações com base em seu endereço IP de origem. 

**nota**  
Essas regras usam o endereço IP de origem da solicitação da web. Se você tiver tráfego que passa por um ou mais proxies ou balanceadores de carga, a origem da solicitação da web conterá o endereço do último proxy, e não o endereço de origem do cliente. 

Escolha um ou mais desses grupos de regras se quiser reduzir sua exposição ao tráfego de bot e a tentativas de exploração ou se estiver aplicando restrições geográficas ao seu conteúdo. Para gerenciamento de bots, consulte também [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).

Os grupos de regras nessa categoria não fornecem notificações de versionamento ou atualização do SNS. 

## Grupo de regras gerenciadas da lista de reputação de IPs da Amazon
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesAmazonIpReputationList`, WCU: 25

**nota**  
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras da lista de reputação de IP da Amazon contém regras baseadas na inteligência de ameaças internas da Amazon. Isso é útil se você quiser bloquear endereços IP normalmente associados a bots ou outras ameaças. Bloquear esses endereços IP pode ajudar a diminuir bots e reduzir o risco de um agente mal-intencionado descobrir um aplicativo vulnerável.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| AWSManagedIPReputationList |  Inspeciona os endereços IP que foram identificados como ativamente envolvidos em atividades maliciosas. AWS WAF coleta a lista de endereços IP de várias fontes MadPot, incluindo uma ferramenta de inteligência contra ameaças que a Amazon usa para proteger os clientes contra crimes cibernéticos. Para obter mais informações sobre MadPot, consulte[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Ação de regra: Block Rótulo: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Inspeciona as conexões de endereços IP que estão realizando reconhecimento em relação aos recursos da AWS .  Ação de regra: Block Rótulo: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Inspeciona os endereços IP que foram identificados como ativamente envolvidos nas atividades DDo de S.  Ação de regra: Count Rótulo: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## Grupo de regras gerenciadas da lista de IPs anônimos
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesAnonymousIpList`, WCU: 50

**nota**  
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Esse grupo de regras da lista de IPs anônimos contém regras para bloquear solicitações de serviços que permitem a ofuscação da identidade do visualizador. Isso inclui solicitações deVPNs, proxies, nós Tor e provedores de hospedagem na web. Esse grupo de regras é útil se você quiser filtrar visualizadores que podem estar tentando ocultar a identidade do seu aplicativo. Bloquear os endereços IP desses serviços pode ajudar a mitigar bots e evasão de restrições geográficas.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| AnonymousIPList |  Inspeciona buscando uma lista de endereços IP de fontes conhecidas por anonimizar informações de clientes, como nós TOR, proxies temporários e outros serviços de mascaramento.  Ação de regra: Block Rótulo: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Inspeciona buscando uma lista de endereços IP de provedores de nuvem e de hospedagem, que são menos propensos a gerar tráfego de usuário final. A lista de IPs não inclui endereços AWS IP. Ação de regra: Block Rótulo: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes
<a name="aws-managed-rule-groups-acfp"></a>

Esta seção explica o que o AWS WAF grupo de regras gerenciadas de prevenção de fraudes na criação de contas (ACFP) do Fraud Control faz.

VendorName:`AWS`, Nome:`AWSManagedRulesACFPRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O AWS WAF grupo de regras gerenciado para prevenção de fraudes na criação de contas (ACFP) do Fraud Control rotula e gerencia solicitações que podem fazer parte de tentativas fraudulentas de criação de contas. O grupo de regras faz isso inspecionando as solicitações de criação de conta que os clientes enviam para os endpoints de registro e criação de conta do seu aplicativo. 

O grupo de regras do ACFP inspeciona as tentativas de criação de contas de várias maneiras, para oferecer visibilidade e controle sobre interações potencialmente maliciosas. O grupo de regras usa tokens de solicitação para coletar informações sobre o navegador do cliente e sobre o nível de interatividade humana na criação da solicitação de criação da conta. O grupo de regras detecta e gerencia as tentativas de criação de contas em massa agregando solicitações por endereço IP e sessão do cliente e agregando pelas informações fornecidas da conta, como endereço físico e número de telefone. Além disso, o grupo de regras detecta e bloqueia a criação de novas contas usando credenciais que foram comprometidas, o que ajuda a proteger a postura de segurança de seu aplicativo e de seus novos usuários. 

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-acfp-using"></a>

Este grupo de regras requer uma configuração personalizada, que inclui a especificação dos caminhos de registro da conta e de criação da conta da aplicação. Exceto onde indicado, as regras desse grupo de regras inspecionam todas as solicitações que seus clientes enviam para esses dois endpoints. Para configurar e implementar esse grupo de regras, consulte a orientação em [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md). 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

Esse grupo de regras não está disponível para uso com grupos de usuários do Amazon Cognito. Você não pode associar um pacote de proteção (ACL da Web) que usa esse grupo de regras a um grupo de usuários nem adicionar esse grupo de regras a um pacote de proteção (ACL da Web) já esteja associado a um grupo de usuários.

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-acfp-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### rótulos do ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Esse grupo de regras gera rótulos com o prefixo do namespace `awswaf:managed:aws:acfp:` seguido pelo namespace personalizado e pelo nome do rótulo. O grupo de regras pode adicionar mais de um rótulo a uma solicitação. 

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

## Lista de regras de prevenção contra fraude na criação de contas
<a name="aws-managed-rule-groups-acfp-rules"></a>

Esta seção lista as regras de ACFP em `AWSManagedRulesACFPRuleSet` e os rótulos que as regras do grupo de regras adicionam às solicitações da Web.

Todas as regras desse grupo de regras exigem um token de solicitação da web, exceto `UnsupportedCognitoIDP` e `AllRequests` das duas primeiras. Para obter uma descrição das informações que o token fornece, consulte [AWS WAF características do token](waf-tokens-details.md). 

Exceto onde indicado, as regras desse grupo de regras inspecionam todas as solicitações que seus clientes enviam para os caminhos da página de registro e criação de conta que você fornece na configuração do grupo de regras. Para saber mais sobre como configurar esse grupo de regras, consulte [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md). 

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| UnsupportedCognitoIDP |  Inspeciona o tráfego da web que vai para um grupo de usuários do Amazon Cognito. O ACFP não está disponível para uso com grupos de usuários do Amazon Cognito, e essa regra ajuda a garantir que as outras regras do grupo de regras do ACFP não sejam usadas para avaliar o tráfego de grupos de usuários. Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:unsupported:cognito_idp` e `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Aplica a ação de regra às solicitações que acessam o caminho da página de registro. Você configura o caminho da página de registro ao configurar o grupo de regras.  Por padrão, essa regra se aplica às solicitações Challenge. Ao aplicar essa ação, a regra garante que o cliente adquira um token de desafio antes que qualquer solicitação seja avaliada pelo restante das regras no grupo de regras.  Certifique-se de que seus usuários finais carreguem o caminho da página de registro antes de enviarem uma solicitação de criação de conta.  Os tokens são adicionados às solicitações pela integração do aplicativo cliente SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter a aquisição mais eficiente de tokens, é altamente recomendável que você use a integração de aplicativos SDKs. Para obter mais informações, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).  Ação de regra: Challenge Rótulos: nenhum  | 
| RiskScoreHigh |  Inspeciona solicitações de criação de conta com endereços IP ou outros fatores considerados altamente suspeitos. Essa avaliação geralmente é baseada em vários fatores contribuintes, que você pode ver nos rótulos `risk_score` que o grupo de regras adiciona à solicitação. Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:risk_score:high` e `awswaf:managed:aws:acfp:RiskScoreHigh`  A regra também pode aplicar rótulos de pontuação de risco `medium` ou `low` à solicitação.  Se AWS WAF não conseguir avaliar a pontuação de risco da solicitação da web, a regra adiciona o rótulo `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Além disso, a regra adiciona rótulos com o `awswaf:managed:aws:acfp:risk_score:contributor:` do namespace que incluem o status e os resultados da avaliação da pontuação de risco para contribuidores específicos da pontuação de risco, como avaliações de reputação de IP e credenciais roubadas.  | 
| SignalCredentialCompromised |  Pesquisa no banco de dados de credenciais roubadas as credenciais que foram enviadas na solicitação de criação da conta.  Essa regra garante que novos clientes inicializem suas contas com uma postura de segurança positiva.   Você pode adicionar uma resposta de bloqueio personalizada para descrever o problema para o usuário final e dizer a ele como proceder. Para mais informações, consulte [Exemplo de ACFP: resposta personalizada para credenciais comprometidas](waf-acfp-control-example-compromised-credentials.md).  Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:signal:credential_compromised` e `awswaf:managed:aws:acfp:SignalCredentialCompromised`  O grupo de regras aplica o rótulo relacionado a seguir, mas não executa nenhuma ação, pois nem todas as solicitações na criação da conta terão credenciais: `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Inspeciona o token da solicitação de criação de conta em busca de dados que indiquem interatividade humana anormal com o aplicativo. A interatividade humana é detectada por meio de interações como movimentos do mouse e pressionamentos de teclas. Se a página tiver um formulário HTML, a interatividade humana incluirá interações com o formulário.   Essa regra só inspeciona as solicitações para o caminho de criação da conta e só é avaliada se você tiver implementado a integração SDKs do aplicativo. As implementações de SDK capturam passivamente a interatividade humana e armazenam as informações no token de solicitação. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md) e [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).  Ação da regra: CAPTCHA Rótulos: nenhum. A regra determina uma correspondência com base em vários fatores, portanto, não há um rótulo individual que se aplique a todos os cenários de correspondência possíveis. O grupo de regras pode aplicar um ou mais dos rótulos a seguir às solicitações:  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Inspeciona indicadores de que o navegador do cliente pode ser automatizado.  Ação da regra: Block  Rótulos: `awswaf:managed:aws:acfp:signal:automated_browser` e `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Inspeciona o token da solicitação em busca de dados inconsistentes de interrogação do navegador. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:acfp:signal:browser_inconsistency` e `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Inspeciona grandes volumes de solicitações de criação de contas enviadas de endereços IP individuais. Um volume alto é de mais de 20 solicitações em uma janela de 10 minutos.  Os limites aplicados por essa regra podem variar um pouco devido à latência. Para o alto volume, algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.  Ação da regra: CAPTCHA Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` e `awswaf:managed:aws:acfp:VolumetricIpHigh`  A regra aplica os seguintes rótulos às solicitações com volumes médios (mais de 15 solicitações por janela de 10 minutos) e volumes baixos (mais de 10 solicitações por janela de 10 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` e `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.  | 
| VolumetricSessionHigh |  Inspeciona grandes volumes de solicitações de criação de contas enviadas de sessões individuais de clientes. Um volume alto é de mais de 10 solicitações em uma janela de 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` e `awswaf:managed:aws:acfp:VolumetricSessionHigh`  O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` e `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Inspeciona uma alta taxa de solicitações de criação de contas de uma única sessão de cliente que usa nomes de usuário diferentes. O limite para uma avaliação alta é de mais de 10 solicitações em 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` e `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos) de solicitações transversais de nome de usuário, mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` e `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Inspeciona grandes volumes de solicitações de criação de contas que usam o mesmo número de telefone. O limite para uma avaliação alta é de mais de 10 solicitações em 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` e `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` e `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Inspeciona grandes volumes de solicitações de criação de contas que usam o mesmo endereço físico. O limite para uma avaliação alta é de mais de 100 solicitações em 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` e `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Inspeciona volumes de solicitações baixos e médios de criação de contas que usam o mesmo endereço físico. O limite para uma avaliação média é de mais de 50 solicitações por janela de 30 minutos, e para uma avaliação baixa é de mais de 10 solicitações por janela de 30 minutos.  A regra aplica a ação para volumes médios ou baixos.  Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: CAPTCHA Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` e `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Inspeciona um grande volume de solicitações bem-sucedidas de criação de conta para um único endereço IP. Essa regra agrega respostas bem-sucedidas do recurso protegido às solicitações de criação de conta. O limite para uma avaliação alta é de mais de 10 solicitações em 10 minutos.  Essa regra ajuda a proteger contra tentativas de criação de contas em massa. Ele tem um limite menor do que o `VolumetricIpHigh` da regra, que conta apenas as solicitações.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login do mesmo endereço IP. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront .   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas bem-sucedidas de criação de conta do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` e `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 10 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` para mais de 5 solicitações bem-sucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` para mais de 1 solicitação bem-sucedida, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` para mais de 10 solicitações malsucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` para mais de 5 solicitações malsucedidas e `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` para mais de 1 solicitação malsucedida.   | 
| VolumetricSessionSuccessfulResponse |  Inspeciona um baixo volume de respostas bem-sucedidas do recurso protegido às solicitações de criação de conta que estão sendo enviadas de uma única sessão do cliente. Essa regra ajuda a proteger contra tentativas de criação de contas em massa. O limite para uma avaliação alta é de mais de 1 solicitação em 30 minutos.  Isso ajuda a proteger contra tentativas de criação de contas em massa. Essa regra usa um limite inferior ao da regra `VolumetricSessionHigh`, que acompanha somente as solicitações.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login da mesma sessão de cliente. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront .   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de criação de conta do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` e `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações. Todas as contagens são para uma janela de 30 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` para mais de 5 solicitações bem-sucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` para mais de 10 solicitações malsucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` para mais de 5 solicitações malsucedidas e `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` para mais de 1 solicitação malsucedida.   | 
| VolumetricSessionTokenReuseIp |  Inspeciona as solicitações de criação de conta para o uso de um único token entre mais de 5 endereços IP distintos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` e `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes
<a name="aws-managed-rule-groups-atp"></a>

Esta seção explica o que o grupo de regras gerenciadas de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control faz.

VendorName:`AWS`, Nome:`AWSManagedRulesATPRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras gerenciado de prevenção de invasão de contas (ATP) do AWS WAF Fraud Control rotula e gerencia solicitações que podem fazer parte de tentativas maliciosas de invasão de contas. O grupo de regras faz isso inspecionando as tentativas de login que os clientes enviam para o endpoint de login do seu aplicativo. 
+ **Inspeção de solicitações**: o ATP oferece visibilidade e controle sobre tentativas de login anômalas e tentativas de login que usam credenciais roubadas, para evitar apropriações de contas que possam levar a atividades fraudulentas. O ATP verifica as combinações de e-mail e senha em seu banco de dados de credenciais roubadas, que é atualizado regularmente à medida que novas credenciais vazadas são encontradas na dark web. O ATP agrega dados por endereço IP e sessão do cliente, para detectar e bloquear clientes que enviam muitas solicitações de natureza suspeita. 
+ **Inspeção de resposta** — Para CloudFront distribuições, além de inspecionar as solicitações de login recebidas, o grupo de regras ATP inspeciona as respostas do seu aplicativo às tentativas de login, para monitorar as taxas de sucesso e falha. Usando essas informações, o ATP pode bloquear temporariamente sessões de clientes ou endereços IP que tenham muitas falhas de login. O AWS WAF executa a inspeção de resposta de forma assíncrona, para que isso não aumente a latência no tráfego da web. 

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-atp-using"></a>

Esse grupo de regras exige uma configuração específica. Para configurar e implementar esse grupo de regras, consulte a orientação em [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md). 

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

Esse grupo de regras não está disponível para uso com grupos de usuários do Amazon Cognito. Você não pode associar um pacote de proteção (ACL da Web) que usa esse grupo de regras a um grupo de usuários nem adicionar esse grupo de regras a um pacote de proteção (ACL da Web) já esteja associado a um grupo de usuários.

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-atp-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### rótulos do ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

O grupo de regras gerenciadas do ATP gera rótulos com o `awswaf:managed:aws:atp:` do prefixo do namespace seguido pelo namespace personalizado e pelo nome do rótulo. 

O grupo de regras pode adicionar qualquer um dos rótulos a seguir, além dos rótulos indicados na lista de regras:
+ `awswaf:managed:aws:atp:signal:credential_compromised`: indica que as credenciais enviadas na solicitação estão no banco de dados de credenciais roubadas. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponível somente para CloudFront distribuições protegidas da Amazon. Indica que uma sessão do cliente enviou várias solicitações que usaram uma impressão digital TLS suspeita. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`: indica o uso de um único token entre mais de 5 endereços IP distintos. Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que o rótulo seja aplicado. 

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

## Lista de regras de prevenção contra apropriação de contas
<a name="aws-managed-rule-groups-atp-rules"></a>

Esta seção lista as regras de ATP em `AWSManagedRulesATPRuleSet` e os rótulos que as regras do grupo de regras adicionam às solicitações da Web.

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| UnsupportedCognitoIDP | Inspeciona o tráfego da web que vai para um grupo de usuários do Amazon Cognito. O ATP não está disponível para uso com grupos de usuários do Amazon Cognito, e essa regra ajuda a garantir que as outras regras do grupo de regras do ATP não sejam usadas para avaliar o tráfego de grupos de usuários. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:unsupported:cognito_idp` e `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Inspeciona grandes volumes de solicitações de criação de contas enviadas de endereços IP individuais. Um volume alto é de mais de 20 solicitações em uma janela de 10 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Para o alto volume, algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` e `awswaf:managed:aws:atp:VolumetricIpHigh`  O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 15 solicitações por janela de 10 minutos) e volumes baixos (mais de 10 solicitações por janela de 10 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` e `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Inspeciona grandes volumes de solicitações de criação de contas enviadas de sessões de clientes individuais. O limite é de mais de 20 solicitações em 30 minutos.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:session` e `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Inspeciona várias solicitações da mesma sessão do cliente que usam credenciais roubadas.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` e `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Inspeciona várias solicitações da mesma sessão do cliente que usam traversal de nome de usuário.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` e `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Inspeciona várias solicitações com o mesmo nome do usuário que usam traversal de senha.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` e `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Inspeciona várias solicitações da mesma sessão do cliente que usam solicitações de longa duração. O limite é de mais de 6 horas de tráfego com pelo menos uma solicitação de login a cada 30 minutos. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:long_session` e `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Inspeciona solicitações com tokens que foram rejeitados pelo gerenciamento de AWS WAF tokens.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: Block Rótulos: nenhum. Para verificar se o token foi rejeitado, use uma regra de correspondência de rótulo para corresponder ao rótulo: `awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Inspeciona solicitações com credenciais sem o nome de usuário ou a senha.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:signal:missing_credential` e `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Inspeciona endereços IP que recentemente foram a fonte de uma taxa muito alta de tentativas de login malsucedidas. Um volume alto é de mais de 10 solicitações de login mal sucedidas de um endereço IP em uma janela de 10 minutos.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login do mesmo endereço IP. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront.   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de login do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` e `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para mais de 5 solicitações malsucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para mais de 1 solicitação malsucedida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para mais de 5 solicitações bem-sucedidas e `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para mais de 1 solicitação bem-sucedida.   | 
| VolumetricSessionFailedLoginResponseHigh |  Inspeciona sessões de clientes que recentemente foram a fonte de uma taxa muito alta de tentativas de login malsucedidas. Um volume alto é mais de 10 solicitações de login malsucedidas de uma sessão de cliente em uma janela de 30 minutos.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login da mesma sessão de cliente. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront .   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de login do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` e `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para mais de 5 solicitações malsucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para mais de 1 solicitação malsucedida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para mais de 5 solicitações bem-sucedidas e `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para mais de 1 solicitação bem-sucedida.   | 

# AWS WAF Grupo de regras do Bot Control
<a name="aws-managed-rule-groups-bot"></a>

Esta seção explica o que o grupo de regras gerenciadas do Controle de Bots faz.

VendorName:`AWS`, Nome:`AWSManagedRulesBotControlRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se você precisar solicitar uma nova classificação de bots para o Controle de Bots ou de informações adicionais não incluídas aqui, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).

O grupo de regras gerenciadas do Controle de Bots fornece regras que gerenciam solicitações de bots. Os bots podem consumir recursos em excesso, distorcer as métricas de negócios, causar tempo de inatividade e realizar atividades maliciosas. 

## Níveis de proteção
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

O grupo de regras gerenciadas do Controle de Bots fornece dois níveis de proteção que você pode escolher: 
+ **Comum**: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar. 
+ **Direcionado**: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano. 
  + **`TGT_`**: as regras que fornecem proteção direcionada têm nomes que começam com `TGT_`. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. 
  + **`TGT_ML_`**: as regras de proteção direcionada que usam machine learning têm nomes que começam com `TGT_ML_`. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras. 

O nível de proteção desejado e a declaração de regra AWS WAF baseada em taxas fornecem limitação de taxa. Para uma comparação das duas opções, consulte [Opções para limitação de intervalo em regras baseadas em intervalos e regras direcionadas do Controle de Bots](waf-rate-limiting-options.md).

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-bot-using"></a>

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

Atualizamos periodicamente nossos modelos de machine learning (ML) para as regras baseadas em ML do nível de proteção direcionado, a fim de melhorar as previsões de bots. As regras baseadas em ML têm nomes que começam com `TGT_ML_`. Se você notar uma mudança repentina e substancial nas previsões de bots feitas por essas regras, entre em contato conosco por meio de seu gerente de conta ou abra um caso no [ Center AWS Support](https://console.aws.amazon.com/support/home#/). 

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-bot-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### Rótulos do Controle de Bots
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

O grupo de regras gerenciadas do Controle de Bots gera rótulos com o `awswaf:managed:aws:bot-control:` do prefixo do namespace seguido pelo namespace personalizado e pelo nome do rótulo. O grupo de regras pode adicionar mais de um rótulo a uma solicitação. 

Cada rótulo reflete as descobertas de regras do Controle de Bots: 
+ `awswaf:managed:aws:bot-control:bot:`: informações sobre o bot associado à solicitação. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`: o nome do bot, se houver um disponível, por exemplo, os namespaces personalizados `bot:name:slurp`, `bot:name:googlebot`, e `bot:name:pocket_parser`. 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifica o bot específico usando o token do produto RFC da assinatura WBA. Isso é usado para criar regras personalizadas granulares para bots específicos. Por exemplo, permita, `GoogleBot` mas limite a taxa, outros rastreadores. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— A categoria de bot, conforme definida por AWS WAF, por exemplo, `bot:category:search_engine` `bot:category:content_fetcher` e. 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Para bots que usam somente o Amazon Bedrock Agent Core. Esse rótulo contém um hash opaco que identifica exclusivamente a AWS conta proprietária do agente. Use esse rótulo para criar regras personalizadas que permitem, bloqueiam ou limitam a taxa de bots de AWS contas específicas sem expor a conta IDs nos registros.
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Aplicado quando a validação do Web Bot Authentication (WBA) é realizada em uma solicitação. O sufixo de status indica o resultado da verificação:
    + `web_bot_auth:verified`— Assinatura validada com sucesso em relação ao diretório de chaves públicas
    + `web_bot_auth:invalid`— Assinatura presente, mas falha na validação criptográfica
    + `web_bot_auth:expired`— A assinatura usou uma chave criptográfica expirada
    + `web_bot_auth:unknown_bot`— ID da chave não encontrada no diretório de chaves
**nota**  
Quando o `web_bot_auth:verified` rótulo está presente, as `TGT_TokenAbsent` regras `CategoryAI` e não coincidem, permitindo que os hosts WBA verificados continuem.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`: o publicador do bot, por exemplo, `bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`: usado para indicar um bot que se identifica e que o Controle de Bots conseguiu verificar. Isso é usado para bots comuns desejáveis e pode ser útil quando combinado com rótulos de categoria como `bot:category:search_engine` ou rótulos de nome como `bot:name:googlebot`. 
**nota**  
O Controle de Bots usa o endereço IP da origem da solicitação da web para ajudar a determinar se um bot foi verificado. Você não pode configurá-lo para usar a configuração de IP encaminhada pelo AWS WAF para inspecionar uma fonte de endereço IP diferente. Se você verificou bots que fazem roteamento por meio de um proxy ou balanceador de carga, você pode adicionar uma regra que é executada antes do grupo de regras do Controle de bots para ajudar com isso. Configure sua nova regra para usar o endereço IP encaminhado e permitir explicitamente as solicitações dos bots verificados. Para saber mais sobre utilizar endereços IP encaminhados, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifica o fornecedor ou operador de um bot verificado. Atualmente disponível apenas para Agentcore. Use para criar regras personalizadas que permitem ou bloqueiam fornecedores de bots específicos, independentemente dos nomes de bots individuais.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`: usado para indicar um bot semelhante a um bot verificado, mas que pode ser invocado diretamente pelos usuários finais. Essa categoria de bot é tratada pelas regras do Controle de Bots como um bot não verificado. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`: usado para indicar um bot semelhante a um bot verificado, mas usado por plataformas de desenvolvedores para criação de scripts, por exemplo, o Google Apps Script. Essa categoria de bot é tratada pelas regras do Controle de Bots como um bot não verificado. 
  + `awswaf:managed:aws:bot-control:bot:unverified`: usado para indicar um bot que se identifica, para que possa ser nomeado e categorizado, mas que não publica informações que possam ser usadas para verificar sua identidade de forma independente. Esses tipos de assinaturas de bots podem ser falsificados e, portanto, tratados como não verificados. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `: usado para rótulos específicos das proteções direcionadas do Controle de Bots. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>` e `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> `: usados para fornecer informações adicionais sobre a solicitação em algumas situações. 

  Veja a seguir exemplos de rótulos de sinal. Esta não é uma lista completa:
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`: indica um provedor de serviços de nuvem (CSP) para a solicitação. Exemplos CSPs incluem `aws` a infraestrutura da Amazon Web Services, `gcp` a infraestrutura do Google Cloud Platform (GCP), `azure` os serviços em nuvem do Microsoft Azure e `oracle` os serviços do Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`: indica a detecção de uma extensão para navegador que auxilia na automação, como o Selenium IDE. 

    Este rótulo é adicionado sempre que um usuário tem esse tipo de extensão instalado, mesmo que não a esteja usando ativamente. Se você implementar uma regra de correspondência de rótulos para este caso, esteja ciente da possibilidade de obter falsos positivos na lógica da sua regra e nas configurações de ações. Por exemplo, é possível usar uma ação CAPTCHA em vez de Block, ou combinar essa correspondência de rótulos com outras correspondências de rótulos, para aumentar sua confiança de que a automação está em uso.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`: indica que a solicitação contém indicadores de que o navegador do cliente pode ser automatizado.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indica que o AWS WAF token da solicitação contém indicadores de que o navegador do cliente pode ser automatizado.

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

O grupo de regras gerenciadas do Controle de Bots aplica rótulos a um conjunto de bots verificáveis que geralmente são permitidos. O grupo de regras não bloqueia esses bots verificados. Se quiser, você pode bloqueá-los ou um subconjunto deles escrevendo uma regra personalizada que usa os rótulos aplicados pelo grupo de regras gerenciadas do Controle de Bots. Para obter mais informações sobre isso e exemplos, consulte [AWS WAF Controle de bots](waf-bot-control.md).

## Lista de regras do Controle de Bots
<a name="aws-managed-rule-groups-bot-rules"></a>

Esta seção lista as regras de Controle de Bots.

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se você precisar solicitar uma nova classificação de bots para o Controle de Bots ou de informações adicionais não incluídas aqui, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).


| Nome da regra | Description | 
| --- | --- | 
| CategoryAdvertising |  Inspeciona os bots usados para fins publicitários. Por exemplo, você pode usar serviços de publicidade de terceiros que precisam acessar seu site de forma programática.  Ação de regra, aplicada somente a bots não verificados: Block Rótulos: `awswaf:managed:aws:bot-control:bot:category:advertising` e `awswaf:managed:aws:bot-control:CategoryAdvertising`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Inspeciona os bots usados para fins de arquivamento. Esses bots vasculham a Web e capturam conteúdo com o objetivo de criar arquivos. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:archiver` e `awswaf:managed:aws:bot-control:CategoryArchiver`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Inspeciona os bots que visitam o site do aplicativo em nome de um usuário, para buscar conteúdo, como feeds RSS, ou para verificar ou validar seu conteúdo.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` e `awswaf:managed:aws:bot-control:CategoryContentFetcher`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Inspeciona bots que verificam links em e-mails que apontam para o site do aplicativo. Isso pode incluir bots administrados por empresas e provedores de e-mail para verificar links em e-mails e sinalizar e-mails suspeitos. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:email_client` e `awswaf:managed:aws:bot-control:CategoryEmailClient`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Inspeciona as solicitações geradas por bots das bibliotecas HTTP de várias linguagens de programação. Isso pode incluir solicitações de API que você opta por permitir ou monitorar. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:http_library` e `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Inspeciona os bots que verificam se há links quebrados.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:link_checker` e `awswaf:managed:aws:bot-control:CategoryLinkChecker`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Inspeciona bots diversos que não correspondem a outras categorias.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` e `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Inspeciona os bots usados para fins de monitoramento. Por exemplo, você pode usar serviços de monitoramento de bots que pingam periodicamente o site do seu aplicativo para monitorar coisas como desempenho e tempo de atividade. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:monitoring` e `awswaf:managed:aws:bot-control:CategoryMonitoring`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Inspeciona bots que geram visualizações prévias de páginas e visualizações de links quando o conteúdo é compartilhado em plataformas de mensagens, mídias sociais ou ferramentas de colaboração. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:page_preview` e `awswaf:managed:aws:bot-control:CategoryPagePreview`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Inspeciona bots de estruturas de raspagem web, que são usadas para automatizar o crawling e a extração de conteúdo de sites.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` e `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Inspeciona os bots dos mecanismos de pesquisa, que rastreiam sites para indexar o conteúdo e disponibilizar as informações para os resultados dos mecanismos de pesquisa. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:search_engine` e `awswaf:managed:aws:bot-control:CategorySearchEngine`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Inspeciona bots que examinam vulnerabilidades em aplicativos da web ou que realizam auditorias de segurança. Por exemplo, você pode usar um fornecedor de segurança terceirizado que escaneia, monitora ou audita a segurança do seu aplicativo da web. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:security` e `awswaf:managed:aws:bot-control:CategorySecurity`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Inspeciona os bots usados para otimização de mecanismos de pesquisa. Por exemplo, você pode usar ferramentas de mecanismos de pesquisa que rastreiam seu site para ajudá-lo a melhorar sua classificação nos mecanismos de pesquisa.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:seo` e `awswaf:managed:aws:bot-control:CategorySeo`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Inspeciona os bots usados pelas plataformas de mídia social para fornecer resumos de conteúdo quando os usuários compartilham seu conteúdo. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:social_media` e `awswaf:managed:aws:bot-control:CategorySocialMedia`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Inspeciona bots que fornecem notificações automatizadas e atualizações de dados de um aplicativo para outro por meio de retornos de chamada HTTP. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:webhooks` e `awswaf:managed:aws:bot-control:CategoryWebhooks`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Inspeciona bots de inteligência artificial (IA).  Essa regra aplica a ação a todas as correspondências, independentemente de os bots serem verificados ou não verificados. Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:ai` e `awswaf:managed:aws:bot-control:CategoryAI`  Para bots verificados, o grupo de regras corresponde a essa regra e executa uma ação. Além disso, ele adiciona o nome do bot e o rótulo da categoria, o rótulo da regra e o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Inspeciona solicitações que não são de bots verificados em busca de indicadores de que o navegador do cliente pode ser automatizado. Navegadores automatizados podem ser usados para testes ou extração. Por exemplo, você pode usar esses tipos de navegadores para monitorar ou verificar o site do seu aplicativo. Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:signal:automated_browser` e `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  Para bots verificados, o grupo de regras não corresponde a essa regra e não aplica nenhum sinal ou rótulo de regra.  | 
| SignalKnownBotDataCenter |  Inspeciona solicitações que não são de bots verificados em busca de indicadores de datacenters que normalmente são usados por bots.  Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` e `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  Para bots verificados, o grupo de regras não corresponde a essa regra e não aplica nenhum sinal ou rótulo de regra.  | 
| SignalNonBrowserUserAgent |  Inspeciona solicitações que não são de bots verificados em busca de strings do atendente do usuário que não parecem ser de um navegador da Web. Essa categoria pode incluir solicitações de API.  Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` e `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  Para bots verificados, o grupo de regras não corresponde a essa regra e não aplica nenhum sinal ou rótulo de regra.  | 
| TGT\$1VolumetricIpTokenAbsent |  Inspeciona solicitações que não são de bots verificados em busca de 5 ou mais solicitações de um único cliente nos últimos 5 minutos que não incluem um token de desafio válido. Para mais informações sobre tokens, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  É possível que essa regra corresponda a uma solicitação que tenha um token se as solicitações do mesmo cliente tiverem perdido tokens recentemente.  O limite aplicado por essa regra pode variar um pouco devido à latência.   Essa regra trata os tokens ausentes de forma diferente da rotulagem do token: `awswaf:managed:token:absent`. A rotulagem do token rotula solicitações individuais sem um token. Essa regra mantém uma contagem de solicitações sem token para cada IP do cliente e corresponde com os clientes que ultrapassam o limite.  Ação da regra: Challenge  Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` e `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Inspeciona solicitações que não são de bots verificados em busca das solicitações que não incluem um token de desafio válido. Para mais informações sobre tokens, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Ação da regra: Count  Rótulos: `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Inspeciona um número anormalmente alto de solicitações que não são de bots verificados em busca de uma sessão de um único cliente em uma janela de 5 minutos. A avaliação é baseada em uma comparação com as linhas de base volumétricas padrão que se AWS WAF mantêm usando padrões históricos de tráfego.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Essa regra pode levar 5 minutos para entrar em vigor depois que você a habilitar. O Bot Control identifica um comportamento anômalo em seu tráfego na web comparando o tráfego atual com as linhas de base de tráfego computadas. AWS WAF   Ação da regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` e `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  O grupo de regras aplica os seguintes rótulos às solicitações de volume médio e menor que estão acima de um limite mínimo. Para esses níveis, a regra não executa nenhuma ação, independentemente de o cliente ser verificado: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` e `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Inspeciona um número anormalmente alto de solicitações que não são de bots verificados em busca de uma sessão de um único cliente em uma janela de 5 minutos. A avaliação é baseada em uma comparação com as linhas de base volumétricas padrão que se AWS WAF mantêm usando padrões históricos de tráfego.  Essa regra indica a máxima confiança na avaliação. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Essa regra pode levar 5 minutos para entrar em vigor depois que você a habilitar. O Bot Control identifica um comportamento anômalo em seu tráfego na web comparando o tráfego atual com as linhas de base de tráfego computadas. AWS WAF   Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` e `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Inspeciona os tokens de solicitações que não são de bots verificados em busca de indicadores de que o navegador do cliente pode ser automatizado. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md). Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` e `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Inspeciona as solicitações que não são de bots verificados que indicam a presença de uma extensão de navegador que ajuda na automação, como Selenium IDE. Esta regra é correspondente sempre que um usuário tem esse tipo de extensão instalada, mesmo que não a esteja usando ativamente.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` e `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Inspeciona solicitações que não são de bots verificados em busca de dados de interrogação de navegador inconsistentes. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md). Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` e `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Inspeciona solicitações que não são de bots verificados em busca de comportamentos anômalos que sejam consistentes com atividades de bot distribuídas e coordenadas. Os níveis das regras indicam o nível de confiança de que um grupo de solicitações participa de um ataque coordenado.   Essas regras só são executadas se o grupo de regras estiver configurado para usar machine learning (ML). Para saber mais sobre como configurar essa opção, consulte [Adicionar o grupo de regras gerenciadas do AWS WAF Bot Control à sua ACL da web](waf-bot-control-rg-using.md).   Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   AWS WAF realiza essa inspeção por meio da análise de aprendizado de máquina das estatísticas de tráfego do site. AWS WAF analisa o tráfego da web a cada poucos minutos e otimiza a análise para a detecção de bots de baixa intensidade e longa duração que são distribuídos em vários endereços IP.  Essas regras podem corresponder a um número muito pequeno de solicitações antes de determinar que um ataque coordenado não está em andamento. Portanto, se você ver apenas uma ou duas correspondências, os resultados podem ser falsos positivos. No entanto, se você vê muitas correspondências saindo dessas regras, provavelmente está enfrentando um ataque coordenado.   Essas regras podem levar até 24 horas para entrarem em vigor depois que você ativar as regras direcionadas do Controle de Bots com a opção de ML. O Bot Control identifica um comportamento anômalo em seu tráfego na web comparando o tráfego atual com as linhas de base de tráfego que foram computadas. AWS WAF AWS WAF só calcula as linhas de base enquanto você usa as regras específicas do Bot Control com a opção ML, e pode levar até 24 horas para estabelecer linhas de base significativas.   Atualizamos periodicamente nossos modelos de machine learning para essas regras, para melhorar as previsões de bots. Se você notar uma mudança repentina e substancial nas previsões de bots feitas por essas regras, entre em contato com gerente de conta ou abra um caso no [AWS Support Center](https://console.aws.amazon.com/support/home#/).  Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Inspeciona solicitações que não são de bots verificados para o uso de um único token entre vários IPs nos últimos 5 minutos. Cada nível tem um limite no número de distintos IPs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Inspeciona solicitações que não são de bots verificados em busca de um token único entre vários países nos últimos 5 minutos. Cada nível tem um limite no número de países distintos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Inspeciona solicitações que não são de bots verificados para o uso de um único token em vários números de sistema autônomo de rede (ASNs) nos últimos 5 minutos. Cada nível tem um limite no número de distintos ASNs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)
<a name="aws-managed-rule-groups-anti-ddos"></a>

Esta seção descreve o grupo de regras AWS WAF gerenciadas para a proteção contra ataques distribuídos de negação de serviço (DDoS).

VendorName:`AWS`, Nome:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras gerenciadas do DDo Anti-S fornece regras que detectam e gerenciam solicitações que estão participando ou provavelmente participam de ataques DDo S. Além disso, o grupo de regras rotula todas as solicitações que ele avalia durante um provável evento. 

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Esse grupo de regras fornece atenuações flexíveis e rígidas para solicitações da web que chegam a recursos que estão sob ataque DDo S. Para detectar diferentes níveis de ameaça, é possível ajustar a sensibilidade de ambos os tipos de mitigação para níveis de suspeita altos, médios ou baixos.
+ **Atenuação flexível**: o grupo de regras pode enviar desafios silenciosos ao navegador em resposta a solicitações que podem lidar com o desafio intersticial. Para saber mais sobre os requisitos para executar o desafio, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md).
+ **Atenuação rígida**: o grupo de regras pode bloquear completamente as solicitações. 

Para obter mais informações sobre como o grupo de regras funciona e como configurá-lo, consulte [Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S](waf-anti-ddos-advanced.md). 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

Para minimizar os custos e otimizar o gerenciamento de tráfego, use esse grupo de regras de acordo com as diretrizes de melhores práticas. Consulte [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos nas CloudWatch métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### Etiquetas DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

O grupo de regras gerenciadas do DDo Anti-S gera rótulos com o prefixo do namespace `awswaf:managed:aws:anti-ddos:` seguido por qualquer namespace personalizado e pelo nome do rótulo. Cada rótulo reflete algum aspecto das descobertas do DDo Anti-S.

O grupo de regras pode adicionar mais de um dos rótulos a seguir a uma solicitação, além dos rótulos adicionados por regras individuais. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indica que a solicitação está indo para um recurso protegido para o qual o grupo de regras gerenciadas detecta um evento DDo S. O grupo de regras gerenciadas detecta eventos quando o tráfego para o recurso apresenta um desvio significativo da linha de base de tráfego do recurso. 

  O grupo de regras adiciona esse rótulo a cada solicitação que vai para o recurso enquanto ele está nesse estado, assim o tráfego legítimo e o tráfego de ataque recebam esse rótulo. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`: indica que a solicitação vem de uma fonte suspeita de participar de um evento. 

  Além do rótulo geral, o grupo de regras adiciona os seguintes rótulos que indicam o nível de confiança. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indica uma provável solicitação DDo de ataque S.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indica uma solicitação de ataque DDo S muito provável.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indica uma solicitação de ataque DDo S altamente provável.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`: indica que o URI da solicitação é capaz de lidar com a ação Challenge. O grupo de regras gerenciadas aplica isso a qualquer solicitação cujo URI não esteja isento. URIs são isentos se corresponderem às expressões regulares de URI isentas do grupo de regras. 

  Para saber mais sobre os requisitos para solicitações que podem aceitar um desafio silencioso do navegador, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md).

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

O grupo de regras gerenciadas do DDo Anti-S aplica rótulos às solicitações, mas nem sempre age de acordo com elas. O gerenciamento de solicitações depende do grau de certeza do grupo de regras em relação à participação em um ataque. Se quiser, você pode gerenciar as solicitações que o grupo de regras rotula adicionando uma regra para correspondência de rótulos que é executada após o grupo de regras. Para obter mais informações sobre isso e exemplos, consulte [AWS WAF Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md).

## Lista de regras DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

Esta seção lista as regras DDo Anti-S.

 

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Nome da regra | Description | 
| --- | --- | 
| ChallengeAllDuringEvent |  Corresponde às solicitações que têm o rótulo `awswaf:managed:aws:anti-ddos:challengeable-request` de qualquer recurso protegido que esteja sob ataque.  Ação da regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. Em qualquer configuração de ação de regra, a regra se aplica apenas a solicitações que têm o rótulo `challengeable-request`. A configuração dessa regra afeta a avaliação da próxima regra,`ChallengeDDoSRequests`. AWS WAF só avalia essa regra quando a ação dessa regra tem a substituição definida comoCount, na configuração da ACL da web do grupo de regras gerenciadas.  Se a workload for vulnerável a mudanças inesperadas no volume de solicitações, recomendamos desafiar todas as solicitações possíveis, mantendo a configuração de ação padrão de Challenge. Para aplicações menos sensíveis, defina a ação dessa regra como Count e ajuste a sensibilidade das respostas ao Challenge com a regra `ChallengeDDoSRequests`.  Rótulos: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de desafio definida pelo grupo de regras, quando o recurso está sob ataque.  Ação da regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. De qualquer modo, a regra se aplica apenas a solicitações que têm o rótulo `challengeable-request`. AWS WAF só avalia essa regra se você substituir a ação Count na regra anterior,. `ChallengeAllDuringEvent`  Rótulos: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de bloqueio definida pelo grupo de regras, quando o recurso está sob ataque.  Ação da regra: Block Rótulos: `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Implantações para grupos de regras de regras AWS gerenciadas com versão
<a name="waf-managed-rule-groups-deployments"></a>

Esta seção apresenta como AWS implanta atualizações em grupos de regras de regras AWS gerenciadas.

AWS implanta alterações em seus grupos de regras de regras AWS gerenciadas com versões em três implantações padrão: candidata a lançamento, versão estática e versão padrão. Além disso, às vezes AWS pode ser necessário lançar uma implantação de exceção ou reverter a implantação de uma versão padrão. 

**nota**  
Esta seção se aplica somente aos grupos de regras de regras AWS gerenciadas com controle de versão. Os únicos grupos de regras não versionados são os grupos de regras de reputação de IP. 

**Topics**
+ [Notificações para implantações de grupos de regras de regras AWS gerenciadas](waf-managed-rule-groups-deployments-notifications.md)
+ [Visão geral das implantações padrão de regras AWS gerenciadas](waf-managed-rule-groups-deployments-standard.md)
+ [Estados de versão típicos para regras AWS gerenciadas](waf-managed-rule-groups-typical-version-states.md)
+ [Implantações de Release Candidate para Regras AWS Gerenciadas](waf-managed-rule-groups-deployments-release-candidate.md)
+ [Implantações de versões estáticas para regras AWS gerenciadas](waf-managed-rule-groups-deployments-static-version.md)
+ [Implantações de versão padrão para regras AWS gerenciadas](waf-managed-rule-groups-deployments-default-version.md)
+ [Implantações de exceções para regras AWS gerenciadas](waf-managed-rule-groups-deployments-exceptions.md)
+ [Reversões de implantação padrão para AWS regras gerenciadas](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Notificações para implantações de grupos de regras de regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-notifications"></a>

Esta seção explica como as notificações do Amazon SNS funcionam com grupos de regras de regras AWS gerenciadas.

Todos os grupos de regras do AWS Managed Rules versionados fornecem notificações de atualização do SNS para implantações e todos usam o mesmo tópico do SNS Amazon Resource Name (ARN). Os únicos grupos de regras não versionados são os grupos de regras de reputação de IP. 

Para implantações que afetam suas proteções, como alterações na versão padrão, a AWS fornece notificações do SNS para informá-lo sobre implantações planejadas e para que você saiba quando uma implantação está começando. Para implantações que não afetam suas proteções, como implantações de versão candidata e versão estática, você pode ser notificado pela AWS após o início da implantação ou mesmo após sua conclusão. Ao concluir a implantação de uma nova versão estática, AWS atualize este guia, no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md) e na página de histórico do documento em. [Histórico do documento](doc-history.md) 

Para receber todas as atualizações que AWS fornecem os grupos de regras de regras AWS gerenciadas, assine o feed RSS de qualquer página HTML deste guia e assine o tópico SNS para os grupos de regras de regras AWS gerenciadas. Para obter mais informações sobre como assinar as notificações do SNS, consulte [Como receber notificações sobre novas versões e atualizações de um grupo de regras gerenciadas](waf-using-managed-rule-groups-sns-topic.md).

**Conteúdo das notificações do SNS**  
Os campos nas notificações do Amazon SNS sempre incluem Assunto, Mensagem e. MessageAttributes Os campos adicionais dependem do tipo de mensagem e do grupo de regras gerenciadas para o qual a notificação se destina. Veja a seguir um exemplo de lista de notificação para `AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Visão geral das implantações padrão de regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS implementa a nova funcionalidade de Regras AWS Gerenciadas usando três estágios padrão de implantação: candidato a lançamento, versão estática e versão padrão. 

O diagrama a seguir mostra essas implantações padrão. Cada uma delas é descrita com mais detalhes nas seções seguintes. 

![\[Quatro raias verticais mostram diferentes estágios de implantação padrão. A raia mais à esquerda mostra a versão padrão definida como a versão estática recomendada 1.4. A segunda raia mostra o conjunto padrão de uma versão candidata a lançamento (release candidate, RC) para testes e ajustes. A versão RC contém regras da 1.4 e regras da RC. Uma nota indica que, após o teste, o padrão é retornado para a versão estática recomendada. A terceira raia mostra a criação de uma versão 1.5 estática a partir das regras da versão candidata a lançamento. A quarta raia mostra a versão padrão definida para a nova versão estática recomendada 1.5.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# Estados de versão típicos para regras AWS gerenciadas
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalmente, um grupo de regras gerenciadas com versão tem várias versões estáticas não expiradas, e a versão padrão aponta para a versão estática recomendada. AWS A figura a seguir mostra um exemplo do conjunto típico de versões estáticas e da configuração de versão padrão. 

![\[Três versões estáticas Version_1.2, Version_1.3 e Version_1.4 estão empilhadas, com Version_1.4 na parte superior. Version_1.4 tem duas regras, RuleA e RuleB, ambas com ação de produção. Um indicador de versão padrão aponta para Version_1.4.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


A ação de produção da maioria das regras em uma versão estática é Block, mas pode ser definida como algo diferente. Para obter informações detalhadas sobre as configurações de ação de regras, consulte as listas de regras para cada grupo de regras em [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md). 

# Implantações de Release Candidate para Regras AWS Gerenciadas
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

Esta seção explica como funciona uma implantação temporária de liberação de candidato.

Quando AWS um conjunto candidato de regras muda para um grupo de regras gerenciado, ele as testa em uma implantação temporária do Release Candidate. AWS avalia as regras candidatas no modo de contagem em relação ao tráfego de produção e executa as atividades de ajuste final, incluindo a mitigação de falsos positivos. AWS testa as regras Release Candidate dessa forma para todos os clientes que usam a versão padrão do grupo de regras. As implantações de candidata a lançamento não se aplicam a clientes que usam uma versão estática do grupo de regras.

Se você usar a versão padrão, uma implantação de candidata a lançamento não alterará a forma como seu tráfego da web é gerenciado pelo grupo de regras. Você pode observar o seguinte enquanto as regras da candidata estão sendo testadas: 
+ O nome da versão padrão muda de `Default (using Version_X.Y)` para `Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Métricas de contagem adicionais na Amazon CloudWatch com `RC_COUNT` seus nomes. Elas são geradas pelas regras da candidata a lançamento.

AWS testa um candidato a lançamento por cerca de uma semana, depois o remove e redefine a versão padrão para a versão estática recomendada atualmente. 

AWS executa as seguintes etapas para uma implantação do Release Candidate: 

1. **Criar o candidato a lançamento** — AWS adiciona um candidato a lançamento com base na versão estática recomendada atual, que é a versão para a qual o padrão está apontando. 

   O nome do candidata a lançamento é o nome da versão estática acrescido de `_PLUS_RC_COUNT`. Por exemplo, se a versão estática recomendada atualmente for `Version_2.1`, a candidata a lançamento será nomeada `Version_2.1_PLUS_RC_COUNT`.

   A candidata a lançamento contém as seguintes regras: 
   + Regras copiadas exatamente da versão estática recomendada atual, sem alterações nas configurações das regras. 
   + Novas regras da candidata com a ação de regra definida como Count e com nomes que terminam com `_RC_COUNT`. 

     A maioria das regras da candidata fornece propostas de melhorias para as regras que já existem no grupo de regras. O nome de cada uma dessas regras é o nome da regra existente acrescido de `_RC_COUNT`. 

1. **Defina a versão padrão para o candidato a lançamento e teste** — AWS define a versão padrão para apontar para o novo candidato a lançamento, para realizar testes em relação ao seu tráfego de produção. O teste geralmente leva cerca de uma semana.

    Você verá o nome da versão padrão mudar daquele que indica somente a versão estática, como `Default (using Version_1.4)`, para um que indica a versão estática mais as regras da candidata a lançamento, como `Default (using Version_1.4_PLUS_RC_COUNT)`. Esse esquema de nomenclatura permite identificar qual versão estática você está usando para gerenciar seu tráfego da web. 

   O diagrama a seguir mostra o estado das versões de exemplo de grupos de regras neste momento.   
![\[Na parte superior da figura estão três versões estáticas empilhadas, com Version_1.4 na parte superior. Separada da pilha de versões estáticas está a versão VERSION_1.4_PLUS_RC_COUNT. Essa versão contém as regras de Version_1.4 e também contém duas regras da candidata a lançamento, RuleB_RC_COUNT e RuleZ_RC_COUNT, ambas com ação de contagem. O indicador de versão padrão aponta para Version_1.4_PLUS_RC_COUNT.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   As regras da candidata a lançamento são sempre configuradas com ação Count, para que não alterem a forma como o grupo de regras gerencia o tráfego da web. 

   As regras do Release Candidate geram métricas de CloudWatch contagem da Amazon que são AWS usadas para verificar o comportamento e identificar falsos positivos. AWS faz ajustes conforme necessário, para ajustar o comportamento das regras de contagem de candidatos a lançamento. 

   A versão candidata a lançamento não é estática e não está disponível para você escolher na lista de versões estáticas de grupos de regras. Você só pode ver o nome da versão candidata a lançamento na especificação da versão padrão.

1. **Retorne a versão padrão para a versão estática recomendada** — Depois de testar as regras do candidato a lançamento, AWS define a versão padrão de volta para a versão estática recomendada atual. A configuração padrão do nome da versão elimina o `_PLUS_RC_COUNT` final e o grupo de regras deixa de gerar métricas de CloudWatch contagem para as regras do Release Candidate. Essa é uma mudança silenciosa e não é o mesmo que a implantação de uma reversão de versão padrão.

   O diagrama a seguir mostra o estado das versões de exemplo do grupo de regras após a conclusão do teste da candidata a lançamento.   
![\[Esta é a figura típica dos estados da versão novamente. Três versões estáticas Version_1.2, Version_1.3 e Version_1.4 estão empilhadas, com Version_1.4 na parte superior. Version_1.4 tem duas regras, RuleA e RuleB, ambas com ação de produção. Um indicador de versão padrão aponta para Version_1.4.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Tempo e notificações**  
AWS implanta versões candidatas a lançamento conforme necessário, para testar melhorias em um grupo de regras. 
+ **SNS** — AWS envia uma notificação de SNS no início da implantação. A notificação indica o tempo estimado em que a candidata a lançamento será testada. Quando o teste for concluído, retornará AWS silenciosamente o padrão para a configuração da versão estática, sem uma segunda notificação.
+ **Registro de alterações** — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.

# Implantações de versões estáticas para regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Quando AWS determina que um candidato a lançamento fornece alterações valiosas ao grupo de regras, AWS implanta uma nova versão estática para o grupo de regras com base no candidato a lançamento. Essa implantação não altera a versão padrão do grupo de regras. 

A nova versão estática contém as seguintes regras da candidata a lançamento: 
+ Regras da versão estática anterior sem uma candidata substituta entre as regras da candidata a lançamento. 
+ Liberar regras da candidata, com as seguintes alterações: 
  + AWS altera o nome da regra removendo o sufixo `_RC_COUNT` do candidato a lançamento.
  + AWS altera as ações da regra de Count para suas ações de regra de produção. 

   Para regras de candidatas a lançamento que substituem regras anteriores existentes, isso substitui a funcionalidade das regras anteriores na nova versão estática. 

O diagrama a seguir mostra a criação da nova versão estática a partir da candidata a lançamento. 

![\[Na parte superior da figura está a versão candidata a lançamento Version_1.4_PLUS_RC_COUNT, com as mesmas regras da figura de implantação da candidata a lançamento anterior. A versão contém as regras de Version_1.4 e também contém regras da candidata a lançamento, RuleB_RC_COUNT e RuleZ_RC_COUNT, ambas com ação de contagem. Abaixo disso, na parte inferior da figura está uma versão estática Version_1.5, que contém as regras RuleA, RuleB e RuleZ, todas com ação de produção. As setas apontam da versão RC para Version_1.5 para indicar que RuleA é copiada das regras da versão 1.4 e RuleB e RuleZ são copiadas das regras da candidata a lançamento. Todas as regras na Version_1.5 têm ações de produção.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Após a implantação, a nova versão estática estará disponível para você testar e usar em suas proteções, se quiser. Você pode revisar as ações e descrições de regras novas e atualizadas nas listas de regras do grupo de regras em [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md). 

Uma versão estática é imutável após a implantação e só muda quando AWS expira. Para obter informações sobre ciclos de vida de versão, consulte [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md).

**Tempo e notificações**  
AWS implanta uma nova versão estática conforme necessário, a fim de implantar melhorias na funcionalidade do grupo de regras. A implantação de uma versão estática não afeta a configuração da versão padrão.
+ **SNS** — AWS envia uma notificação de SNS quando a implantação é concluída.
+ **Registro de alterações** — Depois que AWS WAF a implantação for concluída em todos os lugares disponíveis, AWS atualiza a definição do grupo de regras neste guia conforme necessário e, em seguida, anuncia o lançamento no registro de alterações do grupo de regras de regras AWS gerenciadas e na página de histórico da documentação. 

# Implantações de versão padrão para regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Quando AWS determina que uma nova versão estática fornece proteções aprimoradas para o grupo de regras em comparação com o padrão atual, AWS atualiza a versão padrão para a nova versão estática. AWS pode lançar várias versões estáticas antes de promover uma para a versão padrão do grupo de regras. 

O diagrama a seguir mostra o estado das versões de exemplo do grupo de regras depois de AWS mover a configuração da versão padrão para a nova versão estática. 

![\[Isso é semelhante à figura típica dos estados da versão, mas com Version_1.5 no topo da pilha e o indicador padrão apontando para ela.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Antes de implantar essa alteração na versão padrão, AWS fornece notificações para que você possa testar e se preparar para as próximas alterações. Se você usar a versão padrão, não poderá realizar nenhuma ação e permanecer nela durante a atualização. Se, em vez disso, você quiser adiar a mudança para a nova versão, antes do início planejado da implantação da versão padrão, você pode configurar explicitamente seu grupo de regras para usar a versão estática para a qual o padrão está definido. 

**Tempo e notificações**  
AWS atualiza a versão padrão quando recomenda uma versão estática diferente para o grupo de regras daquela que está em uso no momento. 
+ **SNS** — AWS envia uma notificação de SNS pelo menos uma semana antes do dia de implantação pretendido e outra no dia da implantação, no início da implantação. Cada notificação inclui o nome do grupo de regras, a versão estática para a qual a versão padrão está sendo atualizada, a data de implantação e o horário programado da implantação para cada AWS região em que a atualização está sendo executada. 
+ **Registro de alterações** — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.

# Implantações de exceções para regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS pode ignorar os estágios padrão de implantação para implantar rapidamente atualizações que abordem riscos críticos de segurança. Uma implantação de exceção pode envolver qualquer um dos tipos de implantação padrão e pode ser implementada rapidamente em todas as AWS regiões. 

AWS fornece o máximo de notificação antecipada possível para implantações de exceções. 

**Tempo e notificações**  
AWS executa implantações de exceção somente quando necessário. 
+ **SNS** — AWS envia uma notificação de SNS o mais cedo possível do dia de implantação pretendido e, em seguida, outra no início da implantação. Cada notificação inclui o nome do grupo de regras, a alteração que está sendo feita e a data de implantação. 
+ **Registro de alterações** — Se a implantação for para uma versão estática, depois que AWS WAF a implantação for concluída em todos os lugares disponíveis, AWS atualiza a definição do grupo de regras neste guia conforme necessário e, em seguida, anuncia a versão no registro de alterações do grupo de regras AWS gerenciadas e na página de histórico da documentação. 

# Reversões de implantação padrão para AWS regras gerenciadas
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

Sob certas condições, AWS pode reverter a versão padrão para a configuração anterior. Uma reversão geralmente leva menos de dez minutos para todas as AWS regiões.

AWS executa uma reversão somente para mitigar um problema significativo em uma versão estática, como um nível inaceitavelmente alto de falsos positivos. 

Após a reversão da configuração da versão padrão, AWS acelera a expiração da versão estática que tem o problema e o lançamento de uma nova versão estática para resolver o problema. 

**Tempo e notificações**  
AWS executa reversões de versão padrão somente quando necessário. 
+ **SNS** — AWS envia uma única notificação de SNS no momento da reversão. A notificação inclui o nome do grupo de regras, a versão para a qual a versão padrão está sendo definida e a data de implantação. Esse tipo de implantação é muito rápido, então a notificação não fornece informações de tempo para regiões. 
+ **Registro de alterações** — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.

# AWS Registro de alterações das regras gerenciadas
<a name="aws-managed-rule-groups-changelog"></a>

Esta seção lista as alterações nas regras AWS gerenciadas AWS WAF desde seu lançamento em novembro de 2019.

**nota**  
Esse changelog relata alterações nas regras e grupos de regras em Regras AWS gerenciadas para. AWS WAF  
Para o [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md), esse log de alterações relata mudanças nas regras e no grupo de regras e relata mudanças significativas nas fontes das listas de endereços IP usadas pelas regras. Ele não relata alterações nas listas de endereços IP em si, devido à natureza dinâmica dessas listas. Se você tiver dúvidas sobre as listas de endereços IP, entre em contato com seu gerente de conta ou abra um caso na [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Grupos de regras e regras | Description | Data | 
| --- | --- | --- | 
| [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Lançada a versão estática 2.2 desse grupo de regras.  Detecções aprimoradas e `PHPHighRiskMethodsVariables_URIPATH` regras adicionadas.  | 2026-03-24 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novas regras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão 5.0 estática desse grupo de regras. Foram adicionados mais de 400 novos bots em várias categorias, incluindo duas novas categorias de bots com suas respectivas regras: Page Preview e Webhooks. **Principais melhorias** Maior precisão dos sinais de detecção de bots e da correspondência genérica de padrões de bots, resultando em uma classificação de tráfego mais precisa.  Essa atualização muda a forma como o grupo de regras gerenciadas prioriza a detecção de bots. Os padrões específicos de bots não verificados agora são avaliados antes dos padrões genéricos e dos sinais de detecção. Isso significa que as solicitações têm maior probabilidade de serem classificadas com base em suas características mais específicas do que em indicadores genéricos. **O que isso significa para o seu tráfego:** O padrão genérico de bot agora corresponderá com menos frequência. Esses padrões só se aplicam quando nenhuma regra de bot mais específica já identificou o tráfego. Isso reduz o excesso de classificação e garante que as solicitações sejam rotuladas com a identificação de bot mais precisa disponível. Sinais de detecção, como indicadores de que uma solicitação se origina de um provedor de serviços em nuvem, de um data center de bots conhecido ou de que usa um agente de usuário que não é do navegador, agora são aplicados após as regras de identificação de bots. Isso garante que classificações específicas de bots tenham precedência sobre sinais de tráfego genéricos. **Impacto:** Talvez você veja menos rótulos para padrões genéricos de bots em seus registros de tráfego, já que as solicitações agora são classificadas com mais precisão por regras específicas de bots. Isso fornece uma visão mais clara da natureza real do seu tráfego automatizado e reduz o ruído causado pela correspondência de padrões excessivamente ampla. As classificações de bots não verificadas serão mais proeminentes e precisas, ajudando você a entender e gerenciar melhor as solicitações automatizadas para seus aplicativos. **Observação:** esta versão inclui as atualizações de `awswaf:managed:aws:bot-control:bot:web_bot_auth` rótulos e regras da Version\$14.0, mas a `Web Bot Auth` funcionalidade ainda está disponível somente em. CloudFront  | 2026-02-25 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Lançou a versão 3.2 estática desse grupo de regras.  Assinaturas de detecção aprimoradas para todas as regras.  | 2026-01-15 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.25 desse grupo de regras. Atualizou o `ReactJSRCE_BODY` para melhorar a detecção.  | 2025-12-08 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Lançou a versão 3.1 estática desse grupo de regras.  Assinaturas de detecção aprimoradas para todas as regras.  | 2025-12-08 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.24 desse grupo de regras. Atualizou o `ReactJSRCE_BODY` para melhorar a detecção.  | 2025-12-04 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novos rótulos:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Escopo: CloudFront |  Implantou a nova versão estática `AWSManagedRulesBotControlRuleSet` Version\$14.0 com suporte à Autenticação de Web Bot (WBA) para verificação criptográfica de bots. Essa versão deve ser selecionada explicitamente e não atualiza automaticamente as implantações existentes usando a versão padrão. Novos recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Atualizações de regras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  A versão 4.0 é apenas uma versão estática — ela não altera o comportamento da versão padrão. Para usar os recursos do WBA, selecione explicitamente a Versão \$14.0 ao configurar sua Web ACL.   | 2025-11-20 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novos rótulos de bots verificados:Publicidade:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Buscador de conteúdo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Mídias sociais:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Principais melhorias:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  As regras de categoria de bots no Bot Control são acionadas somente em bots não verificados, exceto no CategoryAI, que também é acionado em bots verificados. A versão 3.3 é apenas uma versão estática — ela não altera o comportamento da versão padrão.   | 2025-11-17 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançamento da versão estática 1.20 deste grupo de regras.  Assinaturas de detecção aprimoradas para as regras Server Side Request Forgery (SSRF).  | 2025-10-02 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.19 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.  | 2025-08-14 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.18 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.  | 2025-06-18 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novos rótulos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão 3.2 estática desse grupo de regras.  Adicionadas as novas regras listadas.   | 2025-05-29 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançada a versão estática 1.17 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.  | 2025-03-03 | 
| [Grupo de regras gerenciadas do banco de dados SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.3 deste grupo de regras.  Adicionada transformação de texto `URL_DECODE_UNI` dupla às regras listadas.  | 2025-01-24 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançou a versão 2.6 estática desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2025-01-24 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novo rótulo de nome de bot nos rótulos do Controle de Bots: `awswaf:managed:aws:bot-control:bot::name:nytimes`  | Lançou a versão 3.1 estática desse grupo de regras.  Adicionado o rótulo do New York Times à lista de rótulos de nome de bot.   | 2024-11-07 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.16 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.   | 16/10/2024 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novas regras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Regras excluídas. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Novos rótulos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Rotulagem adicional nas regras existentes.  | Lançamento das versões estáticas 2.0 e 3.0 deste grupo de regras. A versão 2.0 é igual à versão 3.0, mas com ações de regras para todas as novas regras definidas como Count. Este guia documenta a versão mais recente de cada grupo de regras.  Foram adicionadas as novas regras listadas.  Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão `awswaf:managed:aws:bot-control:<RuleName>`.  Foram adicionados rótulos de provedores de serviços em nuvem aos rótulos de sinal do Controle de Bots.  Foram adicionados novos rótulos de nomes de bots que são inspecionados pelas regras da categoria de bots.   | 2024-09-13 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) Todas as regras  | Lançada a versão estática 1.1 deste grupo de regras.  Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão `awswaf:managed:aws:atp:<RuleName>`.   | 2024-09-13 | 
| [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md) Todas as regras  | Lançada a versão estática 1.1 deste grupo de regras.  Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão `awswaf:managed:aws:acfp:<RuleName>`.   | 2024-09-13 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas as regras  | Lançada a versão estática 2.5 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2024-09-02 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.15 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras genéricas de LFI.   | 2024-08-30 | 
| [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.3 desse grupo de regras.  Assinaturas de detecção ajustadas nas regras listadas para reduzir os falsos positivos.   | 2024-08-28 | 
| [WordPress grupo de regras gerenciado por aplicativos](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.3 deste grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada à regra listada.   | 2024-07-15 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.4 desse grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada à regra listada.   | 2024-07-12 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.14 deste grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada às regras listadas.   | 2024-07-09 | 
| [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada às regras listadas.   | 2024-07-03 | 
| [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.2 desse grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada às regras listadas.   | 2024-07-03 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas as regras  | Lançada a versão estática 2.3 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2024-06-06 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md)  | Os grupos de regras de bots e fraudes agora estão versionados. Se você estiver usando qualquer um desses grupos de regras, essa atualização não altera a forma como eles lidam com seu tráfego na web.  Essa atualização define a versão atual do grupo de regras para a versão estática 1.0 e define a versão padrão para apontar para ela.  Para obter mais informações sobre as regras gerenciadas versionadas, consulte o seguinte:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2024-05-29 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 3.0 desse grupo de regras.  `UNIXShellCommandsVariables_QUERYARGUMENTS` removido e substituído por `UNIXShellCommandsVariables_QUERYSTRING`. Se você tiver regras que correspondam ao rótulo de `UNIXShellCommandsVariables_QUERYARGUMENTS`, ao usar esta versão, troque-as para que correspondam ao rótulo de `UNIXShellCommandsVariables_QUERYSTRING`. O novo rótulo é `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Foi adicionada a regra `UNIXShellCommandsVariables_HEADER`, que corresponde a todos os cabeçalhos. Todas as regras do grupo de regras gerenciadas foram atualizadas com uma lógica de detecção aprimorada.  Foi corrigida a capitalização documentada do rótulo para `UNIXShellCommandsVariables_BODY`.   | 2024-05-28 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.12 deste grupo de regras.  Adição de assinaturas para todas as regras de Cross-Site Scripting para aprimorar a detecção e reduzir os falsos positivos.  | 2024-05-21 | 
| [Grupo de regras gerenciadas do banco de dados SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançamento da versão estática 1.2 deste grupo de regras. A transformação de texto `JS_DECODE` foi adicionada às regras listadas.   | 2024-05-14 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.22 deste grupo de regras. A transformação de texto `JS_DECODE` foi adicionada às regras listadas.   | 2024-05-08 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | Lançada a versão estática 2.2 desse grupo de regras.  A transformação de texto `JS_DECODE` foi adicionada a ambas as regras.   | 2024-05-08 | 
| [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  Assinaturas adicionadas ao `PowerShellCommands_BODY` para melhorar a detecção.   | 2024-05-03 | 
| [Grupo de regras gerenciadas da lista de reputação de IPs da Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | As fontes da lista de reputação de IP foram atualizadas para melhorar a identificação de endereços que estão ativamente envolvidos em atividades maliciosas e reduzir os falsos positivos.  Essa atualização não envolve uma nova versão porque esse grupo de regras não tem versão.   | 2024-03-13 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | Lançamento da versão estática 1.21 deste grupo de regras. Adição de assinaturas para aprimorar a detecção e reduzir os falsos positivos.   | 2023-12-16 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.20 deste grupo de regras. Atualização da regra `ExploitablePaths_URIPATH` para adicionar detecção para solicitações que correspondem à vulnerabilidade de autorização inadequada (CVE-2023-22518) do Confluence da Atlassian. Esta vulnerabilidade afeta todas as versões do Confluence Data Center e do Confluence Server. Para obter mais informações, consulte [NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518).  | 2023-12-14 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.11 deste grupo de regras.  Adição de assinaturas para todas as regras de Cross-Site Scripting para aprimorar a detecção e reduzir os falsos positivos.  | 2023-12-06 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Adição do rótulo de baixa atividade coordenada aos rótulos de nível de proteção direcionados do grupo de regras. Este rótulo não está associado a nenhuma regra. Esta rotulagem corresponde a um complemento às regras e aos rótulos de médio e de alto nível.  | 2023-12-05 | 
| [Rótulos do Controle de Bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Adição de um rótulo de sinalização ao grupo de regras que indica a detecção de uma extensão para navegador que auxilia na automação. Este rótulo não é específico para uma regra individual.   | 2023-11-14 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.10 desse grupo de regras.  Uma regra foi atualizada para melhorar a detecção e reduzir os falsos positivos.  | 2023-11-02 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.9 desse grupo de regras.  Regras atualizadas para melhorar a detecção e reduzir os falsos positivos.  | 2023-10-30 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  A regra de argumentos de consulta foi atualizada para melhorar a detecção.   | 2023-10-12 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.8 desse grupo de regras.  Regras atualizadas para melhorar a detecção.  | 11/010/2023 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implantação de exceção: lançada a versão estática 1.19 desse grupo de regras. A versão padrão foi atualizada para usar a versão 1.19. A regra `ExploitablePaths_URIPATH` foi atualizada para adicionar detecção para solicitações que correspondam à vulnerabilidade de escalonamento de privilégios do Atlassian Confluence CVE-2023-22515. Essa vulnerabilidade afeta algumas versões do Atlassian Confluence. Para obter mais informações, consulte [NIST: National Vulnerability Database: CVE-2023-22515 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22515) e [Atlassian Support: FAQ for CVE-2023-22515](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html). Para saber mais sobre esse tipo de implantação, consulte [Implantações de exceções para regras AWS gerenciadas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implantação de exceção: lançada a versão estática 1.18 desse grupo de regras. Esse é um lançamento rápido dessa versão estática para acomodar a criação e o lançamento da versão 1.19.  A regra `Host_localhost_HEADER` e todas as regras de desserialização do Log4J e do Java foram atualizadas para melhorar a detecção.  Para saber mais sobre esse tipo de implantação, consulte [Implantações de exceções para regras AWS gerenciadas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Regras adicionadas ao grupo de regras com ação Count.  A regra de IP de reutilização de tokens detecta e conta o compartilhamento de tokens entre endereços IP.  As regras de atividades coordenadas usam análise automatizada de machine learning (ML) do tráfego do site para detectar atividades relacionadas a bots. Na configuração do grupo de regras, você pode cancelar o uso de ML. Com esta versão, os clientes que atualmente usam o nível de proteção direcionado optam pelo uso de ML. A desativação desativa as regras de atividades coordenadas.  | 2023-09-06 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A regra `CategoryAI` foi adicionada ao grupo de regras.  | 2023-08-30 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.7 desse grupo de regras.  Atualizadas as extensões restritas e regras SSRF de metadados do EC2 para melhorar a detecção e reduzir os falsos positivos.  | 2023-07-26 | 
| [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md) Todas as regras no novo grupo de regras  | Foi adicionado o grupo de regras AWSManagedRulesACFPRuleSet.  | 2023-06-13 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.2 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2023-05-22 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.6 desse grupo de regras.  O cross-site scripting (XSS) e as regras de extensão restritas foram atualizados para melhorar a detecção e reduzir os falsos positivos.  | 2023-04-28 | 
| [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.0 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção em todas as regras.  A regra `PHPHighRiskMethodsVariables_QUERYARGUMENTS` foi substituída por `PHPHighRiskMethodsVariables_QUERYSTRING`, que inspeciona toda a sequência de caracteres de consulta em vez de apenas os argumentos da consulta.  Foi adicionada a regra `PHPHighRiskMethodsVariables_HEADER` para expandir a cobertura para incluir todos os cabeçalhos. Os rótulos a seguir foram atualizados para se alinharem com o rótulo padrão de regras AWS gerenciadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2023-02-27 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Foram adicionadas regras de inspeção de respostas de login para uso com CloudFront distribuições protegidas da Amazon. Essas regras podem bloquear novas tentativas de login de endereços IP e sessões de clientes que recentemente foram a fonte de muitas tentativas de login malsucedidas.  | 2023-02-15 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.5 desse grupo de regras.  Filtros de Cross Site Scripting (XSS) atualizados para melhorar a detecção.  | 2023-01-25 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  A regra `LFI_COOKIE` e seu rótulo `awswaf:managed:aws:linux-os:LFI_Cookie` foram removidos e substituídos pela nova regra `LFI_HEADER` e seu rótulo `awswaf:managed:aws:linux-os:LFI_Header`. Essa alteração expande a inspeção para vários cabeçalhos.  Foram adicionadas transformações de texto e assinaturas a todas as regras para melhorar a detecção.  | 2022-12-15 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.4 desse grupo de regras.  Foi adicionada uma transformação de texto para `NoUserAgent_HEADER` para remover todos os bytes nulos. Filtros nas regras de Cross Site Scripting (XSS) atualizados para melhorar a detecção.  | 2022-12-05 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.17 desse grupo de regras.  As regras de desserialização de Java foram atualizadas para adicionar detecção de solicitações correspondentes ao CVE-2022-42889 da Apache, uma vulnerabilidade de execução remota de código (RCE) nas versões do Apache Commons Text anteriores à 1.10.0. Para obter mais informações, consulte [NIST: National Vulnerability Database: CVE-2022-42889 Detail](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) e [CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om). Detecção aprimorada em `Host_localhost_HEADER`. | 2022-10-20 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.16 desse grupo de regras.  Foram removidos os falsos positivos AWS identificados na versão 1.15. | 2022-10-05 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress grupo de regras gerenciado por aplicativos](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Foram corrigidos os nomes dos rótulos documentados.   | 2022-09-19 | 
| [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Essa alteração não altera a forma como o grupo de regras lida com o tráfego da web. Foi adicionada uma nova regra com a Count ação de inspecionar endereços IP que estão ativamente envolvidos em atividades DDo S, de acordo com a inteligência de ameaças da Amazon.  | 2022-08-30 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.15 desse grupo de regras.  `Log4JRCE` foi removido e substituído por `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` e `Log4JRCE_BODY`, para um monitoramento e gerenciamento mais granulares de falsos positivos.  Assinaturas adicionadas para melhorar a detecção e o bloqueio de `PROPFIND_METHOD` e para todas as regras `JavaDeserializationRCE*` e `Log4JRCE*`.  Rótulos atualizados para corrigir a capitalização em `Host_localhost_HEADER` e em todas as regras `JavaDeserializationRCE*`.  Corrigida a descrição de `JavaDeserializationRCE_HEADER`. | 2022-08-22 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Foi adicionada uma regra para impedir o uso do grupo de regras gerenciadas de prevenção de apropriação de contas para o tráfego da web do grupo de usuários do Amazon Cognito.  | 2022-08-11 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS tem expiração programada para as versões `Version_1.2` e `Version_2.0` do grupo de regras. As versões expirarão em 9 de setembro de 2022. Para saber mais sobre a expiração da versão, consulte [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md). | 2022-06-09 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.3 desse grupo de regras. Essa versão atualiza as assinaturas de correspondências nas regras `GenericLFI_URIPATH` e `GenericRFI_URIPATH`, para melhorar a detecção.  | 2022-05-24 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A regra `CategoryEmailClient` foi adicionada ao grupo de regras.  | 2022-04-06 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.14 desse grupo de regras. As quatro regras `JavaDeserializtionRCE` são movidas para o modo Block. | 2022-03-31 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.13 desse grupo de regras. A transformação de texto foi atualizada para as vulnerabilidades do Spring Core e do Cloud Function RCE. Essas regras estão no modo de contagem para coletar métricas e avaliar padrões correspondentes. O rótulo pode ser usado para bloquear solicitações em uma regra personalizada. Uma versão subsequente será implantada com essas regras no modo de bloqueio. | 2022-03-31 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.12 desse grupo de regras. Assinaturas adicionadas para as vulnerabilidades do Spring Core e do Cloud Function RCE. Essas regras estão no modo de contagem para coletar métricas e avaliar padrões correspondentes. O rótulo pode ser usado para bloquear solicitações em uma regra personalizada. Uma versão subsequente será implantada com essas regras no modo de bloqueio. As regras `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` e `Log4JRCE_BODY` foram removidas e substituídas pela regra `Log4JRCE`. | 2022-03-30 | 
| [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Atualizou a regra AWSManagedReconnaissanceList para alterar a ação de contagem para bloqueio.  | 2022-02-15 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) Todas as regras no novo grupo de regras  | Foi adicionado o grupo de regras AWSManagedRulesATPRuleSet.  | 2022-02-11 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.9 desse grupo de regras. A regra `Log4JRCE` foi removida e substituída pelas regras `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` e `Log4JRCE_BODY`, para flexibilidade no uso dessa funcionalidade. Assinaturas adicionadas para melhorar a detecção e o bloqueio. | 2022-01-28 | 
| Conjunto de regras principais (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançada a versão 2.0 desse grupo de regras. Para essas regras, sintonize as assinaturas de detecção para reduzir os falsos positivos. A transformação de texto `URL_DECODE` foi substituída pela transformação de texto duplo `URL_DECODE_UNI`. Foi adicionada a transformação de texto `HTML_ENTITY_DECODE`.  | 2022-01-10 | 
| Conjunto de regras principais (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Como parte do lançamento da versão 2.0 desse grupo de regras, foi adicionada a transformação de texto `URL_DECODE_UNI`. Removida a transformação de texto `URL_DECODE` de `RestrictedExtensions_URIPATH`.  | 2022-01-10 | 
| Banco de dados SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançada a versão 2.0 desse grupo de regras. A transformação de texto `URL_DECODE` foi substituída pela transformação de texto duplo `URL_DECODE_UNI` e a transformação de texto `COMPRESS_WHITE_SPACE` foi adicionada. Mais assinaturas de detecção foram adicionadas a `SQLiExtendedPatterns_QUERYARGUMENTS`. Inspeção de JSON adicionada a `SQLi_BODY`. A regra `SQLiExtendedPatterns_BODY` foi adicionada. A regra `SQLi_URIPATH` foi removida.  | 2022-01-10 | 
| Entradas nocivas conhecidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.8 da regra `Log4JRCE` para melhorar a inspeção de cabeçalhos e os critérios de correspondência. | 2021-12-17 | 
| Entradas nocivas conhecidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.4 da regra `Log4JRCE` para ajustar os critérios de correspondência e inspecionar cabeçalhos adicionais. Lançada a versão 1.5 para ajustar os critérios de correspondência. | 2021-12-11 | 
| Entradas nocivas conhecidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Foi adicionada a versão 1.2 da regra `Log4JRCE` em resposta ao problema de segurança recentemente divulgado no Log4j. Para saber mais, consulte o [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Essa regra inspeciona caminhos de URI comuns, strings de consulta, os primeiros 8 KB do corpo da solicitação e cabeçalhos comuns. A regra usa transformações duplas de texto `URL_DECODE_UNI`. Lançada a versão 1.3 de `Log4JRCE` para ajustar os critérios de correspondência e inspecionar cabeçalhos adicionais.  A regra `BadAuthToken_COOKIE_AUTHORIZATION` foi removida.  | 2021-12-10 | 

A tabela a seguir lista as alterações anteriores a dezembro de 2021. 


| Grupos de regras e regras | Description | Data | 
| --- | --- | --- | 
| Lista de reputação de IP da Amazon | `AWSManagedReconnaissanceList` | Foi adicionada a regra AWSManagedReconnaissanceList no modo de monitoramento/contagem. Essa regra contém endereços IP que estão realizando reconhecimento em relação aos recursos. AWS  | 2021-11-23 | 
| Sistema operacional Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Foram adicionadas três novas regras para WindowsShell comandos: `WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`, `WindowsShellCommands_BODY` e. Foi adicionada uma nova PowerShell regra:`PowerShellCommands_COOKIE`. A nomenclatura das regras `PowerShellComands` foi reestruturada com a remoção das strings \$1Set1 e \$1Set2. Adicionadas assinaturas de detecção mais abrangentes a `PowerShellRules`. Adicionada a transformação de texto `URL_DECODE_UNI` a todas as regras do sistema operacional Windows.  | 2021-11-23 | 
| Sistema operacional Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  Substituída a transformação dupla de texto `URL_DECODE` por `URL_DECODE_UNI` dupla. Adicionado `NORMALIZE_PATH_WIN` como uma segunda transformação de texto. Substituída a regra `LFI_BODY` pela regra `LFI_COOKIE`. Foram adicionadas assinaturas de detecção mais abrangentes para todas as regras `LFI`.  | 2021-11-23 | 
| Conjunto de regras principais (CRS) |  `SizeRestrictions_BODY`  | Reduzido o limite de tamanho para bloquear solicitações da web com cargas corporais maiores que 8 KB. Anteriormente, o limite era de 10 KB.  | 2021-10-27 | 
| Conjunto de regras principais (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Adicionadas mais assinaturas de detecção. Adicionada a decodificação dupla de URL Unicode para melhorar o bloqueio.  | 2021-10-27 | 
| Conjunto de regras principais (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Adicionada a decodificação dupla de URL Unicode para melhorar o bloqueio.  | 2021-10-27 | 
| Conjunto de regras principais (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | As assinaturas de regras foram atualizadas para reduzir os falsos positivos, com base no feedback dos clientes. Adicionada a decodificação dupla de URL Unicode para melhorar o bloqueio.  | 2021-10-27 | 
| Todos | Todas as regras | Foi adicionado suporte para AWS WAF rótulos a todas as regras que ainda não eram compatíveis com rótulos.  | 2021-10-25 | 
| Lista de reputação de IP da Amazon | `AWSManagedIPReputationList_xxxx` | Reestruturou a lista de reputação de IP, removeu sufixos do nome da regra e adicionou suporte para AWS WAF rótulos.  | 2021-05-04 | 
| Lista de IPs anônimos | `AnonymousIPList` `HostingProviderList` | Foi adicionado suporte para AWS WAF rótulos.  | 2021-05-04 | 
| Controle de Bots | Todos | Foi adicionado o conjunto de regras do Controle de Bots.  | 2021-04-01 | 
| Conjunto de regras principais (CRS) | `GenericRFI_QUERYARGUMENTS`  | Adicionada a decodificação dupla de URL.  | 2021-03-03 | 
| Conjunto de regras principais (CRS) | `RestrictedExtensions_URIPATH`  | Melhoria da configuração das regras e adição de uma decodificação de URL extra.  | 2021-03-03 | 
| Proteção do administrador | `AdminProtection_URIPATH`  | Adicionada a decodificação dupla de URL.  | 2021-03-03 | 
| Entradas nocivas conhecidas | `ExploitablePaths_URIPATH`  | Melhoria da configuração das regras e adição de uma decodificação de URL extra.  | 2021-03-03 | 
| Sistema operacional Linux | `LFI_QUERYARGUMENTS`  | Melhoria da configuração das regras e adição de uma decodificação de URL extra.  | 2021-03-03 | 
| Sistema operacional Windows | Todos | A configuração das regras foi aprimorada.  | 2020-09-23 | 
| Aplicativo PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Alteração da transformação de texto de decodificação de HTML para decodificação de URL, para melhorar o bloqueio.  | 2020-09-16 | 
| Sistema operacional POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Alteração da transformação de texto de decodificação de HTML para decodificação de URL, para melhorar o bloqueio.  | 2020-09-16 | 
| Conjunto de regras principais | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Alteração da transformação de texto de decodificação de HTML para decodificação de URL, para melhorar o bloqueio.  | 2020-08-07 | 
| Sistema operacional Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Alteração da transformação de texto de decodificação de entidade HTML para decodificação de URL, para melhorar a detecção e o bloqueio.  | 2020-05-19 | 
| Lista de IPs anônimos | Todos | Novo grupo de regras em [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md) para bloquear solicitações de serviços que permitem a ofuscação da identidade do visualizador, a fim de ajudar a mitigar bots e evasão de restrições geográficas.  | 2020-03-06 | 
| WordPress aplicação | `WordPressExploitableCommands_QUERYSTRING`  | Nova regra que verifica comandos exploráveis na string de consulta. | 2020-03-03 | 
| Conjunto de regras principais (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Ajuste das restrições de valor de tamanho para maior precisão.  | 2020-03-03 | 
| Banco de dados SQL | `SQLi_URIPATH`  | Agora, as regras verificam o URI da mensagem. | 2020-01-23 | 
| Banco de dados SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Atualizações de transformações de texto. | 2019-12-20 | 
| Conjunto de regras principais (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Atualizações de transformações de texto. | 2019-12-20 |