**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Automatizando a mitigação da camada DDo S do aplicativo com o Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**nota**  
A partir de 26 de março de 2026, o DDo Anti-S Managed Rule Group (Anti-DDoS AMR) AWS WAF se torna a solução padrão para proteção contra ataques de inundação de solicitações HTTP (consulte o blog de lançamento do [DDoAnti-S](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) AMR). Ele substitui o recurso de mitigação automática da camada 7 (L7AM). Se você já é cliente do Shield Advanced, pode continuar usando a solução antiga com AWS contas novas ou existentes. No entanto, recomendamos que você adote o DDo Anti-S Managed Rule Group. O DDo Anti-S Managed Rule Group detecta e mitiga ataques em segundos, em vez de minutos. Se você for um novo cliente do Shield Advanced e precisar de acesso à solução antiga, entre em contato com o AWS Support.

Esta página apresenta o tópico da mitigação automática da camada DDo S do aplicativo e lista as advertências associadas.

Você pode configurar o Shield Advanced para responder automaticamente para mitigar os ataques na camada de aplicação (camada 7) contra seus recursos protegidos da camada de aplicação, contando ou bloqueando as solicitações da web que fazem parte do ataque. Essa opção é uma adição à proteção da camada de aplicação que você adiciona por meio do Shield Advanced com uma ACL AWS WAF da web e sua própria regra baseada em taxas. 

Quando a mitigação automática está habilitada para um recurso, o Shield Avançado mantém um grupo de regras na ACL da Web que está associada ao recurso, em que gerencia as regras de mitigação em nome do recurso. O grupo de regras contém uma regra baseada em taxas que rastreia o volume de solicitações de endereços IP que são conhecidos por serem fontes de ataques DDo S. 

Além disso, o Shield Advanced compara os padrões de tráfego atuais com as linhas de base do tráfego histórico para detectar desvios que possam indicar um ataque S. DDo O Shield Advanced responde aos ataques DDo S detectados criando, avaliando e implantando AWS WAF regras personalizadas adicionais no grupo de regras. 

## Advertências para usar a mitigação automática da camada S de DDo aplicação
<a name="ddos-automatic-app-layer-response-caveats"></a>

A lista a seguir descreve as advertências da mitigação automática da camada DDo S do aplicativo Shield Advanced e descreve as etapas que talvez você queira seguir em resposta.
+ A mitigação automática da camada DDo S do aplicativo funciona somente com pacotes de proteção (web ACLs) que foram criados usando a versão mais recente do AWS WAF (v2). 
+ O Shield Advanced requer tempo para estabelecer uma linha de base do tráfego normal e histórico do seu aplicativo, que ele utiliza para detectar e isolar o tráfego de ataque do tráfego normal, a fim de mitigar o tráfego de ataque. O tempo para estabelecer uma linha de base é entre 24 horas e 30 dias a partir do momento em que você associa uma ACL da Web ao recurso de aplicativo protegido. Para obter mais informações sobre linhas de base de tráfego, consulte [Lista de fatores que afetam a detecção e mitigação de eventos na camada de aplicativo com o Shield Advanced](ddos-app-layer-detection-mitigation.md).
+ A ativação da mitigação automática da camada DDo S do aplicativo adiciona um grupo de regras ao seu pacote de proteção (Web ACL) que usa 150 unidades de capacidade da Web ACL (). WCUs Isso WCUs conta contra o uso da WCU em seu pacote de proteção (web ACL). Para ter mais informações, consulte [Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md).
+ O grupo de regras Shield Advanced gera AWS WAF métricas, mas elas não estão disponíveis para visualização. Isso é o mesmo que para qualquer outro grupo de regras que você usa em seu pacote de proteção (web ACL), mas não possui, como grupos de regras de regras AWS gerenciadas. Para obter mais informações sobre AWS WAF métricas, consulte[AWS WAF métricas e dimensões](waf-metrics.md). Para saber mais sobre essa opção de proteção do Shield Advanced, consulte [Automatizando a mitigação da camada DDo S do aplicativo com o Shield Advanced](#ddos-automatic-app-layer-response). 
+ Para a web ACLs que protege vários recursos, a mitigação automática implementa apenas mitigações personalizadas que não afetam negativamente nenhum dos recursos protegidos. 
+ O tempo entre o início de um ataque DDo S e o momento em que o Shield Advanced coloca regras personalizadas de mitigação automática varia de acordo com cada evento. Alguns ataques DDo S podem terminar antes que as regras personalizadas sejam implantadas. Outros ataques podem ocorrer quando já existe uma mitigação e, portanto, podem ser mitigados por essas regras desde o início do evento. Além disso, as regras baseadas em intervalo no grupo de regras da ACL da Web e do Shield Advanced podem mitigar o tráfego de ataque antes que ele seja detectado como um possível evento. 
+ Para Application Load Balancers que recebem qualquer tráfego por meio de uma rede de distribuição de conteúdo (CDN), como a Amazon CloudFront, os recursos de mitigação automática da camada de aplicação do Shield Advanced para esses recursos do Application Load Balancer serão reduzidos. O Shield Advanced usa atributos de tráfego do cliente para identificar e isolar o tráfego de ataque do tráfego normal para seu aplicativo e CDNs pode não preservar ou encaminhar os atributos originais do tráfego do cliente. Se você usa CloudFront, recomendamos ativar a mitigação automática na CloudFront distribuição.
+ A mitigação automática da camada DDo S do aplicativo não interage com os grupos de proteção. Você pode ativar a mitigação automática para recursos que estão em grupos de proteção, mas o Shield Advanced não aplica automaticamente mitigações de ataques com base nas descobertas do grupo de proteção. O Shield Advanced aplica mitigações automáticas de ataques para recursos individuais.

**Contents**
+ [Advertências para usar a mitigação automática da camada S de DDo aplicação](#ddos-automatic-app-layer-response-caveats)
+ [Melhores práticas para usar a mitigação automática da camada DDo S de aplicação](ddos-automatic-app-layer-response-bp.md)
+ [Habilitando a mitigação automática da camada DDo S do aplicativo](ddos-automatic-app-layer-response-config.md)
  + [O que acontece quando você ativa a mitigação automática](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Como o Shield Advanced gerencia a mitigação automática](ddos-automatic-app-layer-response-behavior.md)
  + [Como o Shield Advanced responde aos ataques DDo S com mitigação automática](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [Como o Shield Avançado gerencia a configuração de ação de regra](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [Como o Shield Advanced gerencia as mitigações quando um ataque diminui](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [O que acontece quando você desativa a mitigação automática](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced](ddos-automatic-app-layer-response-rg.md)
+ [Visualizando a configuração automática de mitigação DDo da camada S de aplicação para um recurso](view-automatic-app-layer-response-configuration.md)
+ [Ativando e desativando a mitigação automática da camada DDo S do aplicativo](enable-disable-automatic-app-layer-response.md)
+ [Alterando a ação usada para mitigação automática da camada DDo S de aplicação](change-action-of-automatic-app-layer-response.md)
+ [Usando AWS CloudFormation com a mitigação automática da camada DDo S de aplicação](manage-automatic-mitigation-in-cfn.md)

# Melhores práticas para usar a mitigação automática da camada DDo S de aplicação
<a name="ddos-automatic-app-layer-response-bp"></a>

Siga as orientações fornecidas nesta seção ao usar a mitigação automática.

**Gerenciamento geral de proteções**  
Siga estas diretrizes para planejar e implementar suas proteções de mitigação automática.
+ Gerencie todas as suas proteções de mitigação automática por meio do Shield Advanced ou, se você estiver usando AWS Firewall Manager para gerenciar suas configurações de mitigação automática do Shield Advanced, por meio do Firewall Manager. Não misture o uso do Shield Advanced com o Firewall Manager para gerenciar essas proteções.
+ Gerencie recursos semelhantes usando as mesmas configurações da Web ACLs e de proteção e gerencie recursos diferentes usando uma Web ACLs diferente. Quando o Shield Advanced mitiga um ataque DDo S a um recurso protegido, ele define regras para a ACL da web associada ao recurso e, em seguida, testa as regras em relação ao tráfego de todos os recursos associados à ACL da web. O Shield Advanced só aplicará as regras se elas não afetarem negativamente nenhum dos recursos associados. Para obter mais informações, consulte [Como o Shield Advanced gerencia a mitigação automática](ddos-automatic-app-layer-response-behavior.md).
+ Para balanceadores de carga de aplicativos que têm todo o tráfego da Internet enviado por proxy por meio de uma CloudFront distribuição da Amazon, ative apenas a mitigação automática na distribuição. CloudFront A CloudFront distribuição sempre terá o maior número de atributos de tráfego originais, que o Shield Advanced aproveita para mitigar os ataques. 

**Otimização de detecção e mitigação**  
Siga essas diretrizes para otimizar as proteções que a mitigação automática fornece aos recursos protegidos. Para obter uma visão geral da detecção e mitigação da camada de aplicativo, consulte [Lista de fatores que afetam a detecção e mitigação de eventos na camada de aplicativo com o Shield Advanced](ddos-app-layer-detection-mitigation.md).
+ Configure verificações de integridade para seus recursos protegidos e use-as para habilitar a detecção baseada na integridade em suas proteções do Shield Advanced. Para obter orientações, consulte [Detecção baseada em integridade usando verificações de integridade com o Shield Advanced e o Route 53](ddos-advanced-health-checks.md).
+ Ative a mitigação automática no modo Count até que o Shield Advanced estabeleça uma linha de base para o tráfego normal e histórico. O Shield Advanced precisa de 24 horas a 30 dias para estabelecer uma referência. 

  Como estabelecer uma linha de base dos padrões normais de tráfego é preciso o seguinte: 
  + A associação de uma ACL da Web com o recurso protegido. Você pode usar AWS WAF diretamente para associar sua ACL da web ou pode fazer com que o Shield Advanced a associe ao habilitar a proteção da camada de aplicação Shield Advanced e especificar uma ACL da web a ser usada. 
  + Fluxo de tráfego normal para seu aplicativo protegido. Se seu aplicativo não estiver recebendo tráfego normal, como antes do lançamento do aplicativo, ou se não tiver tráfego de produção por longos períodos de tempo, os dados históricos não poderão ser coletados.

**Gerenciamento da web ACL**  
Siga estas diretrizes para gerenciar a web ACLs que você usa com mitigação automática.
+ Se você precisar substituir a ACL da Web associada ao recurso protegido, faça as seguintes alterações na ordem: 

  1. Desative a mitigação automática no Shield Advanced. 

  1. Em AWS WAF, desassocie a ACL da web antiga e associe a nova ACL da web. 

  1. Ative a mitigação automática no Shield Advanced. 

  O Shield Advanced não transfere automaticamente a mitigação automática da ACL da Web antiga para a nova. 
+ Não exclua nenhuma regra de grupo de regras da sua web ACLs cujo nome comece com`ShieldMitigationRuleGroup`. Se você excluir esse grupo de regras, você desabilitará as proteções fornecidas pela mitigação automática do Shield Advanced para cada recurso associado à ACL da Web. Além disso, o Shield Advanced pode levar algum tempo para receber a notificação da alteração e atualizar as configurações. Durante esse período, as páginas do console Shield Advanced fornecerão informações incorretas. 

  Para saber mais sobre o grupo de regras, consulte [Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Não modifique o nome de uma regra do grupo de regras cujo nome comece por `ShieldMitigationRuleGroup`. Isso também pode interferir nas proteções fornecidas pela mitigação automática do Shield Advanced por meio da web ACL. 
+ Ao criar regras e grupos de regras, não use nomes que comecem com `ShieldMitigationRuleGroup`. Essa sequência de caracteres é usada pelo Shield Advanced para gerenciar suas mitigações automáticas. 
+ No gerenciamento de suas regras de web ACL, não atribua uma configuração de prioridade de 10.000.000. O Shield Advanced atribui essa configuração de prioridade à sua regra de grupo de regras de mitigação automática quando a adiciona. 
+ Mantenha a regra `ShieldMitigationRuleGroup` priorizada para que ela seja executada quando você quiser em relação às outras regras em sua web ACL. O Shield Advanced adiciona a regra do grupo de regras à web ACL com prioridade 10.000.000, para ser executada após suas outras regras. Se você usar o assistente do AWS WAF console para gerenciar sua ACL da web, ajuste as configurações de prioridade conforme necessário depois de adicionar regras à ACL da web. 
+ Se você usa AWS CloudFormation para gerenciar sua web ACLs, não precisa gerenciar a `ShieldMitigationRuleGroup` regra do grupo de regras. Siga as orientações em [Usando AWS CloudFormation com a mitigação automática da camada DDo S de aplicação](manage-automatic-mitigation-in-cfn.md).

# Habilitando a mitigação automática da camada DDo S do aplicativo
<a name="ddos-automatic-app-layer-response-config"></a>

Essa página explica como configurar o Shield Advanced para responder automaticamente aos ataques na camada de aplicativo.

Você ativa a mitigação automática do Shield Advanced como parte das proteções da camada DDo S do aplicativo para seu recurso. Para saber mais sobre fazer isso no console, consulte [Configurar as proteções da camada DDo S do aplicativo](manage-protection.md#configure-app-layer-protection).

A funcionalidade de mitigação automática exige que você faça o seguinte:
+ **Associe uma web ACL ao recurso** — Isso é necessário para qualquer proteção da camada de aplicação Shield Advanced. É possível usar a mesma web ACL para vários recursos. Recomendamos fazer isso somente para recursos com tráfego semelhante. Para obter informações sobre a WebACLs, incluindo os requisitos para usá-las com vários recursos, consulte[Como AWS WAF funciona](how-aws-waf-works.md).
+ **Ativar e configurar a mitigação automática da camada DDo S do aplicativo Shield Advanced** — Ao habilitar isso, você especifica se deseja que o Shield Advanced bloqueie ou conte automaticamente as solicitações da web que ele determina como parte de um ataque DDo S. O Shield Advanced adiciona um grupo de regras à ACL da web associada e o usa para gerenciar dinamicamente sua resposta aos ataques DDo S ao recurso. Para saber mais sobre as opções de ações de regras, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).
+ **(Opcional, mas recomendado) Adicione uma regra baseada em taxa à ACL da web** — Por padrão, a regra baseada em taxa fornece ao seu recurso proteção básica contra ataques DDo S, impedindo que qualquer endereço IP individual envie muitas solicitações em pouco tempo. Para saber mais sobre regras baseadas em intervalos, incluindo opções e exemplos personalizados de agregação de solicitações, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md).

## O que acontece quando você ativa a mitigação automática
<a name="ddos-automatic-app-layer-response-enable"></a>

O Shield Advanced faz o seguinte quando você ativa a mitigação automática: 
+ **Conforme necessário, adiciona um grupo de regras para uso do Shield Advanced** — Se a ACL AWS WAF da web que você associou ao recurso ainda não tiver uma AWS WAF regra de grupo de regras dedicada à mitigação automática da camada DDo S do aplicativo, o Shield Advanced adicionará uma. 

  O nome da regra do grupo de regras começa com `ShieldMitigationRuleGroup`. O grupo de regras sempre contém uma regra baseada em taxas chamada`ShieldKnownOffenderIPRateBasedRule`, que limita o volume de solicitações de endereços IP que são conhecidos por serem fontes de ataques DDo S. Para obter detalhes adicionais sobre o grupo de regras do Shield Avançado e a regra de ACL da Web que faz referência a ele, consulte [Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Começa a responder aos ataques DDo S contra o recurso** — o Shield Advanced responde automaticamente aos ataques DDo S do recurso protegido. Além da regra baseada em taxas, que está sempre presente, o Shield Advanced usa seu grupo de regras para implantar AWS WAF regras personalizadas para mitigação de ataques DDo S. O Shield Advanced adapta essas regras ao seu aplicativo e aos ataques que seu aplicativo enfrenta e as testa em relação ao tráfego histórico do recurso antes de implantá-las. 

O Shield Advanced usa uma única regra de grupo de regras em qualquer web ACL que você usa para mitigação automática. Se o Shield Avançado já tiver adicionado o grupo de regras para outro recurso protegido, ele não adicionará outro grupo de regras à ACL da Web. 

A mitigação automática da camada DDo S do aplicativo depende da presença do grupo de regras para mitigar os ataques. Se o grupo de regras for removido da ACL da AWS WAF web por qualquer motivo, a remoção desativará a mitigação automática de todos os recursos associados à ACL da web.

# Como o Shield Advanced gerencia a mitigação automática
<a name="ddos-automatic-app-layer-response-behavior"></a>

Os tópicos desta seção descrevem como o Shield Advanced lida com suas alterações de configuração para mitigação automática da camada DDo S do aplicativo e como ele lida com ataques DDo S quando a mitigação automática está ativada. 

**Topics**
+ [Como o Shield Advanced responde aos ataques DDo S com mitigação automática](#ddos-automatic-app-layer-response-ddos-attack)
+ [Como o Shield Avançado gerencia a configuração de ação de regra](#ddos-automatic-app-layer-response-rule-action)
+ [Como o Shield Advanced gerencia as mitigações quando um ataque diminui](#ddos-automatic-app-layer-response-after-attack)
+ [O que acontece quando você desativa a mitigação automática](#ddos-automatic-app-layer-response-disable)

## Como o Shield Advanced responde aos ataques DDo S com mitigação automática
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Quando você tem a mitigação automática ativada em um recurso protegido, a regra baseada em taxa no `ShieldKnownOffenderIPRateBasedRule` grupo de regras Shield Advanced responde automaticamente a volumes elevados de tráfego de fontes S conhecidas. DDo Essa limitação de volume é aplicada rapidamente e atua como uma defesa de linha de frente contra os ataques. 

Quando o Shield Avançado detecta um ataque, ele faz o seguinte:

1. Tenta identificar uma assinatura de ataque que isole o tráfego de ataque do tráfego normal para seu aplicativo. O objetivo é produzir regras de mitigação DDo S de alta qualidade que, quando implementadas, afetem somente o tráfego de ataque e não afetem o tráfego normal do seu aplicativo.

1. Avalia a assinatura de ataque identificada em relação aos padrões históricos de tráfego do recurso que está sob ataque, bem como de qualquer outro recurso associado à mesma web ACL. O Shield Advanced faz isso antes de implantar qualquer regra em resposta ao evento. 

   Dependendo dos resultados da avaliação, o Shield Advanced executará um dos seguintes procedimentos: 
   + Se o Shield Advanced determinar que a assinatura do ataque isola somente o tráfego envolvido no ataque DDo S, ele implementa a assinatura nas AWS WAF regras do grupo de regras de mitigação do Shield Advanced na ACL da web. O Shield Advanced fornece a essas regras a configuração de ação que você configurou para a mitigação automática do recurso - Count ou Block.
   + Caso contrário, o Shield Advanced não coloca uma mitigação.

Durante um ataque, o Shield Advanced envia as mesmas notificações e fornece as mesmas informações de eventos das proteções básicas da camada de aplicação do Shield Advanced. Você pode ver as informações sobre eventos e ataques DDo S, e sobre qualquer mitigação de ataques do Shield Advanced, no console de eventos do Shield Advanced. Para mais informações, consulte [Visibilidade DDo dos eventos S com o Shield Advanced](ddos-viewing-events.md). 

Se você configurou a mitigação automática para usar a ação da regra Block e detectou falsos positivos nas regras de mitigação implantadas pelo Shield Advanced, você pode alterar a ação da regra para Count. Para saber mais sobre como fazer isso, consulte [Alterando a ação usada para mitigação automática da camada DDo S de aplicação](change-action-of-automatic-app-layer-response.md). 

## Como o Shield Avançado gerencia a configuração de ação de regra
<a name="ddos-automatic-app-layer-response-rule-action"></a>

É possível definir a ação de regra para suas mitigações automáticas como Block ou Count. 

Quando você altera a configuração de ação da regra de mitigação automática para um recurso protegido, o Shield Advanced atualiza todas as configurações de regra do recurso. Ele atualiza todas as regras atualmente em vigor para o recurso no grupo de regras do Shield Avançado e usa a nova configuração de ação ao criar novas regras. 

Para os recursos que usam a mesma ACL da Web, se você especificar ações diferentes, o Shield Avançado usará a configuração de ação Block para a regra baseada em intervalos `ShieldKnownOffenderIPRateBasedRule` do grupo de regras. O Shield Avançado cria e gerencia outras regras no grupo de regras em nome de um recurso protegido específico e usa a configuração de ação que você especificou para o recurso. Todas as regras do grupo de regras do Shield Avançado em uma ACL da Web são aplicadas ao tráfego da Web de todos os recursos associados. 

A alteração da configuração de ação pode levar alguns segundos para ser propagada. Durante esse período, você pode ver a configuração antiga em alguns lugares onde o grupo de regras está em uso, e a nova configuração em outros lugares. 

Você pode alterar a configuração da ação da regra para sua configuração de mitigação automática na página de eventos do console e por meio da página de configuração da camada de aplicação. Para saber mais sobre eventos, consulte o [Respondendo aos eventos DDo S em AWS](ddos-responding.md). Para saber mais sobre a página de configuração, consulte [Configurar as proteções da camada DDo S do aplicativo](manage-protection.md#configure-app-layer-protection).

## Como o Shield Advanced gerencia as mitigações quando um ataque diminui
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Quando o Shield Advanced determina que as regras de mitigação que foram implantadas para um ataque específico não são mais necessárias, ele as remove do grupo de regras de mitigação do Shield Advanced. 

A remoção das regras de mitigação não coincidirá necessariamente com o fim de um ataque. O Shield Advanced monitora os padrões de ataque que ele detecta em seus recursos protegidos. Ele pode se defender proativamente contra a recorrência de um ataque com uma assinatura específica, mantendo em vigor as regras que implantou contra a ocorrência inicial desse ataque. Conforme necessário, o Shield Advanced aumenta a janela de tempo em que mantém as regras em vigor. Dessa forma, o Shield Advanced pode mitigar ataques repetidos com uma assinatura específica antes que eles afetem seus recursos protegidos. 

O Shield Advanced nunca remove a regra baseada em taxas`ShieldKnownOffenderIPRateBasedRule`, que limita o volume de solicitações de endereços IP que são conhecidos por serem fontes de ataques DDo S. 

## O que acontece quando você desativa a mitigação automática
<a name="ddos-automatic-app-layer-response-disable"></a>

O Shield Advanced faz o seguinte quando você desativa a mitigação automática para um recurso: 
+ **Para de responder automaticamente aos ataques DDo S** — o Shield Advanced interrompe suas atividades de resposta automática para o recurso.
+ **Remove regras desnecessárias do grupo de regras do Shield Advanced** — Se o Shield Advanced estiver mantendo alguma regra em seu grupo de regras gerenciadas em nome do recurso protegido, ele as removerá. 
+ **Remove o grupo de regras Shield Advanced, se ele não estiver mais em uso** — Se a web ACL que você associou ao recurso não estiver associada a nenhum outro recurso com a mitigação automática ativada, o Shield Advanced removerá sua regra de grupo de regras da web ACL. 

# Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Esta página explica como o grupo de regras do Shield Advanced funciona em sua ACL da Web.

O Shield Avançado gerencia atividades de mitigação automática usando regras em um grupo de regras de que ele é proprietário e gerencia para você. O Shield Avançado faz referência ao grupo de regras com uma regra na ACL da Web que você associou ao seu recurso protegido. 

**A regra do grupo de regras em sua ACL da Web**  
A regra do grupo de regras do Shield Avançado em sua ACL da Web tem as seguintes propriedades:
+ **Nome**: `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unidades de capacidade de web ACL (WCU)**: 150. Eles WCUs contam contra o uso da WCU em sua ACL da web. 

O Shield Advanced cria essa regra em sua ACL da web com uma configuração de prioridade de 10.000.000, para que ela seja executada após suas outras regras e grupos de regras na ACL da web. AWS WAF executa as regras em uma ACL da web a partir da configuração de prioridade numérica mais baixa. Durante o gerenciamento da web ACL, essa configuração de prioridade pode mudar. 

A funcionalidade de mitigação automática não consome nenhum AWS WAF recurso adicional em sua conta, além do WCUs usado pelo grupo de regras em sua ACL da web. Por exemplo, o grupo de regras do Shield Advanced não é contado como um dos grupos de regras da sua conta. Para obter informações sobre os limites da conta em AWS WAF, consulte[AWS WAF cotas](limits.md).

**Regras no grupo de regras**  
Dentro do grupo de regras Shield Advanced referenciado, o Shield Advanced mantém uma regra baseada em taxas`ShieldKnownOffenderIPRateBasedRule`, que limita o volume de solicitações de endereços IP que são conhecidos como fontes de ataques S. DDo Essa regra atua como a primeira linha de defesa contra qualquer ataque, pois está sempre presente no grupo de regras e não depende da análise de padrões de tráfego para conter os ataques. A ação desta regra é definida como a ação que você escolhe para suas mitigações automáticas, assim como ocorre com as outras regras no grupo de regras. Para saber mais sobre regras baseadas em intervalos, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md).

**nota**  
A regra baseada em intervalos `ShieldKnownOffenderIPRateBasedRule` opera independentemente da detecção de eventos do Shield Advanced. Embora a mitigação automática esteja ativada, essa taxa de regra limita os endereços IP que são conhecidos por serem fontes de ataques DDo S. Para esses endereços IP, a limitação de taxa da regra pode evitar ataques e também impedir que os ataques apareçam nas informações de detecção do Shield Advanced. Essa compensação favorece a prevenção em vez da visibilidade completa dos padrões de ataque. 

Além da regra permanente baseada em taxas descrita acima, o grupo de regras contém todas as regras que o Shield Advanced está usando atualmente para mitigar os ataques S. DDo O Shield Avançado adiciona, modifica e remove essas regras, conforme necessário. Para mais informações, consulte [Como o Shield Advanced gerencia a mitigação automática](ddos-automatic-app-layer-response-behavior.md).

**Metrics**  
O grupo de regras gera AWS WAF métricas, mas como esse grupo de regras é de propriedade da Shield Advanced, essas métricas não estão disponíveis para visualização. Para obter mais informações, consulte [AWS WAF métricas e dimensões](waf-metrics.md).

# Visualizando a configuração automática de mitigação DDo da camada S de aplicação para um recurso
<a name="view-automatic-app-layer-response-configuration"></a>

Você pode visualizar a configuração automática de mitigação da camada DDo S da aplicação para um recurso na página **Recursos protegidos** e nas páginas de proteções individuais. 

**Para visualizar a configuração automática de mitigação da camada DDo S do aplicativo**

1. Faça login Console de gerenciamento da AWS e abra o console AWS WAF & Shield em [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. No painel AWS Shield de navegação, escolha **Recursos protegidos**. Na lista de recursos protegidos, a coluna Mitigação **automática da camada DDo S do aplicativo indica se a mitigação** automática está ativada e, quando ativada, a ação que o Shield Advanced deve usar em suas mitigações. 

   Você também pode selecionar qualquer recurso da camada de aplicação para ver as mesmas informações listadas na página de proteções do recurso. 

# Ativando e desativando a mitigação automática da camada DDo S do aplicativo
<a name="enable-disable-automatic-app-layer-response"></a>

O procedimento a seguir mostra como ativar ou desativar a resposta automática para um recurso protegido. 

**Para habilitar ou desabilitar a mitigação automática DDo da camada S de aplicação para um único recurso**

1. Faça login Console de gerenciamento da AWS e abra o console AWS WAF & Shield em [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. No painel AWS Shield de navegação, escolha **Recursos protegidos**.

1. Na guia **Proteções**, selecione o recurso da camada de aplicação para o qual você deseja ativar a mitigação automática. A página de proteções do recurso é aberta. 

1. Na página de proteções do recurso, escolha **Editar**. 

1. Na página **Configurar a mitigação da camada 7 DDo S para recursos globais - *opcional***, para a **mitigação automática da camada DDo S do aplicativo, escolha a opção que você deseja usar para mitigações** automáticas. As opções para o console são as seguintes: 
   + **Manter as configurações atuais**: — Não fazer alterações nas configurações de mitigação automática do recurso protegido. 
   + **Ativar**: — Ativar a mitigação automática para o recurso protegido. Ao escolher isso, selecione também a ação de regra que você deseja que as mitigações automáticas usem nas regras de web ACL. Para informações sobre as configurações de ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

     Se seu recurso protegido ainda não tiver um histórico de tráfego normal de aplicativos, ative a mitigação automática no modo Count até que o Shield Advanced possa estabelecer uma linha de base. O Shield Advanced começa a coletar informações para sua linha de base quando você associa uma ACL da Web ao seu recurso protegido, e pode levar de 24 horas a 30 dias para estabelecer uma boa linha de base do tráfego normal.
   + **Desativar**: — Desativar a mitigação automática para o recurso protegido. 

1. Percorra o restante das páginas até terminar e salve a configuração. 

Na página **Proteções**, as configurações de mitigação automática são atualizadas para o recurso.

# Alterando a ação usada para mitigação automática da camada DDo S de aplicação
<a name="change-action-of-automatic-app-layer-response"></a>

Você pode alterar a ação que o Shield Advanced usa para a resposta automática da camada de aplicação em vários locais no console:
+ **Configuração de mitigação automática**: — Altere a ação ao configurar a mitigação automática para seu recurso. Para ver o procedimento, consulte a seção [Ativando e desativando a mitigação automática da camada DDo S do aplicativo](enable-disable-automatic-app-layer-response.md) anterior.
+ **Página de detalhes do evento**: — Altere a ação na página de detalhes do evento ao visualizar as informações do evento no console. Para mais informações, consulte [Visualizando detalhes AWS Shield Advanced do evento](ddos-event-details.md).

Se você tem dois recursos protegidos que compartilham uma ACL da Web e define a ação como Count para um dos recursos e Block para o outro, o Shield Avançado definirá a ação da regra baseada em intervalos `ShieldKnownOffenderIPRateBasedRule` do grupo de regras como Block.

# Usando AWS CloudFormation com a mitigação automática da camada DDo S de aplicação
<a name="manage-automatic-mitigation-in-cfn"></a>

Esta página explica como usar CloudFormation para gerenciar suas proteções e a AWS WAF web ACLs. 

**Ativando ou desativando a mitigação automática da camada DDo S do aplicativo**  
Você pode ativar e desativar a mitigação automática da camada DDo S do aplicativo usando AWS CloudFormation o `AWS::Shield::Protection` recurso. O efeito é o mesmo de quando você ativa ou desativa o atributo por meio do console ou de qualquer outra interface. Para obter informações sobre o CloudFormation recurso, consulte [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)o *guia AWS CloudFormation do usuário*.

**Gerenciando a web ACLs usada com mitigação automática**  
O Shield Advanced gerencia a mitigação automática para seu recurso protegido usando uma regra de grupo de regras na ACL da AWS WAF web do recurso protegido. Por meio do AWS WAF console APIs, você verá a regra listada em suas regras de ACL da web, com um nome que começa com`ShieldMitigationRuleGroup`. Essa regra é dedicada à mitigação automática da camada DDo S do aplicativo e é gerenciada para você pela Shield Advanced e. AWS WAF Para obter mais informações, consulte [Como proteger a camada de aplicativos com o grupo de regras do Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Como o Shield Advanced gerencia a mitigação automática](ddos-automatic-app-layer-response-behavior.md).

Se você usa CloudFormation para gerenciar sua web ACLs, não adicione a regra de grupo de regras Shield Advanced ao seu modelo de ACL da web. Quando você atualiza uma ACL da web que está sendo usada com suas proteções de mitigação automática, gerencia AWS WAF automaticamente a regra do grupo de regras na ACL da web. 

Você verá as seguintes diferenças em comparação com outros sites ACLs que você gerencia por meio de CloudFormation:
+ CloudFormation não relatará nenhuma variação no status de desvio da pilha entre a configuração real da ACL da web, com a regra de grupo de regras Shield Advanced, e seu modelo de ACL da web, sem a regra. A regra Shield Advanced não aparecerá na listagem real do recurso nos detalhes de oscilação. 

  Você poderá ver a regra de grupo de regras do Shield Advanced nas listagens de ACL da web das quais você recupera AWS WAF, como por meio do AWS WAF console ou. AWS WAF APIs
+ Se você modificar o modelo de ACL da web em uma pilha, o AWS WAF Shield Advanced mantiver automaticamente a regra de mitigação automática do Shield Advanced na ACL da web atualizada. As proteções de mitigação automática fornecidas pelo Shield Advanced não são interrompidas por sua atualização na web ACL.

Não gerencie a regra Shield Advanced em seu modelo de ACL CloudFormation da web. O modelo de web ACL não deve listar a regra do Shield Advanced. Siga as práticas recomendadas para gerenciamento de web ACL em [Melhores práticas para usar a mitigação automática da camada DDo S de aplicação](ddos-automatic-app-layer-response-bp.md).