**Apresentando uma nova experiência de console para AWS WAF** Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Testando e implantando o AWS WAF Bot Control Esta seção fornece orientação geral para configurar e testar uma implementação do AWS WAF Bot Control para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e das solicitações da web que você receber. Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md). **nota** AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. **Risco de tráfego de produção** Antes de implantar sua implementação de Controle de Bots para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. **Para configurar e testar uma implementação do Controle de Bots** Execute estas etapas primeiro em um ambiente de teste e depois na produção. 1. **Adicione o grupo de regras gerenciadas do Controle de Bots** **nota** Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/). Adicione o grupo de AWS regras gerenciadas `AWSManagedRulesBotControlRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: + No painel **Nível de inspeção**, selecione o nível de inspeção que você deseja usar. + **Comum**: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar. + **Direcionado**: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano. + **`TGT_`**: as regras que fornecem proteção direcionada têm nomes que começam com `TGT_`. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. + **`TGT_ML_`**: as regras de proteção direcionada que usam machine learning têm nomes que começam com `TGT_ML_`. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras. Para saber mais sobre essa opção, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para obter mais informações, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override). Com essa substituição, você pode monitorar o impacto potencial das regras do Controle de Bots no seu tráfego para determinar se deseja adicionar exceções para coisas como casos de uso internos ou bots desejados. + Posicione o grupo de regras para que ele seja avaliado por último no pacote de proteção (ACL da Web), com uma configuração de prioridade numericamente mais alta do que qualquer outra regra ou grupo de regras que você já esteja usando. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando essas solicitações. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do Controle de Bots. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste, mas essa é uma boa maneira de começar. 1. **Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)** Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do Controle de Bots com seu tráfego. + Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 1. **Associar o pacote de proteção (ACL da Web) a um recurso** Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md). 1. **Monitore as correspondências de tráfego e regras do Controle de Bots** Verifique se o tráfego está fluindo e se as regras do grupo de regras gerenciadas do Controle de Bots estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas de bots e rótulos nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu. **nota** O grupo de regras gerenciadas do Controle de Bots verifica os bots usando os endereços IP do AWS WAF. Se você usa o Controle de Bots e verificou que os bots são roteados por meio de um proxy ou balanceador de carga, pode ser necessário permitir explicitamente que eles usem uma regra personalizada. Para obter informações sobre como criar uma regra personalizada, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md). Para obter informações sobre como você pode usar a regra para personalizar o tratamento de solicitações web do Controle de Bots, consulte a próxima etapa. Analise cuidadosamente o tratamento de solicitações da web em busca de falsos positivos que você possa precisar mitigar com o tratamento personalizado. Para exemplos de falsos positivos, consulte [Exemplos de cenários de falsos positivos com o AWS WAF Bot Control](waf-bot-control-false-positives.md). 1. **Personalize o tratamento de solicitações da web do Controle de Bots** Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do Controle de Bots lidariam com elas. A forma como você faz isso depende do seu caso de uso, mas as soluções a seguir são comuns: + Permita explicitamente solicitações com uma regra que você adiciona antes do grupo de regras gerenciadas do Controle de Bots. Com isso, as solicitações permitidas nunca chegam ao grupo de regras para avaliação. Isso pode ajudar a conter o custo de usar o grupo de regras gerenciadas do Controle de Bots. + Exclua solicitações da avaliação do Controle de Bots adicionando uma instrução de escopo abaixo da instrução do grupo de regras gerenciadas do Controle de Bots. Isso funciona da mesma forma que a opção anterior. Isso pode ajudar a conter o custo do uso do grupo de regras gerenciadas do Controle de Bots porque as solicitações que não correspondem à instrução de redução de escopo nunca chegam à avaliação do grupo de regras. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md). Para obter exemplos, consulte os seguintes: + [Como excluir o intervalo de IP do gerenciamento de bots](waf-bot-control-example-scope-down-ip.md) + [Como permitir o tráfego de um bot que você controla](waf-bot-control-example-scope-down-your-bot.md) + Use rótulos do Controle de Bots no tratamento de solicitações para permitir ou bloquear solicitações. Adicione uma regra de correspondência de rótulo após o grupo de regras gerenciadas do Controle de Bots para filtrar as solicitações rotuladas que você deseja permitir daquelas que deseja bloquear. Após o teste, mantenha as regras do Controle de Bots relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para obter mais informações sobre instruções de correspondência de rótulo, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md). Para obter exemplos desse tipo de personalização, consulte o seguinte: + [Como criar uma exceção para um agente de usuário bloqueado](waf-bot-control-example-user-agent-exception.md) + [Como permitir um bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md) + [Como bloquear bots verificados](waf-bot-control-example-block-verified-bots.md) Para obter exemplos adicionais, consulte [AWS WAF Exemplos de controle de bots](waf-bot-control-examples.md). 1. **Conforme necessário, habilite as configurações do grupo de regras gerenciadas do Controle de Bots** Dependendo da sua situação, você pode ter decidido deixar algumas regras do Controle de Bots no modo de contagem ou com uma substituição de ação diferente. Para as regras que você deseja que sejam executadas conforme configuradas dentro do grupo de regras, habilite a configuração de regra normal. Para isso, edite a instrução do grupo de regras no pacote de proteção (ACL da Web) e faça suas alterações no painel **Regras**.