**Apresentando uma nova experiência de console para AWS WAF** Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Melhores práticas para mitigação inteligente de ameaças em AWS WAF Siga as práticas recomendadas desta seção para obter a implementação mais eficiente e econômica dos recursos de mitigação de ameaças inteligentes. + **Implemente a JavaScript integração de aplicativos móveis SDKs** — Implemente a integração de aplicativos para habilitar o conjunto completo de funcionalidades de ACFP, ATP ou Bot Control da maneira mais eficaz possível. Os grupos de regras gerenciadas usam os tokens fornecidos pelo SDKs para separar o tráfego legítimo do cliente do tráfego indesejado no nível da sessão. A integração do aplicativo SDKs garante que esses tokens estejam sempre disponíveis. Para obter detalhes, consulte: + [Usando a integração de aplicativos SDKs com o ACFP](waf-acfp-with-tokens.md) + [Usando a integração de aplicativos SDKs com o ATP](waf-atp-with-tokens.md) + [Usando a integração de aplicativos SDKs com o Bot Control](waf-bot-with-tokens.md) Use as integrações para implementar desafios em seu cliente e, para JavaScript, personalizar a forma como os quebra-cabeças CAPTCHA são apresentados aos seus usuários finais. Para obter detalhes, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Se você personalizar os quebra-cabeças de CAPTCHA usando a JavaScript API e usar a ação de CAPTCHA regra em qualquer lugar do seu pacote de proteção (Web ACL), siga as orientações para lidar com a resposta do AWS WAF CAPTCHA em seu cliente em. [Manipulando uma resposta CAPTCHA de AWS WAF](waf-js-captcha-api-conditional.md) Essa orientação se aplica a todas as regras que usam a ação CAPTCHA, incluindo aquelas do grupo de regras gerenciadas do ACFP e o nível de proteção direcionada do grupo de regras gerenciadas do Controle de Bots. + **Limite as solicitações que você envia aos grupos de regras ACFP, ATP e Bot Control — Você incorre em taxas adicionais pelo uso dos grupos de regras** gerenciadas de mitigação AWS inteligente de ameaças. O grupo de regras do ACFP inspeciona as solicitações para os endpoints de registro e criação da conta que você especificar. O grupo de regras do ATP inspeciona as solicitações para o endpoint de login que você especificar. O grupo de regras do Controle de Bots inspeciona cada solicitação que chega até ele na avaliação do pacote de proteção (ACL da Web). Considere as seguintes abordagens para reduzir o uso desses grupos de regras: + Exclua solicitações da inspeção com uma instrução de redução de escopo na instrução do grupo de regras gerenciadas. Você pode fazer isso com qualquer instrução aninhável. Para mais informações, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md). + Exclua solicitações da inspeção adicionando regras antes do grupo de regras. Para regras que você não pode usar em uma instrução de redução de escopo e para situações mais complexas, como rotulagem seguida pela correspondência de rótulos, convém adicionar regras que sejam executadas antes dos grupos de regras. Para obter informações, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md) e [Usando declarações de regras em AWS WAF](waf-rule-statements.md). + Execute os grupos de regras depois de regras mais baratas. Se você tiver outras AWS WAF regras padrão que bloqueiam solicitações por qualquer motivo, execute-as antes desses grupos de regras pagas. Para saber mais sobre regras e gerenciamento de regras, consulte [Usando declarações de regras em AWS WAF](waf-rule-statements.md). + Se você estiver usando mais de um dos grupos de regras gerenciadas de mitigação de ameaças inteligentes, execute-os na seguinte ordem para manter os custos baixos: Controle de Bots, ATP, ACFP. Para obter informações detalhadas sobre definição de preço, consulte [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/). + **Não limite as solicitações que você envia ao grupo de regras DDo Anti-S — Esse grupo** de regras funciona melhor quando você o configura para monitorar todo o tráfego da web que você não está permitindo explicitamente. Posicione-o na ACL da Web para ser avaliado somente após as regras com a ação da regra Allow e antes de todas as outras regras. + **Para proteção distribuída de negação de serviço (DDoS), use a mitigação automática da camada DDo S de aplicativos do DDo Anti-S ou do Shield Advanced** — os outros grupos de regras inteligentes de mitigação de ameaças não oferecem proteção S. DDo O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente. O DDo Anti-S permite monitorar e controlar DDo os ataques S, permitindo uma resposta rápida e a mitigação das ameaças. O Shield Advanced, com mitigação automática da camada de aplicação DDo S, responde automaticamente aos ataques DDo S detectados criando, avaliando e implantando mitigações personalizadas AWS WAF em seu nome. Para saber mais sobre Shield Advanced, consulte [Visão geral do AWS Shield Advanced](ddos-advanced-summary.md) e [Protegendo a camada de aplicação (camada 7) com AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md). Para obter mais informações sobre a prevenção de negação de serviço distribuída (DDoS), consulte [Grupo de regras DDo anti-S](aws-managed-rule-groups-anti-ddos.md) e. [Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md) + **Ative o grupo de regras DDo Anti-S e o nível de proteção desejado do grupo de regras do Bot Control durante o tráfego normal da web** — Essas categorias de regras precisam de tempo para estabelecer linhas de base para o tráfego normal. **Ativar o nível de proteção direcionada do grupo de regras do Controle de Bots durante o tráfego normal da web**: algumas regras do nível de proteção direcionada precisam de tempo para estabelecer linhas de base para os padrões normais de tráfego antes que possam reconhecer e responder a padrões de tráfego irregulares ou maliciosos. Por exemplo, as regras `TGT_ML_*` precisam de até 24 horas para se aquecerem. Adicione essas proteções quando você não estiver enfrentando um ataque e dê a elas tempo para estabelecer suas linhas de base antes de esperar que respondam adequadamente. Se você adicionar essas regras durante um ataque, precisará ativar o grupo de regras DDo Anti-S no modo de contagem. Após o término do ataque, o tempo para estabelecer uma linha de base geralmente é do dobro ao triplo do tempo normal necessário, devido à distorção adicionada pelo tráfego do ataque. Para obter informações adicionais sobre as regras e os tempos de aquecimento exigidos, consulte [Lista de regras](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules). + **Para proteção distribuída de negação de serviço (DDoS), use a mitigação automática da camada DDo S do aplicativo Shield Advanced** — Os grupos inteligentes de regras de mitigação de ameaças não fornecem proteção S. DDo O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente. Quando você usa o Shield Advanced com a mitigação automática da camada DDo S do aplicativo ativada, o Shield Advanced responde automaticamente aos ataques DDo S detectados criando, avaliando e implantando mitigações personalizadas AWS WAF em seu nome. Para saber mais sobre Shield Advanced, consulte [Visão geral do AWS Shield Advanced](ddos-advanced-summary.md) e [Protegendo a camada de aplicação (camada 7) com AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md). + **Use cargas de tráfego de produção ao estabelecer linhas de base para o grupo de regras DDo Anti-S** — É uma prática comum testar outros grupos de regras usando tráfego de teste artificial. No entanto, ao testar e estabelecer linhas de base para o grupo de regras DDo Anti-S, recomendamos que você use fluxos de tráfego que reflitam as cargas em seu ambiente de produção. Estabelecer linhas de base DDo anti-S usando tráfego típico é a melhor maneira de garantir que seus recursos sejam protegidos quando o grupo de regras for ativado em um ambiente de produção. + **Ajustar e configurar o tratamento de tokens**: ajuste o tratamento de tokens do pacote de proteção (ACL da Web) para obter a melhor experiência do usuário. + Para reduzir os custos operacionais e melhorar a experiência do usuário final, ajuste seus tempos de imunidade de gerenciamento de tokens para o máximo que seus requisitos de segurança permitirem. Isso reduz ao mínimo o uso de quebra-cabeças CAPTCHA e desafios silenciosos. Para mais informações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md). + Para habilitar o compartilhamento de tokens entre aplicações protegidas, configure uma lista de domínios de tokens para o pacote de proteção (ACL da Web). Para mais informações, consulte [Especificando domínios de token e listas de domínios em AWS WAF](waf-tokens-domains.md). + **Rejeitar solicitações com especificações arbitrárias de host**: configure seus recursos protegidos para exigir que os cabeçalhos `Host` nas solicitações da web correspondam ao recurso-alvo. Você pode aceitar um valor ou um conjunto específico de valores, como `myExampleHost.com` e `www.myExampleHost.com`, mas não aceitar valores arbitrários para o host. + **Para Application Load Balancers que são origens de CloudFront distribuições, configure CloudFront e manipule AWS WAF corretamente os tokens** — Se você associar seu pacote de proteção (web ACL) a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição, consulte. CloudFront [Configuração necessária para balanceadores de carga de aplicativos que são origens CloudFront](waf-tokens-with-alb-and-cf.md) + **Testar e ajustar antes da implantação**: antes de implementar qualquer alteração no pacote de proteção (ACL da Web), siga os procedimentos de testes e ajustes neste guia para ter certeza de que você está obtendo o comportamento esperado. Isso é especialmente importante para esses recursos pagos. Para obter orientação geral, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md). Para obter informações específicas sobre os grupos de regras gerenciadas pagos, consulte [Testando e implantando o ACFP](waf-acfp-deploying.md), [Testando e implantando o ATP](waf-atp-deploying.md) e [Testando e implantando o AWS WAF Bot Control](waf-bot-control-deploying.md).