Gerenciando o comportamento do grupo de regras - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede
Substituir ações de regra para um grupo de regrasSubstituição do resultado da avaliação de um grupo de regras para Count

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando o comportamento do grupo de regras

Esta seção descreve suas opções para modificar a forma como você usa um grupo de regras em seu pacote de proteção ou Web ACL. Essas informações se aplicam a todos os tipos de grupos de regras. Depois de adicionar um grupo de regras a um pacote de proteção ou ACL da web, você pode substituir as ações das regras individuais no grupo de regras para Count ou para qualquer outra configuração de ação de regra válida. Você também pode substituir a ação resultante do grupo de regras para Count, o que não tem efeito sobre como as regras são avaliadas dentro do grupo de regras.

Para obter informações sobre essas opções, consulte Substituindo ações do grupo de regras em AWS WAF.

Substituir ações de regra para um grupo de regras

Para cada grupo de regras em um pacote de proteção ou Web ACL, você pode substituir as ações da regra contida em algumas ou em todas as regras.

O caso de uso mais comum para isso é substituir as ações da regra para Count para testar regras novas ou atualizadas. Se você tiver métricas habilitadas, receberá métricas para cada regra que você substituir. Para ter mais informações sobre armazenamento, consulte Testando e ajustando suas AWS WAF proteções.

Você pode fazer essas alterações ao adicionar um grupo de regras gerenciadas ao pacote de proteção ou à ACL da web e pode fazê-las em qualquer tipo de grupo de regras ao editar o pacote de proteção ou a ACL da web. Essas instruções são para um grupo de regras que já foi adicionado ao pacote de proteção ou ao Web ACL. Veja as informações adicionais sobre essa opção em Substituições de ações de regras de grupos de regras.

protection pack
Para substituir ações de regra para um grupo de regras

  1. Escolha o pacote de proteção que você deseja editar. O console torna editável o cartão do pacote de proteção principal e também abre um painel lateral com detalhes que você pode editar.

  2. No cartão do pacote de proteção, escolha o link Editar ao lado de Regras para abrir o painel Gerenciar regras.

  3. Na seção Gerenciar regras do grupo de regras, escolha a regra gerenciada para abrir suas configurações de ação.

    • Substituir grupo de regras — altera a ação do grupo de regras para o modo Contagem, mas mantém todas as ações de regras individuais inalteradas.

    • Substituir todas as ações de regra — Aplica uma ação de regra a todas as regras, substituindo seu estado atual.

    • Substituição de regra única — aplica uma ação de regra a uma regra individual.

  4. Quando terminar de fazer as alterações, escolha Salvar regra.

web ACL
Para substituir ações de regra para um grupo de regras

  1. Edite a web ACL.

  2. Na guia Regras na página da web ACL, selecione o grupo de regras e escolha Editar.

  3. Na seção Regras do grupo de regras, gerencie as configurações de ação conforme necessário.

    • Todas as regras: para definir uma ação de substituição para todas as regras no grupo de regras, abra o menu suspenso Substituir todas as ações de regra e selecione a ação de substituição. Para remover as substituições de todas as regras, selecione Remover todas as substituições.

    • Regra única: para definir uma ação de substituição para uma única regra, abra a lista suspensa da regra e selecione a ação de substituição. Para remover a substituição de uma regra, abra a lista suspensa da regra e selecione Remover substituição.

  4. Quando terminar de fazer as alterações, escolha Salvar regra. As configurações de ação de regra e ação de substituição estão listadas na página do grupo de regras.

O exemplo de listagem JSON a seguir mostra uma declaração de grupo de regras dentro de um pacote de proteção ou ACL da web que substitui as ações da regra Count para as regras e. CategoryVerifiedSearchEngine CategoryVerifiedSocialMedia No JSON, você substitui todas as ações da regra fornecendo uma entrada RuleActionOverrides para cada regra individual.

{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}

Substituição do resultado da avaliação de um grupo de regras para Count

Você pode substituir a ação resultante da avaliação de um grupo de regras sem alterar a forma como as regras do grupo de regras são configuradas ou avaliadas. Essa opção não é comumente usado. Se alguma regra no grupo de regras resultar em uma correspondência, essa substituição definirá a ação resultante do grupo de regras como Count.

nota

Esse é um caso de uso incomum. A maioria das substituições de ações é feita no nível da regra, dentro do grupo de regras, conforme descrito em Substituir ações de regra para um grupo de regras.

Você pode substituir a ação resultante do grupo de regras no pacote de proteção ou na ACL da web ao adicionar ou editar o grupo de regras. No console, abra o painel Substituir ação do grupo de regras: opcional do grupo de regras e habilite a substituição. No JSON, defina OverrideAction na instrução de grupo de regras, conforme mostrado no seguinte exemplo de lista: 

{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}