Como se preparar para testar suas proteções do AWS WAF

Para se preparar para testes

1. Habilite o registro em log do pacote de proteção (ACL da Web), as métricas do Amazon CloudWatch e a amostragem de solicitações da Web para o pacote de proteção (ACL da Web)

   Use o registro em log, as métricas e a amostragem para monitorar a interação das regras de pacote de proteção (ACL da Web) com o tráfego da Web.

   • Registro em log: você pode configurar o AWS WAF para registrar em log as solicitações da Web que um pacote de proteção (ACL da Web) avalia. Você pode enviar logs para CloudWatch Logs, um bucket do Amazon S3 ou um fluxo de entrega do Amazon Data Firehose. Você pode editar campos e aplicar filtragem. Para obter mais informações, consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.

   • Amazon Security Lake: você pode configurar o Security Lake para coletar dados do pacote de proteção (ACL da Web). O Security Lake coleta dados de logs e eventos de várias fontes para normalização, análise e gerenciamento. Para obter informações sobre essa opção, consulte O que é o Amazon Security Lake? e Coleta de dados de serviços da AWS no Guia do usuário do Amazon Security Lake.

   • Métricas do Amazon CloudWatch: na configuração do pacote de proteção (ACL da Web), forneça especificações métricas para tudo que você deseja monitorar. Você também pode visualizar essas métricas nos consoles do AWS WAF e do CloudWatch. Para obter mais informações, consulte Monitorar o com o Amazon CloudWatch.

   • Amostragem de solicitações da Web: você pode visualizar uma amostra de todas as solicitações da Web que o pacote de proteção (ACL da Web) avalia. Para obter informações sobre amostragem de solicitações da web, consulte Visualizar um exemplo de solicitações da web.

2. Defina suas proteções para o modo Count

   Na configuração do pacote de proteção (ACL da Web), alterne tudo o que você deseja testar para o modo de contagem. Isso faz com que as proteções de teste registrem correspondências com solicitações da web sem alterar a forma como as solicitações são tratadas. Você poderá ver as correspondências em suas métricas, logs e amostras de solicitações, para verificar os critérios de correspondência e entender quais podem ser os efeitos no seu tráfego da web. As regras que adicionam rótulos às solicitações correspondentes adicionarão rótulos independentemente da ação da regra.

   • Regra definida no pacote de proteção (ACL da Web): edite as regras no pacote de proteção (ACL da Web) e defina suas ações como Count.

   • Grupo de regras: na configuração do pacote de proteção (ACL da Web), edite a instrução da regra para o grupo de regras e, no painel Regras, abra o menu suspenso Substituir todas as ações de regra e escolha Count. Se você gerencia o pacote de proteção (ACL da Web) em JSON, adicione as regras às configurações RuleActionOverrides na instrução de referência do grupo de regras, com ActionToUse definido como Count. A lista de exemplos a seguir mostra as substituições de duas regras no grupo de regras das regras gerenciadas da AWS de AWSManagedRulesAnonymousIpList.

       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },

     Para obter mais informações sobre alterações de ações, consulte Substituir ações de regra para um grupo de regras.

     Para seu próprio grupo de regras, não modifique as ações da regra no próprio grupo de regras. As regras de grupo de regras com ação Count não geram as métricas ou outros artefatos necessários para seus testes. Além disso, a alteração de um grupo de regras afeta todos os pacotes de proteção (ACLs da Web) que o usam, enquanto as alterações dentro da configuração do pacote de proteção (ACL da Web) afetam somente esse único pacote de proteção (ACL da Web).

   • pacote de proteção (ACL da Web): se você estiver testando um novo pacote de proteção (ACL da Web), defina a ação padrão para que o pacote de proteção (ACL da Web) permita solicitações. Isso permite que você experimente a web ACL sem afetar o tráfego de forma alguma.

   Em geral, o modo de contagem gera mais correspondências do que a produção. Isso ocorre porque uma regra que conta as solicitações não interrompe a avaliação da solicitação pelo pacote de proteção (ACL da Web), portanto, as regras que são executadas posteriormente no pacote de proteção (ACL da Web) também podem corresponder à solicitação. Quando você altera suas ações de regra para suas configurações de produção, as regras que permitem ou bloqueiam solicitações encerrarão a avaliação das solicitações correspondentes. Como resultado, as solicitações que correspondem à regra geralmente serão inspecionadas por menos regras no pacote de proteção (ACL da Web). Para obter mais informações sobre os efeitos das ações de regra na avaliação geral de uma solicitação da web, consulte Como usar ações de regras no AWS WAF.

   Com essas configurações, suas novas proteções não alterarão o tráfego da Web, mas gerarão informações de correspondência em métricas, logs de pacote de proteção (ACL da Web) e amostras de solicitações.

3. Associar o pacote de proteção (ACL da Web) a um recurso

   Se o pacote de proteção (ACL da Web) ainda não estiver associado ao recurso, faça isso.

   Consulte Associar ou desassociar um pacote de proteção a um recurso da AWS.