Preparando-se para testar suas AWS WAF proteções

Para se preparar para testes

1. Ative o registro do pacote de proteção ou da ACL da web, CloudWatch métricas da Amazon e amostragem de solicitações da web para o pacote de proteção ou a ACL da web

   Use registros, métricas e amostragem para monitorar a interação do pacote de proteção ou das regras de ACL da web com seu tráfego na web.

   • Registro — Você pode configurar AWS WAF para registrar as solicitações da web que um pacote de proteção ou uma ACL da web avalia. Você pode enviar registros para CloudWatch logs, um bucket do Amazon S3 ou um stream de entrega do Amazon Data Firehose. Você pode editar campos e aplicar filtragem. Para obter mais informações, consulte Registrando o tráfego do pacote de AWS WAF proteção ou da Web ACL.

   • Amazon Security Lake — Você pode configurar o Security Lake para coletar dados do pacote de proteção ou da Web ACL. O Security Lake coleta dados de logs e eventos de várias fontes para normalização, análise e gerenciamento. Para obter informações sobre essa opção, consulte O que é o Amazon Security Lake? e Coleta de dados de AWS serviços no guia do usuário do Amazon Security Lake.

   • CloudWatch Métricas da Amazon — Em seu pacote de proteção ou configuração de ACL da web, forneça especificações métricas para tudo o que você deseja monitorar. Você pode ver as métricas por meio dos AWS WAF CloudWatch consoles e. Para obter mais informações, consulte Monitoramento com a Amazon CloudWatch.

   • Amostragem de solicitações da Web — Você pode ver uma amostra de todas as solicitações da Web que seu pacote de proteção ou ACL da Web avalia. Para obter informações sobre amostragem de solicitações da web, consulte Visualizar um exemplo de solicitações da web.

2. Defina suas proteções para o modo Count

   Na configuração do pacote de proteção ou da Web ACL, alterne tudo o que você deseja testar para o modo de contagem. Isso faz com que as proteções de teste registrem correspondências com solicitações da web sem alterar a forma como as solicitações são tratadas. Você poderá ver as correspondências em suas métricas, logs e amostras de solicitações, para verificar os critérios de correspondência e entender quais podem ser os efeitos no seu tráfego da web. As regras que adicionam rótulos às solicitações correspondentes adicionarão rótulos independentemente da ação da regra.

   • Regra definida no pacote de proteção ou na ACL da web — edite as regras no pacote de proteção ou na ACL da web e defina suas ações como. Count

   • Grupo de regras — No pacote de proteção ou na configuração da Web ACL, edite a instrução da regra para o grupo de regras e, no painel Regras, abra o menu suspenso Substituir todas as ações da regra e escolha. Count Se você gerencia o pacote de proteção ou a ACL da web em JSON, adicione as regras às RuleActionOverrides configurações na declaração de referência do grupo de regras, com ActionToUse set to. Count A lista de exemplos a seguir mostra as substituições de duas regras no grupo de regras de Regras AWSManagedRulesAnonymousIpList AWS Gerenciadas.

       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },

     Para obter mais informações sobre alterações de ações, consulte Substituir ações de regra para um grupo de regras.

     Para seu próprio grupo de regras, não modifique as ações da regra no próprio grupo de regras. As regras de grupo de regras com ação Count não geram as métricas ou outros artefatos necessários para seus testes. Além disso, a alteração de um grupo de regras afeta todos os pacotes de proteção ou web ACLs que o usam, enquanto as alterações na configuração do pacote de proteção ou da Web ACL afetam somente o único pacote de proteção ou a ACL da web.

   • pacote de proteção ou ACL da web — Se você estiver testando um novo pacote de proteção ou ACL da web, defina a ação padrão para que o pacote de proteção ou a ACL da web permita solicitações. Isso permite que você experimente a web ACL sem afetar o tráfego de forma alguma.

   Em geral, o modo de contagem gera mais correspondências do que a produção. Isso ocorre porque uma regra que conta as solicitações não interrompe a avaliação da solicitação pelo pacote de proteção ou pela ACL da web, portanto, as regras que são executadas posteriormente no pacote de proteção ou na ACL da web também podem corresponder à solicitação. Quando você altera suas ações de regra para suas configurações de produção, as regras que permitem ou bloqueiam solicitações encerrarão a avaliação das solicitações correspondentes. Como resultado, as solicitações correspondentes geralmente serão inspecionadas por menos regras no pacote de proteção ou na ACL da web. Para obter mais informações sobre os efeitos das ações de regra na avaliação geral de uma solicitação da web, consulte Usando ações de regras em AWS WAF.

   Com essas configurações, suas novas proteções não alterarão o tráfego da web, mas gerarão informações de correspondência em métricas, pacotes de proteção ou registros de ACL da web e amostras de solicitações.

3. Associe o pacote de proteção ou a ACL da web a um recurso

   Se o pacote de proteção ou a ACL da web ainda não estiverem associados ao recurso, associe-o.

   Consulte Associar ou desassociar a proteção a um recurso AWS.