AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Wie kann ich falsch-positive Ergebnisse erkennen, die durch AWS Managed Rules verursacht wurden?

Lesedauer: 5 Minute

Legitime Anfragen an meine Anwendung werden durch eine Regelgruppe von AWS Managed Rules in AWS WAF blockiert. Ich möchte erfahren, wie diese Regeln zu falsch-positiven Ergebnissen führen. Ich möchte auch, dass die verwalteten Regeln in Kraft bleiben und legitimer Datenverkehr durchgelassen werden kann.

Lösung

Identifiziere zunächst die falsch-positiven Ergebnisse, die durch AWS Managed Rules verursacht wurden. Verwende dann Bezeichnungen oder eine Scope-down-Anweisung, um diese falsch-positiven Ergebnisse zu deiner Zulassungsliste hinzuzufügen.

Falsch-positive Fehler in verwalteten Regelgruppen erkennen

Führe die folgenden Schritte aus:

Suche in deinen AWS-WAF-Protokollen unter TerminatingRuleId die verwaltete Regelgruppe, die die legitime Anfrage blockiert. Im Folgenden findest du ein Beispiel für ein AWS-WAF-Protokoll:

"timestamp": 1712236911743,
"formatVersion": 1,
"webaclId": "arn:aws:wafv2:us-west-2:***:regional/webacl/WAFtester/3c372***-***",
"terminatingRuleId": "AWS-AWSManagedRulesCommonRuleSet",
"terminatingRuleType": "MANAGED_RULE_GROUP",
"action": "BLOCK",
"terminatingRuleMatchDetails": [],
"ruleGroupList": [{
"ruleGroupId": "AWS#AWSManagedRulesCommonRuleSet",
"terminatingRule": {
"ruleId": "SizeRestrictions_BODY",
"action": "BLOCK",
"overriddenAction": "BLOCK",
"ruleMatchDetails": null
},
"nonTerminatingMatchingRules": [],
"excludedRules": null,
"customerConfig": null
}],

Suche unter TerminatingRule nach ruleId, um die Regel zu identifizieren, die die legitime Anfrage blockiert. Zum Beispiel: ****"SizeRestrictions_Body".
Identifiziere das Attribut oder die Kriterien, die das falsch-positive Ergebnis verursacht haben. Wenn beispielsweise ein Datenbankadministrator gespeicherte Prozeduren remote ausführt, können seine Anfragen ein großes Datenvolumen enthalten. Die Regelgruppe ManagedRulesCommonRuleset blockiert diese Anfragen aufgrund der Regel SizeRestrictions_Body.

Füge deiner Zulassungsliste falsch-positive Ergebnisse hinzu

Konfiguriere die Web Access Control List (Web ACL) so, dass legitime Anfragen über die verwaltete Regelgruppe zugelassen werden, die zu falsch-positiven Ergebnissen führen. Verwende Bezeichnungen oder Scope-Down-Anweisungen, um die verwaltete Regelgruppe zu ändern.

Hinweis: Es hat sich bewährt, Bezeichnungen für detaillierte explizite Regeln zu verwenden. Bei der Scope-Down-Anweisung werden Anfragen, die nicht in den Geltungsbereich fallen, nicht mit allen Regeln in einer Regelgruppe verglichen.

Bezeichnungen

Verwende Bezeichnungen, die von AWS Managed Rules hinzugefügt wurden, um falsch-positive Ergebnisse zu verhindern. Wenn du benutzerdefinierte Regeln erstellst, die Anfragen mit diesen Bezeichnungen zuordnen, ändere die Standardaktion der Regeln innerhalb der verwalteten Regelgruppe.

Führe die folgenden Schritte aus:

Öffne die AWS-WAF-Konsole.
Wähle im Navigationsbereich AWS WAF aus.
Wähle Ressourcen und Schutzpakete aus.
Wähle unter Schutzpakete die Dropdownliste Verwaltete Sätze und Gruppen und dann IP-Sets verwalten aus.
Wähle im rechten Bereich Neuen IP-Satz erstellen aus.
Gib den Namen des IP-Satzes ein.
Wenn du diesen IP-Satz in CloudFront verwendest, wähle unter Geltungsbereich die Option CloudFront aus.
(Optional) Gib eine Beschreibung ein.
Wähle deine IP-Version aus.
Gib die IP-Adresse ein.
Wähle Speichern aus.
Suche dein Schutzpaket und wähle neben Regeln die Option Anzeigen und bearbeiten aus.
Wähle im rechten Bereich die von AWS verwalteten Regeln aus, die deine Anfragen blockieren.
Ändere unter Regelüberschreibungen die Aktion für die Regel, die die Anfrage blockiert, zu Zählen.
Wähle Regel speichern aus.
Wähle im rechten Bereich Regeln hinzufügen aus.
Wähle Benutzerdefinierte Regel und dann Weiter aus.
Wähle erneut Benutzerdefinierte Regel und wähle dann Weiter aus.
Stelle die Regelaktion auf BLOCKIEREN ein.
Gib den Regelnamen ein.
Erweitere für Wenn eine Anfrage das Drop-down-Menü und wähle Entspricht allen Anweisungen (UND).
Fülle in Anweisung 1 Folgendes aus:
Wählen für Prüfen Hat ein Label.
Wähle für Anweisung die Option Bezeichnung aus.
Wähle für Abgleichschlüssel die Bezeichnung für die Regel der Regelgruppe AWS Managed Rules aus, das deine Anfragen blockiert.
Fülle in Anweisung 2 die folgenden Angaben aus:
Wähle für Prüfen die Option Stammt von einer IP-Adresse in aus.
Wähle unter Anweisung für die IP-Adressliste deinen IP-Satz aus.
Erweitere die Regelkonfiguration und wähle unter Anweisung negieren (NICHT) die Option Anweisungsergebnisse negieren.
Wähle für Als Ursprungsadresse zu verwendende IP-Adresse die Option Quell-IP-Adresse.
Wähle Regel erstellen aus.
Um die Regelpriorität festzulegen, wähle im rechten Bereich Regelreihenfolge bearbeiten aus und ziehe die Regel unter die AWS Managed Rule Group.
Hinweis: Regeln werden in der Reihenfolge angewendet, in der sie erscheinen.
Wähle Regelreihenfolge speichern aus.

Scope-Down-Anweisung

Verwende eine Scope-Down-Anweisung, um den Geltungsbereich der Anfragen einzugrenzen, die die Regel oder Regelgruppe auswertet. Wenn du einer Regelgruppe eine Scope-Down-Anweisung hinzufügst, können die Anfragen überprüft werden. Die Anweisung überspringt legitime IP-Adressen, die in der Anweisung enthalten sind.

Führe die folgenden Schritte aus:

Öffne die AWS-WAF-Konsole.
Wähle im Navigationsbereich AWS WAF aus.
Wähle Ressourcen und Schutzpakete aus.
Klicke unter Schutzpakete auf Verwaltete Sätze und Gruppen und wähle dann IP-Sets verwalten aus.
Wähle im rechten Bereich Neuen IP-Satz erstellen aus.
Gib den Namen des IP-Satzes ein.
Wenn du diesen IP-Satz in CloudFront verwendest, wähle unter Geltungsbereich die Option CloudFront aus.
(Optional) Gib eine Beschreibung ein.
Wähle deine IP-Version aus.
Gib die IP-Adresse ein.
Wähle Speichern aus.
Suche dein Schutzpaket und wähle neben Regeln die Option Anzeigen und bearbeiten aus.
Wähle im rechten Bereich die Regelgruppe AWS Managed Rules aus, die deine Anfragen blockiert.
Wähle unter Inspektion die Option Anweisung abgleichen aus.
Wähle für Wenn eine Anfrage die Option Entspricht nicht der Anweisung (NICHT).
Wähle für Prüfen die Option Stammt von einer IP-Adresse in aus.
Wähle unter Anweisung für die IP-Adressliste deinen IP-Satz aus.
Erweitere die Regelkonfiguration und wähle Quell-IP-Adresse als Ursprung aus.
Wähle Regel speichern aus.

Themen: Security, Identity, & Compliance
Tags: AWS WAF
Sprache: Deutsch

AWS OFFICIALAktualisiert vor 5 Monaten

Relevanter Inhalt

Wie werden die Metriken und Protokolle für die Aktion „Regeln zählen“ in AWS WAF formatiert?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie konfiguriere ich AWS WAF, um meine Ressourcen vor häufigen Angriffen zu schützen?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie behebe ich Fehler bei der Drift-Erkennung in CloudFormation mit meiner von AWS verwalteten Regel „cloudformation-stack-drift-detection-check“ für AWS Config?
AWS OFFICIALAktualisiert vor 5 Jahren
Wie entsperre ich meine IP-Adresse, die eine Regelgruppe der Amazon-Liste zur Reputation von IP-Adressen oder eine Regelgruppe der Liste anonymer IP-Adressen in AWS WAF blockiert hat?
AWS OFFICIALAktualisiert vor 2 Monaten