Como posso detectar falsos positivos causados pelo AWS Managed Rules?

Resolução

Primeiro, identifique os falsos positivos causados pelo AWS Managed Rules. Em seguida, use rótulos ou uma declaração de escopo reduzido para adicionar esses falsos positivos à sua lista de permissões.

Detecte erros falsos positivos em grupos de regras gerenciadas

Conclua as etapas a seguir:

1. Em terminatingRuleId em seus logs do AWS WAF, encontre o grupo de regras administrador que bloqueia a solicitação legítima. Veja a seguir um exemplo de um log do AWS WAF:

   "timestamp": 1712236911743,
   "formatVersion": 1,
   "webaclId": "arn:aws:wafv2:us-west-2:***:regional/webacl/WAFtester/3c372***-***",
   "terminatingRuleId": "AWS-AWSManagedRulesCommonRuleSet",
   "terminatingRuleType": "MANAGED_RULE_GROUP",
   "action": "BLOCK",
   "terminatingRuleMatchDetails": [],
   "ruleGroupList": [{
   "ruleGroupId": "AWS#AWSManagedRulesCommonRuleSet",
   "terminatingRule": {
   "ruleId": "SizeRestrictions_BODY",
   "action": "BLOCK",
   "overriddenAction": "BLOCK",
   "ruleMatchDetails": null
   },
   "nonTerminatingMatchingRules": [],
   "excludedRules": null,
   "customerConfig": null
   }],

2. Em terminatingRule, encontre ruleId para identificar a regra que bloqueia a solicitação legítima. Por exemplo: ****"SizeRestrictions_Body".

3. Identifique o atributo ou critério que causa o falso positivo. Por exemplo, se um administrador de banco de dados executar procedimentos armazenados remotamente, suas solicitações poderão conter um grande volume de dados. O grupo de regras ManagedRulesCommonRuleSet bloqueia essas solicitações devido à regra SizeRestrictions_Body.

Adicione falsos positivos à sua lista de permissões

Configure a lista de controle de acesso à web (ACL da web) para permitir que as solicitações legítimas passem pelo grupo de regras gerenciadas que causa o falso positivo. Para modificar o grupo de regras gerenciadas, use rótulos ou declarações de escopo reduzido.

Observação: É uma prática recomendada usar rótulos para regras explícitas detalhadas. A declaração de escopo reduzido não inspeciona solicitações que estão fora do escopo em relação a todas as regras em um grupo de regras.

Rótulos

Use rótulos adicionados pelo AWS Managed Rules para evitar falsos positivos. Ao criar regras personalizadas que correspondam a solicitações com esses rótulos, altere a ação padrão das regras dentro do grupo de regras gerenciadas.

Conclua as etapas a seguir:

1. Abra o console do AWS WAF.
2. No painel de navegação, selecione AWS WAF.
3. Selecione Pacotes de recursos e proteção.
4. Em Pacotes de proteção, selecione a lista suspensa Conjuntos e grupos gerenciados e selecione Gerenciar conjuntos de IP.
5. No painel direito, selecione Criar novo conjunto de IPs.
6. Insira o nome do conjunto de IPs.
   Se você usar esse conjunto de IPs no CloudFront, em Escopo, selecione CloudFront.
   (Opcional) Insira uma Descrição.
   Escolha a versão do seu IP.
   Insira o endereço IP.
7. Selecione Salvar.
8. Encontre seu pacote de proteção e escolha Exibir e editar ao lado de Regras.
9. No painel direito, selecione as Regras gerenciadas pela AWS que estão bloqueando suas solicitações.
10. Em Substituições de regras, altere a ação para Contar para a regra que está bloqueando a solicitação.
11. Selecione Salvar regra.
12. No painel direito, selecione Adicionar regras.
    Selecione Regra personalizada e clique em Próximo.
    Selecione Regra personalizada novamente e clique em Próximo.
13. Defina a Ação da regra como BLOQUEAR.
14. Insira o Nome da regra.
15. Em Se for uma solicitação, expanda a lista suspensa e selecione corresponde a todas as declarações (AND).
16. Na Declaração 1, conclua as seguintes etapas:
    Em Inspecionar, escolha Tem uma etiqueta.
    Em Declaração, selecione Rótulo.
    Em Chave de correspondência, selecione o rótulo da regra do grupo de regras do AWS Managed Rules que está bloqueando suas solicitações.
17. Em Declaração 2, conclua as seguintes etapas:
    Em Inspecionar, selecione Origina-se de um endereço IP em.
    Em Declaração, em lista de endereços IP, selecione seu conjunto de IPs.
    Expanda Configuração da regra, em Negar declaração (NOT), selecione Negar resultados da declaração.
    Em endereço IP a ser usado como endereço de origem, selecione Endereço IP de origem.
18. Selecione Criar regra.
19. Para definir a prioridade da regra, selecione Editar ordem de regras no painel direito e arraste a regra abaixo do Grupo de regras gerenciadas pela AWS.
    Observação: As regras são aplicadas na ordem em que aparecem.
20. Selecione Salvar ordem das regras.

Declaração de escopo reduzido

Use uma declaração de escopo reduzido para restringir o escopo das solicitações que a regra ou o grupo de regras avalia. Quando você adiciona uma declaração de escopo reduzido a um grupo de regras, as solicitações podem ser inspecionadas. A declaração pula endereços IP legítimos incluídos na declaração.

Conclua as etapas a seguir:

1. Abra o console do AWS WAF.
2. No painel de navegação, selecione AWS WAF.
3. Selecione Pacotes de recursos e proteção.
4. Em Pacotes de proteção, clique em Conjuntos e grupos gerenciados e selecione Gerenciar conjuntos de IPs.
5. No painel direito, selecione Criar novo conjunto de IPs.
6. Insira o nome do conjunto de IPs.
   Se você usar esse conjunto de IPs no CloudFront, em Escopo, selecione CloudFront.
   (Opcional) Insira uma Descrição.
   Escolha a versão do seu IP.
   Insira o endereço IP.
7. Selecione Salvar.
8. Encontre seu pacote de proteção e escolha Exibir e editar ao lado de Regras.
9. No painel direito, selecione o grupo de regras do AWS Managed Rules que está bloqueando suas solicitações.
10. Em Inspeção, selecione Corresponder declaração.
11. Em Se for uma solicitação, selecione não corresponde à declaração (NOT).
12. Em Inspecionar, selecione Origina-se de um endereço IP em.
13. Em Declaração, em lista de endereços IP, selecione seu conjunto de IPs.
14. Expanda Configuração da regra e selecione Endereço IP de origem como a origem.
15. Selecione Salvar regra.