Comment faire pour détecter les faux positifs causés par les règles gérées dans AWS ?

Résolution

Commencez par identifier les faux positifs engendrés par les règles gérées dans AWS. Ensuite, utilisez des étiquettes ou une instruction de portée réduite pour ajouter ces faux positifs à votre liste d’autorisations.

Détecter les faux positifs provenant de groupes de règles gérées

Procédez comme suit :

1. Sous terminatingRuleId dans vos journaux AWS WAF, recherchez le groupe de règles du gestionnaire qui bloque la demande légitime. Voici un exemple de journal AWS WAF :

   "timestamp": 1712236911743,
   "formatVersion": 1,
   "webaclId": "arn:aws:wafv2:us-west-2:***:regional/webacl/WAFtester/3c372***-***",
   "terminatingRuleId": "AWS-AWSManagedRulesCommonRuleSet",
   "terminatingRuleType": "MANAGED_RULE_GROUP",
   "action": "BLOCK",
   "terminatingRuleMatchDetails": [],
   "ruleGroupList": [{
   "ruleGroupId": "AWS#AWSManagedRulesCommonRuleSet",
   "terminatingRule": {
   "ruleId": "SizeRestrictions_BODY",
   "action": "BLOCK",
   "overriddenAction": "BLOCK",
   "ruleMatchDetails": null
   },
   "nonTerminatingMatchingRules": [],
   "excludedRules": null,
   "customerConfig": null
   }],

2. Dans terminatingRule, recherchez ruleId pour identifier la règle qui bloque la demande légitime. Exemple : « SizeRestrictions_Body ».

3. Identifiez l’attribut ou le critère à l’origine du faux positif. Par exemple, si un administrateur de base de données exécute des procédures stockées à distance, ses demandes peuvent contenir un volume important de données. Le groupe de règles ManagedRulesCommonRuleSet bloque ces demandes en raison de la règle SizeRestrictions_Body.

Ajouter des faux positifs à votre liste d’autorisation

Configurez la liste de contrôle d’accès Web (ACL Web) pour autoriser les requêtes légitimes via le groupe de règles gérées à l’origine du faux positif. Pour modifier le groupe de règles gérées, utilisez des étiquettes ou utilisez des instructions de portée réduite.

Remarque : il est recommandé d’utiliser des étiquettes pour affiner les règles explicites. L’instruction de portée réduite n’inspecte pas les requêtes qui sortent du cadre des règles d’un groupe de règles.

Étiquettes

Utilisez les étiquettes qui correspondent aux règles gérées dans AWS pour éviter les faux positifs. Lorsque vous créez des règles personnalisées qui correspondent à des requêtes portant ces étiquettes, modifiez l’action par défaut des règles au sein du groupe de règles gérées.

Procédez comme suit :

1. Ouvrez la console AWS WAF, puis choisissez votre région AWS.
2. Dans le volet de navigation, choisissez Ensembles d’adresses IP.
3. Créez un ensemble d’adresses IP contenant les adresses IP légitimes à exclure d’une inspection par un groupe de règles.
4. Allez sur la liste des ACL Web, puis choisissez votre ACL Web.
5. Sous Règles, choisissez le groupe de règles à l’origine du faux positif, puis choisissez Modifier.
6. Choisissez la règle à l’origine du faux positif, puis définissez-la sur Nombre.
7. Choisissez Enregistrer la règle.
8. Choisissez Ajouter des règles, puis Ajouter mes propres règles et groupes de règles.
9. Dans le champ Type de règle, choisissez Générateur de règles.
10. Saisissez un nom de règle.
11. Dans le champ Type, sélectionnez Règle régulière.
12. Créez la liste déroulante Si une requête correspond à toutes les instructions (AND).
13. Sélectionnez les paramètres suivants pour l’instruction 1 :
    Dans le champ Inspecter, choisissez Possède une étiquette.
    Dans le champ Portée de correspondance, sélectionnez Étiquette.
    Saisissez le nom de l’étiquette de la règle à l’origine du faux positif.
14. Sélectionnez les paramètres suivants pour l’instruction 2 :
    Activez l’option Annuler les résultats de l’instruction.
    Dans le champ Inspecter, choisissez Provient de l’adresse IP dans.
    Dans le champ Ensemble d’adresses IP, saisissez l’ensemble d’adresses IP qui contient les adresses IP légitimes.
    Dans le champ Adresse IP à utiliser comme adresse d’origine, choisissez Adresse IP source.
15. Dans le champ Action, choisissez Bloquer.
16. Sous Définir la priorité de la règle, définissez la priorité de la règle sur une priorité inférieure à celle des groupes de règles gérées dans AWS.
17. Choisissez Enregistrer.

Instruction de portée réduite

Utilisez une instruction de portée réduite pour restreindre la portée des demandes évaluées par la règle ou le groupe de règles. Lorsque vous ajoutez une instruction de portée réduite à un groupe de règles, les requêtes peuvent être inspectées. L’instruction ignore les adresses IP légitimes qui y figurent.

Procédez comme suit :

1. Ouvrez la console AWS WAF, puis choisissez votre région.
2. Choisissez Ensembles adresses IP.
3. Créez un ensemble d’adresses IP contenant les adresses IP légitimes à exclure d’une inspection par un groupe de règles.
4. Allez sur la liste des ACL Web, puis choisissez votre ACL Web.
5. Sous Règles, choisissez la règle gérée AWS à laquelle vous souhaitez ajouter une instruction de portée réduite, puis choisissez Modifier.
6. Créez l’instruction de portée réduite qui exclut l’ensemble des adresses IP que vous avez créé. Exemple :
   Dans le champ Si une requête, choisissez Ne correspond pas aux instructions (NOT)
   Dans le champ Inspecter, choisissez Provient de l’adresse IP dans
   Dans le champ Ensemble d’adresses IP, saisissez example-IP-set. Remarque : remplacez example-IP-set par l’adresse IP que vous souhaitez exclure
   Dans le champ Adresses IP à utiliser comme adresse d’origine, choisissez Adresse IP source. Remarque : remplacez **Adresse IP source ** par votre adresse IP.
7. Choisissez Enregistrer la règle.