Comment puis-je identifier les faux positifs que les règles gérées par AWS déclenchent pour les ajouter à une liste blanche ?

Dernière mise à jour : 11/06/2020

Les règles gérées par AWS bloquent certaines demandes légitimes qui sont envoyées à mes applications dans AWS WAF. Comment puis-je identifier les faux positifs que les règles gérées par AWS déclenchent et les ajouter à une liste blanche ?

Résolution

Identifiez les faux positifs que les règles gérées par AWS déclenchent

  • Utilisez la commande curl. Veillez à remplacer [false positive] par votre faux positif. La réponse est une erreur « 403 Forbidden ».
$ curl -ikv http://example.com/[false positive]
  • Utilisez votre navigateur Web. Par exemple, si vous cherchez un faux positif pour « style==xxx » sur votre domaine « example.com », saisissez « example.com/style==xxx » dans votre navigateur Web. La réponse est une erreur « 403 Forbidden ».
  • Affichez un échantillon de vos demandes dans AWS WAF, ou utilisez la commande get-sampled-requests pour obtenir une liste échantillonnée de vos demandes. Recherchez votre faux positif dans l'échantillon de demandes. Assurez-vous que la valeur Action est définie surBlock.
  • Passez en revue vos journaux AWS WAF pour confirmer la valeur associée à « terminatingRuleId ». Pour plus d'informations, consultez la section « terminatingRuleMatchDetails » du journal.

Ajoutez les faux positifs déclenchés par les règles gérées par AWS à votre liste blanche

Pour ajouter des faux positifs à votre liste blanche, vous pouvez utiliser l'une des deux méthodes suivantes :

  • Utiliser l'option « Override rules action »
  • Créer une autre règle d'une priorité plus élevée

Pour utiliser l'option « Override rules action » afin d'autoriser les demandes de trafic légitimes, procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Sélectionnez votre liste de contrôle d'accès Web (liste ACL web).
  3. Sélectionnez l'onglet Rules.
  4. Sélectionnez le groupe de règles gérées par AWS qui bloque vos demandes légitimes.
  5. Cliquez sur Edit.
  6. Dans la liste de règles du groupe, trouvez celle que vous avez identifiée comme responsable de votre faux positif. Sélectionnez ensuite Override rules action.
  7. Cliquez sur Save rule.

Pour créer une autre règle (dite « règle d'exclusion ») avec une priorité plus élevée que la règle gérée par AWS qui déclenche le faux positif, procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Sélectionnez votre liste de contrôle d'accès Web (liste ACL web).
  3. Sélectionnez l'onglet Rules.
  4. Sélectionnez Add rules, puis Add my own rules and rule groups.
  5. Créez une règle autorisant votre faux positif en remplissant les champs appropriés.
  6. Cliquez sur Save rule.
  7. Définissez la priorité de cette règle sur un niveau supérieur à celui de la règle gérée par AWS à l'origine du faux positif. Sélectionnez ensuite Save.

La demande de trafic est désormais autorisée par votre nouvelle règle d'exclusion. Vous pouvez le vérifier en consultant votre échantillon de requêtes ou vos journaux AWS WAF. Pour connaître les étapes de vérification de ces demandes, reportez-vous aux points 3 et 4 de la section « Identifiez les faux positifs que les règles gérées par AWS déclenchent ».

Remarque : 
il est recommandé de tester vos règles d'exclusion dans un environnement de développement pour vous assurer qu'elles fonctionnent comme prévu avant de les mettre en œuvre dans votre environnement de production.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?