**の新しいコンソールエクスペリエンスの紹介 AWS WAF** 更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # DDoS 対策マネージドルールグループを保護パック (ウェブ ACL) に追加する このセクションでは、`AWSManagedRulesAntiDDoSRuleSet` ルールグループを追加および設定する方法について説明します。 DDoS 対策マネージドルールグループを設定するには、DDoS 攻撃に対してルールグループがどれだけ機密であるかや、攻撃に参加している、または参加している可能性のあるリクエストに対してルールグループが実行するアクションを含む設定を指定します。この設定は、マネージドルールグループの通常の設定に追加されます。 ルールグループの説明およびルールとラベルのリストについては、「[AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ](aws-managed-rule-groups-anti-ddos.md)」を参照してください。 このガイダンスは、 AWS WAF 保護パック (ウェブ ACL)、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。マネージドルールグループを保護パック (ウェブ ACL) に追加する方法の基本については、「[コンソールを通じた保護パック (ウェブ ACL) へのマネージドルールグループの追加](waf-using-managed-rule-group.md)」を参照してください。 **ベストプラクティスに従う** DDoS 対策ルールグループは、「[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md)」に記載されているベストプラクティスに従って使用してください。 **保護パック (ウェブ ACL) で `AWSManagedRulesAntiDDoSRuleSet` ルールグループを使用するには** 1. AWS マネージドルールグループを保護パック (ウェブ ACL) `AWSManagedRulesAntiDDoSRuleSet`に追加し、保存する前にルールグループ設定**を編集**します。 **注記** このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。 1. **ルールグループ設定** ペインで、`AWSManagedRulesAntiDDoSRuleSet` ルールグループのカスタム設定を指定します。 1. **ブロックの機密性レベル** では、ルールグループの DDoS 疑惑ラベル付けで一致するときに、ルール `DDoSRequests` をどれだけ機密にするかを指定します。機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。 + 低い機密性では機密の程度が低く、高い疑惑ラベル `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` がある、攻撃の最も明白な参加者でのみルールが一致します。 + 中程度の機密性では、中程度と高い疑惑ラベルでルールが一致します。 + 高い機密性では、ルールは低、中、高のすべての疑惑ラベルで一致します。 このルールは、DDoS 攻撃に参加している疑いがあるウェブリクエストの最も重大な処理を提供します。 1. **チャレンジを有効にする** では、ルール `ChallengeDDoSRequests` と `ChallengeAllDuringEvent` を有効にするかどうかを選択します。これにより、デフォルトで、一致するリクエストに Challenge アクションが適用されます。 これらのルールは、正当なユーザーが DDoS 攻撃の参加者をブロックしながらリクエストを続行できるようにすることを目的としたリクエスト処理を提供します。アクション設定を Allow または Count にオーバーライドするか、完全に使用を無効にすることができます。 これらのルールを有効にする場合は、必要な追加設定を指定します。 + **チャレンジの機密レベル** では、ルール `ChallengeDDoSRequests` をどれだけ機密にするかを指定します。 機密性が高いほど、ルールが一致するラベル付けのレベルが低くなります。 + 低い機密性では機密の程度が低く、高い疑惑ラベル `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request` がある、攻撃の最も明白な参加者でのみルールが一致します。 + 中程度の機密性では、中程度と高い疑惑ラベルでルールが一致します。 + 高い機密性では、ルールは低、中、高のすべての疑惑ラベルで一致します。 + **除外 URI 正規表現** では、サイレントブラウザチャレンジを処理できないウェブリクエストの URI に一致する正規表現を指定します。Challenge アクションは、サイレントブラウザチャレンジを処理できない限り、チャレンジトークンがない URI からのリクエストを効果的にブロックします。 Challenge アクションは、HTML コンテンツを想定しているクライアントによってのみ適切に処理できます。アクションの仕組みの詳細については、「[CAPTCHA および Challenge アクション動作](waf-captcha-and-challenge-actions.md)」を参照してください。 デフォルトの正規表現を確認し、必要に応じて更新します。ルールは、指定された正規表現を使用して、Challenge アクションを処理できないリクエスト URI を特定し、ルールがチャレンジを返さないようにします。この方法で除外するリクエストは、ルール `DDoSRequests` でルールグループによってのみブロックできます。 コンソールで提供されるデフォルトの式は、ほとんどのユースケースを対象としていますが、アプリケーションに合わせて確認して調整する必要があります。 AWS WAF は、いくつかの例外`libpcre`を除いて、PCRE ライブラリで使用されるパターン構文をサポートします。ライブラリは、「[PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/)」で文書化されています。 AWS WAF サポートの詳細については、「」を参照してください[でサポートされている正規表現構文 AWS WAF](waf-regex-pattern-support.md)。 1. ルールグループに必要な追加設定を指定し、ルールを保存します。 **注記** AWS では、このマネージドルールグループでスコープダウンステートメントを使用しないことをお勧めします。スコープダウンステートメントは、ルールグループが監視するリクエストを制限するため、トラフィックベースラインが不正確になり、DDoS イベント検出が低下する可能性があります。スコープダウンステートメントオプションは、すべてのマネージドルールグループステートメントで使用できますが、このステートメントには使用しないでください。スコープダウンステートメントの詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。 1. **ルールの優先度の設定** ページで、新しい DDoS 対策マネージドルールグループルールを上に移動させ、持っている Allow アクションルールの後で他のルールの前にのみ実行されるようにします。これにより、ルールグループは DDoS 対策保護のトラフィックを最も多く追跡できます。 1. 変更を保護パック (ウェブ ACL) に保存します。 本番稼働トラフィックに DDoS 対策実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、次のセクションを参照してください。