**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS WAF Prevenção distribuída de negação de serviço (DDoS)
<a name="waf-anti-ddos"></a>

AWS WAF oferece proteção sofisticada e personalizável contra ataques DDo S em seus AWS recursos. Analise as opções descritas nesta seção e selecione o nível de proteção DDo anti-S que atenda às suas necessidades comerciais e de segurança.

Você pode escolher entre dois níveis de proteção DDo S em: AWS WAF

Proteção S em nível de recurso DDo  
O nível padrão funciona nos Application Load Balancers para defender contra fontes maliciosas conhecidas por meio da filtragem no host. Você pode configurar o comportamento de proteção para melhor reagir a possíveis eventos DDo S.  
Proteção S em nível de recurso DDo:  
+ Monitora seus padrões de tráfego automaticamente.
+ Atualiza a inteligência de ameaças em tempo real.
+ Protege contra fontes maliciosas conhecidas.
**Para otimizar os custos de solicitação de ACL da Web para seu Application Load Balancer**  
Você deve associar uma ACL da Web ao Application Load Balancer para habilitar proteção no nível do recurso. Se seu Application Load Balancer estiver associado a uma ACL da web sem configuração, você não incorrerá em cobranças de AWS WAF solicitações, mas não AWS WAF fornecerá amostras de solicitações ou relatórios sobre o Application Load Balancer em métricas. CloudWatch Você pode realizar as seguintes ações para habilitar os recursos de observabilidade do Application Load Balancer:  
+ Use a ação `Block` ou a ação `Allow` com cabeçalhos de solicitação personalizados no `DefaultAction`. Para mais informações, consulte [Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio](customizing-the-incoming-request.md).
+ Adicione as regras para uma ACL da Web. Para mais informações, consulte [AWS WAF regras](waf-rules.md).
+ Habilite um destino de registro em log. Para mais informações, consulte [Configurar registro em log para um pacote de proteção (ACL da Web)](logging-management-configure.md).
+ Associe a ACL da web a uma AWS Firewall Manager política. Para mais informações, consulte [Criação de uma AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF não fornecerá amostras de solicitações nem publicará CloudWatch métricas sem essas configurações.

AWS proteção do grupo de regras DDo gerenciadas S  
O nível avançado de proteções DDo S é oferecido por meio do`AWSManagedRulesAntiDDoSRuleSet`. O grupo de regras gerenciadas complementa a camada de proteção no nível do recurso, com as seguintes diferenças significativas:  
+ A proteção se estende tanto aos balanceadores de carga de aplicativos quanto às distribuições CloudFront 
+ As linhas de base de tráfego são criadas para seus recursos protegidos para melhorar a detecção de novos padrões de ataque.
+ O comportamento de proteção é ativado de acordo com os níveis de sensibilidade selecionados.
+ Gerencia e rotula solicitações para recursos protegidos durante prováveis eventos DDo S.
Para obter uma lista abrangente das regras e funcionalidades incluídas, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [Proteção DDo S em nível de recurso para balanceadores de carga de aplicativos](waf-anti-ddos-alb.md)
+ [Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S](waf-anti-ddos-advanced.md)

# Proteção DDo S em nível de recurso para balanceadores de carga de aplicativos
<a name="waf-anti-ddos-alb"></a>

A **proteção de nível de recurso DDo S** adiciona defesa imediata aos Application Load Balancers sem incorrer em cobranças pela implantação de grupos de regras AWS WAF gerenciados. Esse nível padrão de proteção DDo anti-S usa inteligência de AWS ameaças e análise de padrões de tráfego para proteger os Application Load Balancers. Para identificar fontes maliciosas conhecidas, a proteção DDo Anti-S executa a filtragem no host dos endereços IP diretos do cliente e X-Forwarded-For dos cabeçalhos (XFF). Depois que uma fonte maliciosa conhecida é identificada, a proteção é ativada por um dos dois modos:

**Ativo sob DDo S** é o modo de proteção padrão e é recomendado para a maioria dos casos de uso. 

Esse modo:
+ Ativa a proteção automaticamente ao detectar condições de alta carga ou possíveis DDo eventos S
+ Limita a taxa de tráfego de origens maliciosas conhecidas somente durante condições de ataque
+ Minimiza o impacto para o tráfego legítimo durante as operações normais
+ Usa métricas de integridade e dados de AWS WAF resposta do Application Load Balancer para determinar quando usar a proteção

**Sempre ligado** é um modo opcional que, uma vez habilitado, fica sempre ativo.

Esse modo: 
+ Mantém a proteção contínua contra origens maliciosas conhecidas
+ Limita a taxa de tráfego de origens maliciosas conhecidas em tempo real
+ Aplica proteção a conexões diretas e solicitações com cabeçalhos maliciosos IPs em XFF
+ Pode ter um impacto maior no tráfego legítimo, mas oferece segurança máxima

As solicitações bloqueadas pela proteção DDo S no nível do recurso são registradas nos CloudWatch registros como uma métrica ou uma `LowReputationPacketsDropped` métrica. `LowReputationRequestsDenied` Para mais informações, consulte [AWS WAF métricas e dimensões principais](waf-metrics.md#waf-metrics-general).

## Ativar a proteção DDo S padrão em uma WebACL existente
<a name="enabling-protection-alb"></a>

Você pode ativar a proteção DDo S ao criar uma Web ACL ou atualizar uma Web ACL existente associada ao Application Load Balancer.

**nota**  
Se você tiver uma Web ACL existente associada a um Application Load Balancer, a proteção DDo Anti-S será ativada por padrão ** DDocom Active** no modo S.

**Para ativar a proteção DDo Anti-S no AWS WAF console**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **Web ACLs** no painel de navegação e abra qualquer Web ACL associada a um Application Load Balancer.

1. Escolha ** AWS Recursos associados**.

1. Em **Proteção de nível DDo de recurso S**, escolha **Editar**.

1. Você pode selecionar um dos seguintes modos:
   + **Ativo em DDo S** (recomendado) - A proteção é ativada somente em condições de alta carga
   + **Sempre ativo**: proteção sempre ativa contra origens maliciosas conhecidas

1. Escolha **Salvar alterações**.

**nota**  
Para obter informações sobre a criação de uma ACL da Web, consulte [Criando um pacote de proteção (web ACL) no AWS WAF](web-acl-creating.md).

**Para otimizar os custos de solicitação de ACL da Web para seu Application Load Balancer**  
Você deve associar uma ACL da Web ao Application Load Balancer para habilitar proteção no nível do recurso. Se seu Application Load Balancer estiver associado a uma ACL da web sem configuração, você não incorrerá em cobranças de AWS WAF solicitações, mas não AWS WAF fornecerá amostras de solicitações ou relatórios sobre o Application Load Balancer em métricas. CloudWatch Você pode realizar as seguintes ações para habilitar os recursos de observabilidade do Application Load Balancer:  
Use a ação `Block` ou a ação `Allow` com cabeçalhos de solicitação personalizados no `DefaultAction`. Para mais informações, consulte [Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio](customizing-the-incoming-request.md).
Adicione as regras para uma ACL da Web. Para mais informações, consulte [AWS WAF regras](waf-rules.md).
Habilite um destino de registro em log. Para mais informações, consulte [Configurar registro em log para um pacote de proteção (ACL da Web)](logging-management-configure.md).
Associe a ACL da web a uma AWS Firewall Manager política. Para mais informações, consulte [Criação de uma AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF não fornecerá amostras de solicitações nem publicará CloudWatch métricas sem essas configurações.

# Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S
<a name="waf-anti-ddos-advanced"></a>

O grupo de regras `AWSManagedRulesAntiDDoSRuleSet` gerenciadas é o nível mais avançado de proteções DDo anti-S disponível em AWS WAF.

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

## AWS WAF Componentes DDo de proteção anti-S
<a name="waf-anti-ddos-components"></a>

Os principais componentes para implementar a proteção DDo anti-S avançada AWS WAF incluem o seguinte:

**`AWSManagedRulesAntiDDoSRuleSet`**— Detecta, rotula e desafia solicitações que provavelmente estão participando de um ataque DDo S. Também rotula todas as solicitações para um recurso protegido durante um evento. Para obter detalhes sobre as regras e rótulos do grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md). Para usar esse grupo de regras, o inclua no pacote de proteção (ACL da Web) usando uma instrução de referência do grupo de regras gerenciadas. Para mais informações, consulte [Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)](waf-anti-ddos-rg-using.md).
+ **Painéis de visão geral do tráfego da Web ACL** — fornecem monitoramento da atividade DDo S e das respostas DDo anti-S no console. Para obter mais informações, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md).
+ **Registro e métricas** — permitem monitorar o tráfego e entender os efeitos da proteção DDo anti-S. Configure registros, coleta de dados do Amazon Security Lake e CloudWatch métricas da Amazon para seu pacote de proteção (web ACL). Para obter informações sobre essas opções, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md), [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Rótulos e regras de correspondência** de rótulos — permitem que você personalize o tratamento de solicitações da web identificadas pelo grupo de regras gerenciadas do DDo Anti-S. Para qualquer regra em `AWSManagedRulesAntiDDoSRuleSet`, você pode alternar para o modo de contagem e fazer a correspondência com os rótulos adicionados. Para saber mais, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).
+ **Solicitações e respostas personalizadas**: permite que você adicione cabeçalhos personalizados às solicitações permitidas e envie respostas personalizadas para solicitações bloqueadas. Combine a correspondência de etiquetas com recursos AWS WAF personalizados de solicitação e resposta. Para obter mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

# Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)
<a name="waf-anti-ddos-rg-using"></a>

Esta seção explica como adicionar e configurar o grupo de regras `AWSManagedRulesAntiDDoSRuleSet`.

Para configurar o grupo de regras gerenciadas do DDo Anti-S, você fornece configurações que incluem a sensibilidade do grupo de regras aos ataques DDo S e as ações que ele executa em solicitações que estão ou possam estar participando dos ataques. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas. 

Para obter a descrição do grupo de regras e a lista de regras e rótulos, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console](waf-using-managed-rule-group.md).

**Siga as práticas recomendadas**  
Use o grupo de regras DDo Anti-S de acordo com as melhores práticas em[Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md). 

**Para usar o grupo de regras `AWSManagedRulesAntiDDoSRuleSet` no pacote de proteção (ACL da Web)**

1. Adicione o grupo de regras AWS gerenciadas `AWSManagedRulesAntiDDoSRuleSet` ao seu pacote de proteção (Web ACL) e **edite** as configurações do grupo de regras antes de salvar. 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

1. No painel **Configuração do grupo de regras**, forneça qualquer configuração personalizada para o grupo de regras `AWSManagedRulesAntiDDoSRuleSet`. 

   1. Em **Nível de sensibilidade do bloco**, especifique a confidencialidade que você deseja `DDoSRequests` que a regra tenha ao corresponder ao rótulo de suspeita DDo S do grupo de regras. Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde: 
      + A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.
      + A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.

      Essa regra fornece o tratamento mais severo de solicitações da web suspeitas de participarem de ataques DDo S. 

   1. Em **Habilitar desafio**, escolha se deseja habilitar as regras `ChallengeDDoSRequests` e `ChallengeAllDuringEvent`, que, por padrão, aplicam a ação Challenge às solicitações que correspondem. 

      Essas regras fornecem tratamento de solicitações com o objetivo de permitir que usuários legítimos prossigam com suas solicitações enquanto bloqueiam os participantes do ataque DDo S. Você pode substituir as configurações de ação com Allow ou Count ou desabilitar totalmente seu uso.

      Se você habilitar essas regras, forneça as configurações adicionais que desejar: 
      + Em **Nível de sensibilidade do desafio**, especifique a sensibilidade que você deseja que a regra `ChallengeDDoSRequests` tenha. 

        Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde: 
        + A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.
        + A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.
      + Para **expressões regulares de URI isento**, forneça uma expressão regular que corresponda às URIs solicitações da web que não conseguem lidar com um desafio silencioso do navegador. A Challenge ação bloqueará efetivamente as solicitações URIs que não tenham o token de desafio, a menos que elas consigam lidar com o desafio do navegador silencioso. 

        A ação Challenge só pode ser tratada adequadamente por um cliente que espere conteúdo HTML. Para saber mais sobre como as ações de regra funcionam, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md). 

        Revise a expressão regular padrão e atualize-a conforme necessário. As regras usam a expressão regular especificada para identificar a solicitação URIs que não consegue lidar com a Challenge ação e impedir que as regras retornem um desafio. As solicitações que você exclui dessa maneira só podem ser bloqueadas pelo grupo de regras com a regra `DDoSRequests`. 

        A expressão padrão fornecida no console abrange a maioria dos casos de uso, mas você deve analisá-la e adaptá-la à sua aplicação. 

        AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

1. Forneça as configurações adicionais que desejar para o grupo de regras. 
**nota**  
AWS recomenda não usar uma declaração de escopo reduzido com esse grupo de regras gerenciadas. A instrução scope-down limita as solicitações que o grupo de regras observa e, portanto, pode resultar em uma linha de base de tráfego imprecisa e na diminuição da detecção do evento S. DDo A opção de instrução de redução de escopo está disponível para todas as instruções do grupo de regras gerenciadas, mas não deve ser usada para essa. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

1. Na página **Definir prioridade da regra**, mova a nova regra do grupo de regras gerenciado DDo anti-S para cima para que ela seja executada somente após qualquer regra de Allow ação que você tenha e antes de qualquer outra regra. Isso dá ao grupo de regras a capacidade de rastrear a maior parte do tráfego para proteção DDo Anti-S. 

1. Salve suas alterações no pacote de proteção (ACL da Web). 

Antes de implantar sua implementação DDo anti-S para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação. 

# Testando e implantando o DDo Anti-S
<a name="waf-anti-ddos-deploying"></a>

Você desejará configurar e testar a prevenção de negação de serviço AWS WAF distribuída (DDoS) antes de implantar o recurso. Esta seção fornece orientações gerais para configuração e testes, no entanto, as etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da Web que receber. 

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de Regras AWS Gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Risco de tráfego de produção**  
Teste e ajuste sua implementação DDo anti-S em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Para configurar e testar uma implementação de prevenção de negação de serviço AWS WAF distribuída (DDoS)**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Adicione o grupo de regras gerenciadas de prevenção de negação de serviço AWS WAF distribuído (DDoS) no modo de contagem**
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Adicione o grupo de regras de regras AWS gerenciadas `AWSManagedRulesAntiDDoSRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).
   + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: 
     + No painel **Configuração do grupo de regras**, forneça os detalhes necessários para realizar atividades DDo anti-S para seu tráfego na web. Para obter mais informações, consulte [Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)](waf-anti-ddos-rg-using.md).
     + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para obter mais informações, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas pelo DDo Anti-S para determinar se deseja fazer modificações, como expandir a expressão regular para aquelas URIs que não conseguem lidar com um desafio de navegador silencioso. 
   + Posicione o grupo de regras para que ele seja avaliado o mais cedo possível, imediatamente após qualquer regra que permita tráfego. As regras são avaliadas em ordem crescente de prioridade numérica. O console define a ordem para você, começando no início da sua lista de regras. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

1. 

**Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)**

   Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do DDo Anti-S com seu tráfego. 
   + Para obter informações sobre como configurar e usar logs, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso de teste, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Monitore o tráfego e as correspondências DDo de regras Anti-S**

   Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas pelo DDo Anti-S estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas do DDo Anti-S e do rótulo nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu. 

1. 

**Personalize o tratamento de solicitações web do DDo Anti-S**

   Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras DDo Anti-S lidariam com elas. 

   Por exemplo, você pode usar rótulos DDo Anti-S para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do DDo Anti-S para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras DDo anti-S relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. 

1. 

**Remova as regras de teste e defina as configurações do DDo Anti-S**

   Analise os resultados do teste para determinar quais regras DDo anti-S você deseja manter no modo de contagem somente para monitoramento. Para todas as regras que você deseja executar com a proteção ativa, desabilite o modo de contagem na configuração do grupo de regras do pacote de proteção (ACL da Web) para permitir que elas executem suas ações configuradas. Depois de finalizar essas configurações, remova todas as regras temporárias de correspondência de rótulos de teste, mantendo as regras personalizadas que você criou para uso em produção. Para considerações adicionais sobre a configuração do DDo Anti-S, consulte[Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Monitore e ajuste**

   Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade DDo Anti-S que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras. 

# Melhores práticas para DDo anti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Habilite a proteção durante os períodos normais de tráfego**: isso permite que a proteção estabeleça padrões de linha de base de tráfego antes de responder aos ataques. Adicione proteção quando você não estiver enfrentando um ataque e reserve tempo para estabelecer a linha de base.
+ **Monitore as métricas regularmente** — revise CloudWatch as métricas para entender os padrões de tráfego e a eficácia da proteção.
+ **Considere o modo proativo para aplicações críticos**: embora o modo reativo seja recomendado para a maioria dos casos de uso, considere usar o modo proativo para aplicações que exigem proteção contínua contra ameaças conhecidas.
+ **Teste em ambientes de preparação**: antes de habilitar a proteção na produção, teste e ajuste as configurações em um ambiente de preparação para entender o impacto no tráfego legítimo.