Hinzufügen der ACFP verwalteten Regelgruppe zu Ihrer Website ACL - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen der ACFP verwalteten Regelgruppe zu Ihrer Website ACL

In diesem Abschnitt wird erklärt, wie Sie die AWSManagedRulesACFPRuleSet Regelgruppe hinzufügen und konfigurieren.

Um die ACFP verwaltete Regelgruppe so zu konfigurieren, dass betrügerische Aktivitäten bei der Kontoerstellung in Ihrem Web-Traffic erkannt werden, geben Sie Informationen darüber an, wie Kunden auf Ihre Registrierungsseite zugreifen und Anfragen zur Kontoerstellung an Ihre Anwendung senden. Für geschützte CloudFront Amazon-Distributionen geben Sie auch Informationen darüber an, wie Ihre Anwendung auf Anfragen zur Kontoerstellung reagiert. Diese Konfiguration ist eine Ergänzung zur normalen Konfiguration für eine verwaltete Regelgruppe.

Eine Beschreibung der Regelgruppe und eine Liste der Regeln finden Sie unterAWS WAF Regelgruppe zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP).

Anmerkung

Die Datenbank mit ACFP gestohlenen Anmeldeinformationen enthält nur Benutzernamen im E-Mail-Format.

Diese Anleitung richtet sich an Benutzer, die im Allgemeinen wissen, wie man erstellt und verwaltet AWS WAF WebACLs, Regeln und Regelgruppen. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrer Website ACL finden Sie unterHinzufügen einer verwalteten Regelgruppe zu einem Web ACL über die Konsole.

Folgen Sie den bewährten Methoden

Verwenden Sie die ACFP Regelgruppe gemäß den bewährten Methoden unterBewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF.

Um die AWSManagedRulesACFPRuleSet Regelgruppe in Ihrem Web zu verwenden ACL

  1. Fügen Sie das hinzu AWS verwaltete Regelgruppe AWSManagedRulesACFPRuleSet zu Ihrer Website ACL und Bearbeiten Sie die Regelgruppeneinstellungen vor dem Speichern.

    Anmerkung

    Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF Preisgestaltung.

  2. Geben Sie im Bereich Regelgruppenkonfiguration die Informationen ein, anhand derer die ACFP Regelgruppe Anfragen zur Kontoerstellung prüft.

    1. Aktivieren Sie bei Bedarf die Option Reguläre Ausdrücke in Pfaden verwenden AWS WAF um einen Abgleich mit regulären Ausdrücken für die Pfadangaben für Ihre Anmelde- und Kontoerstellungsseite durchzuführen.

      AWS WAF unterstützt libpcre mit einigen Ausnahmen die von der PCRE Bibliothek verwendete Mustersyntax. Die Bibliothek ist unter PCRE- Perl Compatible Regular Expressions dokumentiert. Für Informationen über AWS WAF Unterstützung finden Sie unterUnterstützte Syntax für reguläre Ausdrücke in AWS WAF.

    2. Geben Sie unter Pfad zur Registrierungsseite den Pfad zum Endpunkt der Registrierungsseite für Ihre Anwendung an. Diese Seite muss GET Text-/HTML-Anfragen akzeptieren. Die Regelgruppe untersucht nur HTTP GET Text-/HTML-Anfragen an den von Ihnen angegebenen Endpunkt der Registrierungsseite.

      Anmerkung

      Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten(?-i), wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. /

      Beispielsweise könnten Sie für die die URL https://example.com/web/registration Zeichenfolge die Pfadspezifikation /web/registration angeben. Pfade auf Registrierungsseiten, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. /web/registrationEntspricht beispielsweise den /web/registration Registrierungspfaden /web/registration//web/registrationPage,, und/web/registration/thisPage, entspricht aber nicht dem Pfad /home/web/registration oder/website/registration.

      Anmerkung

      Stellen Sie sicher, dass Ihre Endbenutzer die Registrierungsseite laden, bevor sie eine Anfrage zur Kontoerstellung einreichen. Dadurch wird sichergestellt, dass die Anfragen des Kunden zur Kontoerstellung gültige Token enthalten.

    3. Geben Sie als Pfad zur Kontoerstellung URI auf Ihrer Website die vollständigen neuen Benutzerdaten an. Hier URI müssen POST Anfragen akzeptiert werden.

      Anmerkung

      Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten(?-i), wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. /

      Beispielsweise könnten Sie für die die URL https://example.com/web/newaccount Zeichenfolge die Pfadspezifikation /web/newaccount angeben. Pfade zur Kontoerstellung, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. /web/newaccountEntspricht beispielsweise den Pfaden zur Kontoerstellung /web/newaccount /web/newaccount//web/newaccountPage,/web/newaccount/thisPage, und, entspricht aber nicht dem Pfad /home/web/newaccount oder/website/newaccount.

    4. Geben Sie für die Prüfung von Anfragen an, wie Ihre Anwendung Versuche zur Kontoerstellung akzeptiert, indem Sie den Payload-Typ der Anfrage und die Namen der Felder im Anfragetext angeben, in denen der Benutzername, das Passwort und andere Details zur Kontoerstellung angegeben werden.

      Anmerkung

      Geben Sie für die Felder „Primäre Adresse“ und „Telefonnummer“ die Felder in der Reihenfolge an, in der sie in der Payload der Anfrage erscheinen.

      Ihre Angabe der Feldnamen hängt vom Payload-Typ ab.

      • JSONNutzlasttyp — Geben Sie die Feldnamen in JSON Zeigersyntax an. Informationen zur JSON Pointer-Syntax finden Sie in der Dokumentation JavaScriptObject Notation (IETF) Pointer der Internet Engineering Task Force (JSON).

        Für die folgende JSON Beispiel-Payload lautet die Feldspezifikation für den Benutzernamen, /signupform/username und die Spezifikationen für das primäre Adressfeld lauten /signupform/addrp1/signupform/addrp2, und/signupform/addrp3.

        {
    "signupform": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD",
        "addrp1": "PRIMARY_ADDRESS_LINE_1",
        "addrp2": "PRIMARY_ADDRESS_LINE_2",
        "addrp3": "PRIMARY_ADDRESS_LINE_3",
        "phonepcode": "PRIMARY_PHONE_CODE",
        "phonepnumber": "PRIMARY_PHONE_NUMBER"
    }
}

      • FORMENCODEDPayload-Typ _ — Verwenden Sie die HTML Formularnamen.

        Für ein HTML Formular mit Benutzer- und Kennworteingabeelementen mit dem Namen username1 und password1 lautet die Feldspezifikation für den Benutzernamen username1 und die Feldspezifikation für das Passwort. password1

    5. Wenn Sie CloudFront Amazon-Distributionen schützen, geben Sie unter Überprüfung von Antworten an, wie Ihre Anwendung bei den Antworten auf Versuche zur Kontoerstellung auf Erfolg oder Misserfolg reagiert.

      Anmerkung

      ACFPResponse Inspection ist nur in Websites verfügbarACLs, die CloudFront Distributionen schützen.

      Geben Sie in der Antwort auf die Kontoerstellung eine einzelne Komponente an, die Sie überprüfen ACFP möchten. Für die Typen Body und JSONComponent AWS WAF kann die ersten 65.536 Byte (64 KB) der Komponente untersuchen.

      Geben Sie Ihre Prüfkriterien für den Komponententyp an, wie in der Schnittstelle angegeben. Sie müssen sowohl Erfolgs- als auch Fehlschlagskriterien angeben, nach denen die Komponente geprüft werden soll.

      Angenommen, Ihre Anwendung gibt im Statuscode der Antwort den Status eines Versuchs zur Kontoerstellung an und verwendet ihn 200 OK für Erfolg 401 Unauthorized und/oder 403 Forbidden für Fehlschlag. Sie würden den Komponententyp der Antwortprüfung auf Statuscode setzen und dann in das Textfeld Erfolg 200 und im Textfeld Fehler den Text in 401 der ersten Zeile und in 403 der zweiten Zeile eingeben.

      ACFPIn der Regelgruppe werden nur Antworten gezählt, die Ihren Erfolgs- oder Fehlschlagprüfungskriterien entsprechen. Die Regelgruppenregeln wirken sich auf Kunden aus, deren Erfolgsquote unter den gezählten Antworten zu hoch ist, um Versuche, mehrere Konten zu erstellen, zu verhindern. Stellen Sie sicher, dass Sie vollständige Informationen zu erfolgreichen und fehlgeschlagenen Kontoerstellungsversuchen angeben, damit sich die Regelgruppenregeln korrekt verhalten.

      Die Regeln zur Überprüfung der Antworten auf die Kontoerstellung finden Sie VolumetricSessionSuccessfulResponse in der Regelliste unterAWS WAF Regelgruppe zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP). VolumetricIPSuccessfulResponse

  3. Geben Sie jede zusätzliche Konfiguration an, die für die Regelgruppe benötigt wird.

    Sie können den Umfang der Anforderungen, die von der Regelgruppe geprüft werden, weiter eingrenzen, indem Sie der Anweisung für die verwaltete Regelgruppe eine Eingrenzungsanweisung hinzufügen. So können Sie beispielsweise nur Anforderungen mit einem bestimmten Abfrageargument oder Cookie prüfen. Die Regelgruppe prüft nur Anfragen, die den Kriterien in Ihrer Scopedown-Erklärung entsprechen und die an die von Ihnen in der Regelgruppenkonfiguration angegebenen Pfade zur Kontoregistrierung und Kontoerstellung gesendet werden. Informationen zu Eingrenzungsanweisungen finden Sie unter Verwendung von Scope-Down-Aussagen in AWS WAF.

  4. Speichern Sie Ihre Änderungen im Internet. ACL

Bevor Sie Ihre ACFP Implementierung für den Produktionsdatenverkehr einsetzen, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Weitere Informationen finden Sie im folgenden Abschnitt.