Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrer Web-ACL - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hinzufügen der von ATP verwalteten Regelgruppe zu Ihrer Web-ACL

Um die von ATP verwaltete Regelgruppe so zu konfigurieren, dass sie Kontoübernahmeaktivitäten in Ihrem Web-Traffic erkennt, geben Sie Informationen darüber an, wie Clients Anmeldeanfragen an Ihre Anwendung senden. Für geschützte CloudFront Amazon-Distributionen geben Sie auch Informationen darüber an, wie Ihre Anwendung auf Anmeldeanfragen reagiert. Diese Konfiguration gilt zusätzlich zur normalen Konfiguration für eine verwaltete Regelgruppe.

Eine Beschreibung der Regelgruppe und eine Liste der Regeln finden Sie unterAWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung.

Anmerkung

Die ATP-Datenbank mit gestohlenen Anmeldeinformationen enthält nur Benutzernamen im E-Mail-Format.

Diese Anleitung richtet sich an Benutzer, die im Allgemeinen wissen, wie man Web-ACLs, Regeln und Regelgruppen für AWS WAF erstellt und verwaltet. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu einer Web-ACL finden Sie unter Hinzufügen einer verwalteten Regelgruppe zu einer Web-ACL über die Konsole.

Folgen Sie den bewährten Methoden

Verwenden Sie die ATP-Regelgruppe gemäß den bewährten Methoden unterBewährte Methoden für intelligente Bedrohungsabwehr.

So verwenden Sie die Regelgruppe AWSManagedRulesATPRuleSet in einer Web-ACL

  1. Fügen Sie die AWS verwaltete Regelgruppe AWSManagedRulesATPRuleSet zu Ihrer Web-ACL hinzu und bearbeiten Sie die Regelgruppeneinstellungen vor dem Speichern.

    Anmerkung

    Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

  2. Geben Sie im Bereich Regelgruppenkonfiguration die Informationen ein, die die ATP-Regelgruppe zur Prüfung von Anmeldeanfragen verwendet.

    1. Aktivieren Sie diese Option für Reguläre Ausdrücke in Pfaden verwenden, wenn Sie einen Abgleich mit regulären Ausdrücken für die Pfadspezifikationen Ihrer Anmeldeseite durchführen möchten AWS WAF .

      AWS WAF unterstützt libpcre mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. Die Bibliothek ist unter PCRE - Perl Compatible Regular Expressions (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unterMusterabgleich mit regulären Ausdrücken in AWS WAF.

    2. Geben Sie unter Anmeldepfad den Pfad des Anmeldeendpunkts für Ihre Anwendung an. Die Regelgruppe untersucht nur HTTP-POST-Webanforderungen an den von Ihnen angegebenen Anmelde-Endpunkt.

      Anmerkung

      Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten(?-i), wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. /

      Für die URL könnten Sie https://example.com/web/login beispielsweise die Pfadangabe /web/login für die Zeichenfolge angeben. Anmeldepfade, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. /web/loginEntspricht beispielsweise den Anmeldepfaden /web/login/web/login/,/web/loginPage, und/web/login/thisPage, entspricht aber nicht dem Anmeldepfad /home/web/login oder/website/login.

    3. Geben Sie für die Überprüfung von Anfragen an, wie Ihre Anwendung Anmeldeversuche akzeptiert, indem Sie den Payload-Typ der Anfrage und die Namen der Felder im Anfragetext angeben, in denen der Benutzername und das Passwort angegeben werden. Ihre Angabe der Feldnamen hängt vom Payload-Typ ab.

      • JSON-Nutzdatentyp — Geben Sie die Feldnamen in der JSON-Zeigersyntax an. Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation JavaScriptObject Notation (JSON) Pointer der Internet Engineering Task Force (IETF).

        Für die folgende Beispiel-JSON-Nutzlast lautet die Feldspezifikation für den Benutzernamen /login/username und die Feldspezifikation für das Passwort. /login/password

        {
    "login": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD"
    }
}

      • Payload-Typ FORM_ENCODED — Verwenden Sie die HTML-Formularnamen.

        Für ein HTML-Formular mit Eingabeelementen mit dem Namen username1 und lautet username1 die Feldspezifikation für den Benutzernamen und password1 die Feldspezifikation für das Passwort. password1

    4. Wenn Sie CloudFront Amazon-Distributionen schützen, geben Sie unter Antwortprüfung an, wie Ihre Anwendung bei den Antworten auf Anmeldeversuche auf Erfolg oder Misserfolg hinweist.

      Anmerkung

      Die ATP-Antwortprüfung ist nur in Web-ACLs verfügbar, die Distributionen schützen CloudFront .

      Geben Sie eine einzelne Komponente in der Anmeldeantwort an, die ATP überprüfen soll. AWS WAF Kann bei den Komponententypen Body und JSON die ersten 65.536 Byte (64 KB) der Komponente untersuchen.

      Geben Sie Ihre Prüfkriterien für den Komponententyp an, wie in der Schnittstelle angegeben. Sie müssen sowohl Erfolgs- als auch Fehlschlagskriterien angeben, nach denen die Komponente geprüft werden soll.

      Nehmen wir zum Beispiel an, Ihre Anwendung gibt den Status eines Anmeldeversuchs im Statuscode der Antwort an und verwendet ihn 200 OK für Erfolg 401 Unauthorized und/oder 403 Forbidden für Fehlschlag. Sie würden den Komponententyp der Antwortprüfung auf Statuscode setzen und dann in das Textfeld Erfolg 200 und im Textfeld Fehler den Text in 401 der ersten Zeile und in 403 der zweiten Zeile eingeben.

      Die ATP-Regelgruppe zählt nur Antworten, die Ihren Erfolgs- oder Fehlschlagprüfungskriterien entsprechen. Die Regelgruppenregeln gelten für Clients, bei denen die Anzahl der gezählten Antworten zu hoch ist. Stellen Sie sicher, dass Sie vollständige Informationen zu erfolgreichen und fehlgeschlagenen Anmeldeversuchen angeben, damit sich die Regelgruppenregeln korrekt verhalten.

      Die Regeln zur Prüfung von Login-Antworten finden Sie VolumetricSessionFailedLoginResponseHigh in der Regelliste unterAWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung. VolumetricIpFailedLoginResponseHigh

  3. Geben Sie jede zusätzliche Konfiguration an, die für die Regelgruppe benötigt wird.

    Sie können den Umfang der Anforderungen, die von der Regelgruppe geprüft werden, weiter eingrenzen, indem Sie der Anweisung für die verwaltete Regelgruppe eine Eingrenzungsanweisung hinzufügen. So können Sie beispielsweise nur Anforderungen mit einem bestimmten Abfrageargument oder Cookie prüfen. Die Regelgruppe untersucht nur POST HTTP-Anfragen an Ihren angegebenen Anmeldeendpunkt, die den Kriterien in Ihrer Scope-down-Erklärung entsprechen. Informationen zu Eingrenzungsanweisungen finden Sie unter Eingrenzungsanweisungen.

  4. Speichern Sie Ihre Änderungen an der Web-ACL.

Bevor Sie Ihre ATP-Implementierung für den Produktionsdatenverkehr bereitstellen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Weitere Informationen finden Sie im folgenden Abschnitt.