Uso de este grupo de reglas Etiquetas agregadas por este grupo de reglas Lista de reglas

AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude

VendorName:AWS, Nombre:AWSManagedRulesATPRuleSet, WCU: 50

El sistema de prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control gestionaba las etiquetas de los grupos de reglas y gestionaba las solicitudes que podían formar parte de intentos malintencionados de apropiación de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación.

Inspección de solicitudes: la ATP le permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión que utilizan credenciales robadas con el fin de evitar la apropiación de cuentas que pueda dar lugar a actividades fraudulentas. La ATP comprueba las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. La ATP agrega los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa.
Inspección de respuestas: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de reglas de la ATP inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, la ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web.

Consideraciones sobre el uso de este grupo de reglas

Este grupo de reglas requiere una configuración específica. Para configurar e implementar este grupo de reglas, consulte las instrucciones en AWS WAF Control de fraudes y prevención de apropiación de cuentas (ATP).

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener más información, consulte AWS WAF mitigación inteligente de amenazas.

nota

Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para obtener más información, consulte AWS WAF Precios.

Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en Las prácticas recomendadas para la mitigación inteligente de amenazas.

Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar una ACL web que utilice este grupo de reglas a un grupo de usuarios ni puede agregar este grupo de reglas a una ACL web que ya esté asociada a un grupo de usuarios.

Etiquetas agregadas por este grupo de reglas

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en la ACL web. AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetas en las solicitudes web y Etiquetar métricas y dimensiones.

Etiquetas de token

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.

Para obtener información sobre los tókenes y su administración, consulte AWS WAF tokens de solicitud web.

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte AWS WAF requisitos de nomenclatura y sintaxis de etiquetas.

Etiqueta de sesión de cliente

La etiqueta awswaf:managed:token:id:identifier contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.

nota

AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas

Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:

awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.
awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.

Etiquetas de estado del token: nombres de etiquetas

Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:

accepted: El token de solicitud está presente y contiene lo siguiente:
- Una solución válida del desafío o del CAPTCHA.
- Una marca de tiempo vigente del desafío o del CAPTCHA.
- Una especificación de dominio válida para la ACL web.
Ejemplo: la etiqueta awswaf:managed:token:accepted indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.
rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.

Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
- rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.
- rejected:expired: La marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en la ACL web.
- rejected:domain_mismatch: El dominio del token no coincide con la configuración del dominio del token de su ACL web.
- rejected:invalid— no se AWS WAF pudo leer el token indicado.
Ejemplo: las etiquetas awswaf:managed:captcha:rejected y awswaf:managed:captcha:rejected:expired indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad configurado en la ACL web.
absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.

Ejemplo: la etiqueta awswaf:managed:captcha:absent indica que la solicitud no tiene el token.

Etiquetas de ATP

Este grupo de reglas administrado por ATP genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:atp: seguido del espacio de nombres y el nombre de la etiqueta personalizados.

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas además de las que aparecen en la lista de reglas:

awswaf:managed:aws:atp:signal:credential_compromised: indica que las credenciales que se enviaron en la solicitud se encuentran en la base de datos de credenciales robadas.
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Disponible solo para CloudFront distribuciones protegidas de Amazon. Indica que la sesión de un cliente ha enviado varias solicitudes que utilizaban una huella digital de TLS sospechosa.
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip: indica el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la etiqueta.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al DescribeManagedRuleGroup. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.

Lista de reglas de prevención de apropiación de cuentas

En esta sección se enumeran las reglas de la ATP en AWSManagedRulesATPRuleSet y las etiquetas que las reglas del grupo de reglas agrega a las solicitudes web.

nota

La información que publicamos sobre las reglas de los grupos de reglas AWS gestionadas tiene por objeto proporcionarle información suficiente para utilizarlas, pero no proporciona información que los delincuentes puedan utilizar para eludirlas. Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el centro de AWS Support.

Nombre de la regla	Descripción y etiqueta
`UnsupportedCognitoIDP`	Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. La ACFP no está disponible para su uso con los grupos de usuarios de Amazon Cognito y esta regla ayuda a garantizar que las demás reglas del grupo de reglas de la ATP no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:unsupported:cognito_idp`
`VolumetricIpHigh`	Inspecciona en busca de altos volúmenes de solicitudes enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` y`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`.
`VolumetricSession`	Inspecciona los grandes volúmenes de solicitudes enviadas desde las sesiones individuales de los clientes. El umbral es de más de 20 solicitudes por período de 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte AWS WAF tokens de solicitud web. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:volumetric:session`
`AttributeCompromisedCredentials`	Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan credenciales robadas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials`
`AttributeUsernameTraversal`	Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan el nombre de usuario transversal. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal`
`AttributePasswordTraversal`	Comprueba si hay varias solicitudes con el mismo nombre de usuario que utilizan el barrido de contraseñas. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal`
`AttributeLongSession`	Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan sesiones largas. El límite es de más de 6 horas de tráfico con al menos una solicitud de inicio de sesión cada 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte AWS WAF tokens de solicitud web. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:attribute:long_session`
`TokenRejected`	Inspecciona las solicitudes con fichas que la administración de las mismas AWS WAF ha rechazado. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte AWS WAF tokens de solicitud web. Acción de la regla: Block Etiqueta: ninguna. Para comprobar si el token ha sido rechazado, utiliza una regla de coincidencia de etiquetas para que coincida con la etiqueta: `awswaf:managed:token:rejected`
`SignalMissingCredential`	Inspecciona las solicitudes con credenciales a las que les falte el nombre de usuario o la contraseña. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:signal:missing_credential`
`VolumetricIpFailedLoginResponseHigh`	Comprueba si hay direcciones IP que hayan originado recientemente una tasa demasiado alta de intentos fallidos de inicio de sesión. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una dirección IP en un período de 10 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. nota AWS WAF solo evalúa esta regla en las ACL web que protegen las distribuciones de Amazon CloudFront. nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para más de 1 solicitud correcta.
`VolumetricSessionFailedLoginResponseHigh`	Comprueba si hay sesiones de cliente que hayan originado recientemente una tasa demasiado alta de intentos de inicio de sesión fallidos. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una sesión de cliente en un período de 30 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo de la respuesta o los componentes de JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. nota AWS WAF solo evalúa esta regla en las ACL web que protegen las distribuciones de Amazon CloudFront . nota Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se agregan a las solicitudes por los SDK de integración de y por las acciones de regla CAPTCHA y Challenge. Para obtener más información, consulte AWS WAF tokens de solicitud web. Acción de la regla: Block Etiqueta: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para más de 5 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para más de 1 solicitud fallida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para más de 10 solicitudes correctas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para más de 5 solicitudes correctas y `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para más de 1 solicitud correcta.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Grupo de reglas de prevención contra fraude en la creación de cuentas

Grupo de reglas de control de bots