Utilisation de ce groupe de règles Étiquettes ajoutées par ce groupe de règles Liste des règles

AWS WAF Groupe de règles de prévention des fraudes (ACFP) pour la création de comptes et la prévention des fraudes

VendorName:AWS, Nom :AWSManagedRulesACFPRuleSet, WCU : 50

L'ACFP ( AWS WAF Fraud Control Account Creation Fraud Prevention) gère les étiquettes des groupes de règles et gère les demandes susceptibles de faire partie de tentatives de création de compte frauduleuses. Pour ce faire, le groupe de règles inspecte les demandes de création de compte que les clients envoient aux points de terminaison d'enregistrement et de création de compte de votre application.

Le groupe de règles ACFP inspecte les tentatives de création de comptes de différentes manières, afin de vous donner de la visibilité et de contrôler les interactions potentiellement malveillantes. Le groupe de règles utilise des jetons de demande pour recueillir des informations sur le navigateur du client et sur le niveau d'interactivité humaine lors de la création de la demande de création de compte. Le groupe de règles détecte et gère les tentatives de création de comptes en masse en agrégeant les demandes par adresse IP et par session client, et en les agrégeant selon les informations de compte fournies, telles que l'adresse physique et le numéro de téléphone. En outre, le groupe de règles détecte et bloque la création de nouveaux comptes à l'aide d'informations d'identification compromises, ce qui contribue à protéger le niveau de sécurité de votre application et de vos nouveaux utilisateurs.

Utilisation de ce groupe de règles

Ce groupe de règles nécessite une configuration personnalisée, qui inclut la spécification des chemins d'enregistrement et de création de compte de votre application. Sauf indication contraire, les règles de ce groupe de règles inspectent toutes les demandes que vos clients envoient à ces deux points de terminaison. Pour configurer et implémenter ce groupe de règles, consultez les instructions à l'adresseAWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP).

Note

Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d’informations, consultez AWS WAF Atténuation intelligente des menaces.

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions deMeilleures pratiques pour une atténuation intelligente des menaces.

Ce groupe de règles n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito. Vous ne pouvez pas associer une ACL Web qui utilise ce groupe de règles à un groupe d'utilisateurs, ni ajouter ce groupe de règles à une ACL Web déjà associée à un groupe d'utilisateurs.

Ce groupe de règles ne fournit pas de notifications de version ni de mise à jour SNS.

Étiquettes ajoutées par ce groupe de règles

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Étiquettes à jetons

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client.

Pour plus d'informations sur les jetons et leur gestion, consultezAWS WAF jetons de demande Web.

Pour plus d'informations sur les composants de l'étiquette décrits ici, voirSyntaxe des étiquettes et exigences de dénomination.

Libellé de session client

L'étiquette awswaf:managed:token:id:identifier contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes

Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient.

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants :

awswaf:managed:token:— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton.
awswaf:managed:captcha:— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton.

Étiquettes d'état des jetons : noms des étiquettes

Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton :

accepted— Le jeton de demande est présent et contient les éléments suivants :
- Un défi ou une solution CAPTCHA valide.
- Un défi ou un horodatage CAPTCHA non expiré.
- Spécification de domaine valide pour l'ACL Web.
Exemple : L'étiquette awswaf:managed:token:accepted indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
rejected— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation.

Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison.
- rejected:not_solved— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton.
- rejected:expired— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre ACL Web.
- rejected:domain_mismatch— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre ACL Web.
- rejected:invalid— AWS WAF n'a pas pu lire le jeton indiqué.
Exemple : les awswaf:managed:captcha:rejected libellés awswaf:managed:captcha:rejected:expired indiquent que la demande a été rejetée parce que l'horodatage CAPTCHA contenu dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans l'ACL Web.
absent— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire.

Exemple : L'étiquette awswaf:managed:captcha:absent indique que la demande ne contient pas le jeton.

Étiquettes ACFP

Ce groupe de règles génère des étiquettes avec le préfixe d'espace de noms awswaf:managed:aws:acfp: suivi de l'espace de noms personnalisé et du nom de l'étiquette. Le groupe de règles peut ajouter plusieurs libellés à une demande.

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelantDescribeManagedRuleGroup. Les étiquettes sont répertoriées dans la AvailableLabels propriété de la réponse.

Liste des règles de prévention des fraudes relatives à la création de comptes

Cette section répertorie les règles ACFP AWSManagedRulesACFPRuleSet et les étiquettes que les règles du groupe de règles ajoutent aux requêtes Web.

Note

Les informations que nous publions concernant les règles des groupes de règles AWS gérées sont destinées à vous fournir suffisamment d'informations pour utiliser les règles, sans fournir d'informations que des acteurs malveillants pourraient utiliser pour contourner les règles. Si vous avez besoin de plus d'informations que celles que vous trouverez dans cette documentation, contactez le AWS Support Centre.

Toutes les règles de ce groupe de règles nécessitent un jeton de requête Web, à l'exception des deux premières UnsupportedCognitoIDP etAllRequests. Pour une description des informations fournies par le jeton, consultezCaractéristiques du jeton.

Sauf indication contraire, les règles de ce groupe de règles inspectent toutes les demandes que vos clients envoient aux chemins de page d'enregistrement et de création de compte que vous fournissez dans la configuration du groupe de règles. Pour plus d'informations sur la configuration de ce groupe de règles, consultezAWS WAF Contrôle des fraudes : création de comptes, prévention des fraudes (ACFP).

Nom de la règle	Description et étiquette
`UnsupportedCognitoIDP`	Vérifie le trafic Web destiné à un groupe d'utilisateurs Amazon Cognito. L'ACFP n'est pas disponible pour une utilisation avec les groupes d'utilisateurs Amazon Cognito, et cette règle permet de garantir que les autres règles du groupe de règles ACFP ne sont pas utilisées pour évaluer le trafic du groupe d'utilisateurs. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:unsupported:cognito_idp`
`AllRequests`	Applique l'action de la règle aux demandes qui accèdent au chemin de la page d'enregistrement. Vous configurez le chemin de la page d'enregistrement lorsque vous configurez le groupe de règles. Par défaut, cette règle s'applique Challenge aux demandes. En appliquant cette action, la règle garantit que le client obtient un jeton de défi avant que les demandes ne soient évaluées par les autres règles du groupe de règles. Assurez-vous que vos utilisateurs finaux chargent le chemin de la page d'inscription avant de soumettre une demande de création de compte. Les jetons sont ajoutés aux demandes par les SDK d'intégration des applications clientes et par les actions de règles CAPTCHA etChallenge. Pour l'acquisition de jetons la plus efficace possible, nous vous recommandons vivement d'utiliser les SDK d'intégration des applications. Pour plus d’informations, consultez AWS WAF intégration d'applications clientes. Action de la règle Challenge Étiquette : Aucune
`RiskScoreHigh`	Inspecte les demandes de création de compte contenant des adresses IP ou d'autres facteurs considérés comme hautement suspects. Cette évaluation est généralement basée sur plusieurs facteurs contributifs, que vous pouvez voir dans les `risk_score` libellés que le groupe de règles ajoute à la demande. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:risk_score:high` La règle peut également s'appliquer `medium` ou des étiquettes de score de `low` risque à la demande. Si AWS WAF l'évaluation du score de risque pour la requête Web échoue, la règle ajoute l'étiquette `awswaf:managed:aws:acfp:risk_score:evaluation_failed` En outre, la règle ajoute des étiquettes avec l'espace de noms `awswaf:managed:aws:acfp:risk_score:contributor:` qui incluent le statut de l'évaluation du score de risque et les résultats pour les contributeurs spécifiques au score de risque, tels que les évaluations de réputation IP et d'informations d'identification volées.
`SignalCredentialCompromised`	Recherche dans la base de données des informations d'identification volées les informations d'identification qui ont été soumises dans la demande de création de compte. Cette règle garantit que les nouveaux clients initialisent leurs comptes avec une posture de sécurité positive. Note Vous pouvez ajouter une réponse de blocage personnalisée, pour décrire le problème à votre utilisateur final et lui indiquer comment procéder. Pour plus d’informations, consultez Exemple ACFP : réponse personnalisée pour des informations d'identification compromises. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:signal:credential_compromised` Le groupe de règles applique l'étiquette associée suivante, mais ne prend aucune mesure, car les demandes de création de compte ne comporteront pas toutes des informations d'identification : `awswaf:managed:aws:acfp:signal:missing_credential`
`SignalClientInteractivityAbsentLow`	Inspecte le jeton de la demande de création de compte à la recherche de données indiquant une interactivité humaine anormale avec l'application. L'interactivité humaine est détectée par le biais d'interactions telles que les mouvements de la souris et les pressions sur les touches. Si la page comporte un formulaire HTML, l'interactivité humaine inclut les interactions avec le formulaire. Note Cette règle inspecte uniquement les demandes relatives au chemin de création du compte et n'est évaluée que si vous avez implémenté les SDK d'intégration des applications. Les implémentations du SDK capturent passivement l'interactivité humaine et stockent les informations dans le jeton de demande. Pour plus d’informations, consultez Caractéristiques du jeton et AWS WAF intégration d'applications clientes. Action de la règle CAPTCHA Libellé : Aucun. La règle détermine une correspondance en fonction de différents facteurs, de sorte qu'aucune étiquette individuelle ne s'applique à tous les scénarios de correspondance possibles. Le groupe de règles peut appliquer une ou plusieurs des étiquettes suivantes aux demandes : `awswaf:managed:aws:acfp:signal:client:human_interactivity:low/medium/high` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`.
`SignalAutomatedBrowser`	Inspecte la demande à la recherche d'indicateurs indiquant que le navigateur client pourrait être automatisé. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:signal:automated_browser`
`SignalBrowserInconsistency`	Inspecte le jeton de la demande pour détecter toute incohérence dans les données d'interrogation du navigateur. Pour plus d’informations, consultez Caractéristiques du jeton. Action de la règle CAPTCHA Libellé : `awswaf:managed:aws:acfp:signal:browser_inconsistency`
`VolumetricIpHigh`	Détecte les volumes élevés de demandes de création de compte envoyées à partir d'adresses IP individuelles. Un volume élevé correspond à plus de 20 demandes dans une fenêtre de 10 minutes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. En cas de volume élevé, quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle CAPTCHA Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` La règle applique les libellés suivants aux demandes de volume moyen (16 à 20 demandes par fenêtre de 10 minutes) et de faible volume (11 à 15 demandes par fenêtre de 10 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` et. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`
`VolumetricSessionHigh`	Inspecte les volumes élevés de demandes de création de compte envoyées lors de sessions client individuelles. Un volume élevé correspond à plus de 10 demandes dans une fenêtre de 30 minutes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` Le groupe de règles applique les libellés suivants aux demandes de volume moyen (6 à 10 demandes par fenêtre de 30 minutes) et de faible volume (2 à 5 demandes par fenêtre de 30 minutes), mais ne prend aucune mesure à leur sujet : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` et. `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`
`AttributeUsernameTraversalHigh`	Détecte le taux élevé de demandes de création de compte provenant d'une seule session client utilisant des noms d'utilisateur différents. Le seuil pour une évaluation élevée est de plus de 10 demandes en 30 minutes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (6 à 10 demandes par fenêtre de 30 minutes) et un faible volume (2 à 5 demandes par fenêtre de 30 minutes) de demandes de traversée de nom d'utilisateur, mais ne prend aucune mesure à leur sujet : et. `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`
`VolumetricPhoneNumberHigh`	Détecte les volumes élevés de demandes de création de compte utilisant le même numéro de téléphone. Le seuil pour une évaluation élevée est de plus de 10 demandes en 30 minutes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` Le groupe de règles applique les libellés suivants aux demandes de volume moyen (6 à 10 demandes par fenêtre de 30 minutes) et de faible volume (2 à 5 demandes par fenêtre de 30 minutes), mais ne prend aucune mesure à leur sujet : `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` et. `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`
`VolumetricAddressHigh`	Détecte les volumes élevés de demandes de création de compte utilisant la même adresse physique. Le seuil pour une évaluation élevée est supérieur à 100 demandes par fenêtre de 30 minutes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:address:high`
`VolumetricAddressLow`	Inspecte les volumes faibles et moyens de demandes de création de compte utilisant la même adresse physique. Le seuil pour une évaluation moyenne est supérieur à 51 à 100 demandes par fenêtre de 30 minutes, et pour une évaluation faible, de 11 à 50 demandes par fenêtre de 30 minutes. La règle applique l'action aux volumes moyens ou faibles. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle CAPTCHA Étiquette : `awswaf:managed:aws:acfp:aggregate:volumetric:address:low` ou `awswaf:managed:aws:acfp:aggregate:volumetric:address:medium`
`VolumetricIPSuccessfulResponse`	Détecte un grand nombre de demandes de création de compte réussies pour une seule adresse IP. Cette règle regroupe les réponses positives de la ressource protégée aux demandes de création de compte. Le seuil pour une évaluation élevée est supérieur à 10 demandes par fenêtre de 10 minutes. Cette règle permet de se protéger contre les tentatives de création de comptes en masse. Son seuil est inférieur à celui de la règle`VolumetricIpHigh`, qui ne compte que les demandes. Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec. Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une adresse IP, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion à partir de la même adresse IP. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles. Note AWS WAF évalue cette règle uniquement dans les ACL Web qui protègent les distributions Amazon CloudFront . Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de création de compte réussies que celles autorisées avant que la règle ne commence à correspondre lors des tentatives suivantes. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les chiffres sont basés sur une fenêtre de 10 minutes. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`pour plus de 5 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` pour plus d'une demande réussie, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` pour plus de 10 demandes ayant échoué, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` pour plus de 5 demandes ayant échoué et `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` pour plus d'une demande ayant échoué.
`VolumetricSessionSuccessfulResponse`	Vérifie s'il y a peu de réponses satisfaisantes de la ressource protégée aux demandes de création de compte envoyées à partir d'une seule session client. Cela permet de se protéger contre les tentatives de création de comptes en masse. Le seuil pour une évaluation faible est supérieur à 1 demande par fenêtre de 30 minutes. Cela permet de se protéger contre les tentatives de création de comptes en masse. Cette règle utilise un seuil inférieur à celui de la règle`VolumetricSessionHigh`, qui suit uniquement les demandes. Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec. Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une session client, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion effectuées au cours de la même session client. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles. Note AWS WAF évalue cette règle uniquement dans les ACL Web qui protègent les distributions Amazon CloudFront . Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de création de compte infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` Le groupe de règles applique également les libellés associés suivants aux demandes. Tous les comptes sont basés sur une fenêtre de 30 minutes. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`pour plus de 10 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` pour plus de 5 demandes réussies, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` pour plus de 10 demandes ayant échoué, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` pour plus de 5 demandes ayant échoué et `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` pour plus d'une demande ayant échoué.
`VolumetricSessionTokenReuseIp`	Inspecte les demandes de création de compte pour l'utilisation d'un seul jeton parmi plus de 5 adresses IP distinctes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip`

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Groupes de règles de réputation IP

Groupe de règles de prévention du rachat de compte