Utilisation de ce groupe de règles Étiquettes ajoutées par ce groupe de règles Liste des règles

AWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP)

VendorName:AWS, Nom :AWSManagedRulesATPRuleSet, WCU : 50

L'ATP ( AWS WAF Fraud Control Account Takeover Prevention) gère les étiquettes des groupes de règles et gère les demandes susceptibles de faire partie de tentatives malveillantes de prise de contrôle de compte. Pour ce faire, le groupe de règles inspecte les tentatives de connexion que les clients envoient au point de terminaison de connexion de votre application.

Inspection des demandes — ATP vous donne de la visibilité et un contrôle sur les tentatives de connexion anormales et les tentatives de connexion utilisant des informations d'identification volées, afin d'empêcher les prises de contrôle de comptes susceptibles de mener à des activités frauduleuses. ATP vérifie les combinaisons d'e-mails et de mots de passe par rapport à sa base de données d'identifiants volés, qui est régulièrement mise à jour à mesure que de nouvelles informations d'identification divulguées sont découvertes sur le Dark Web. ATP agrège les données par adresse IP et par session client afin de détecter et de bloquer les clients qui envoient trop de demandes suspectes.
Inspection des réponses — Pour les CloudFront distributions, en plus d'inspecter les demandes de connexion entrantes, le groupe de règles ATP inspecte les réponses de votre application aux tentatives de connexion, afin de suivre les taux de réussite et d'échec. À l'aide de ces informations, ATP peut bloquer temporairement les sessions client ou les adresses IP présentant trop d'échecs de connexion. AWS WAF effectue une inspection des réponses de manière asynchrone, afin de ne pas augmenter la latence de votre trafic Web.

Considérations relatives à l'utilisation de ce groupe de règles

Ce groupe de règles nécessite une configuration spécifique. Pour configurer et implémenter ce groupe de règles, consultez les instructions à l'adresseAWS WAF Contrôle des fraudes et prévention des prises de contrôle des comptes (ATP).

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d’informations, veuillez consulter AWS WAF Atténuation intelligente des menaces.

Note

Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions deMeilleures pratiques pour une atténuation intelligente des menaces.

Ce groupe de règles n'est pas disponible pour les groupes d'utilisateurs Amazon Cognito. Vous ne pouvez pas associer une ACL Web qui utilise ce groupe de règles à un groupe d'utilisateurs, ni ajouter ce groupe de règles à une ACL Web déjà associée à un groupe d'utilisateurs.

Étiquettes ajoutées par ce groupe de règles

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Étiquettes à jetons

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client.

Pour plus d'informations sur les jetons et la gestion des jetons, consultezAWS WAF jetons de demande Web.

Pour plus d'informations sur les composants de l'étiquette décrits ici, voirAWS WAF syntaxe des étiquettes et exigences de dénomination.

Libellé de session client

L'étiquette awswaf:managed:token:id:identifier contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes

Les étiquettes d'état du jeton indiquent le statut du jeton et les informations de défi et de CAPTCHA qu'il contient.

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants :

awswaf:managed:token:— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton.
awswaf:managed:captcha:— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton.

Étiquettes d'état des jetons : noms des étiquettes

Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton :

accepted— Le jeton de demande est présent et contient les éléments suivants :
- Un défi ou une solution CAPTCHA valide.
- Un défi ou un horodatage CAPTCHA non expiré.
- Spécification de domaine valide pour l'ACL Web.
Exemple : L'étiquette awswaf:managed:token:accepted indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.
rejected— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation.

Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison.
- rejected:not_solved— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton.
- rejected:expired— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre ACL Web.
- rejected:domain_mismatch— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre ACL Web.
- rejected:invalid— AWS WAF n'a pas pu lire le jeton indiqué.
Exemple : les awswaf:managed:captcha:rejected libellés awswaf:managed:captcha:rejected:expired indiquent que la demande a été rejetée parce que l'horodatage CAPTCHA contenu dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans l'ACL Web.
absent— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire.

Exemple : L'étiquette awswaf:managed:captcha:absent indique que la demande ne contient pas le jeton.

Étiquettes ATP

Le groupe de règles géré par ATP génère des étiquettes avec le préfixe d'espace de noms awswaf:managed:aws:atp: suivi de l'espace de noms personnalisé et du nom de l'étiquette.

Le groupe de règles peut ajouter l'une des étiquettes suivantes en plus des étiquettes indiquées dans la liste des règles :

awswaf:managed:aws:atp:signal:credential_compromised— Indique que les informations d'identification soumises dans la demande se trouvent dans la base de données des informations d'identification volées.
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Disponible uniquement pour les CloudFront distributions Amazon protégées. Indique qu'une session client a envoyé plusieurs demandes utilisant une empreinte TLS suspecte.
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— Indique l'utilisation d'un seul jeton parmi plus de 5 adresses IP distinctes. Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'étiquette ne soit appliquée.

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelantDescribeManagedRuleGroup. Les étiquettes sont répertoriées dans la AvailableLabels propriété de la réponse.

Liste des règles de prévention du piratage de compte

Cette section répertorie les règles ATP AWSManagedRulesATPRuleSet et les étiquettes que les règles du groupe de règles ajoutent aux requêtes Web.

Note

Les informations que nous publions concernant les règles des groupes de règles AWS gérées sont destinées à vous fournir suffisamment d'informations pour utiliser les règles, sans fournir d'informations que des acteurs malveillants pourraient utiliser pour contourner les règles. Si vous avez besoin de plus d'informations que celles que vous trouverez dans cette documentation, contactez le AWS Support Centre.

Nom de la règle	Description et étiquette
`UnsupportedCognitoIDP`	Vérifie le trafic Web destiné à un groupe d'utilisateurs Amazon Cognito. ATP n'est pas disponible pour une utilisation avec les groupes d'utilisateurs Amazon Cognito, et cette règle permet de garantir que les autres règles des groupes de règles ATP ne sont pas utilisées pour évaluer le trafic des groupes d'utilisateurs. Action de la règle Block Libellé : `awswaf:managed:aws:atp:unsupported:cognito_idp`
`VolumetricIpHigh`	Détecte les volumes élevés de demandes envoyées à partir d'adresses IP individuelles. Un volume élevé correspond à plus de 20 demandes dans une fenêtre de 10 minutes. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. En cas de volume élevé, quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` Le groupe de règles applique les libellés suivants aux demandes présentant un volume moyen (plus de 15 demandes par fenêtre de 10 minutes) et un volume faible (plus de 10 demandes par fenêtre de 10 minutes), mais ne prend aucune mesure à leur égard : `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` et`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`.
`VolumetricSession`	Inspecte les volumes élevés de demandes envoyées lors de sessions client individuelles. Le seuil est supérieur à 20 demandes par fenêtre de 30 minutes. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par les SDK d'intégration des applications et par les actions de règles CAPTCHA etChallenge. Pour plus d’informations, consultez AWS WAF jetons de demande Web. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:volumetric:session`
`AttributeCompromisedCredentials`	Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent des informations d'identification volées. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials`
`AttributeUsernameTraversal`	Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent le changement de nom d'utilisateur. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:attribute:username_traversal`
`AttributePasswordTraversal`	Vérifie la présence de plusieurs demandes utilisant le même nom d'utilisateur et utilisant la traversée de mots de passe. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:attribute:password_traversal`
`AttributeLongSession`	Vérifie la présence de plusieurs demandes provenant de la même session client qui utilisent des sessions de longue durée. Le seuil est de plus de 6 heures de trafic faisant l'objet d'au moins une demande de connexion toutes les 30 minutes. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par les SDK d'intégration des applications et par les actions de règles CAPTCHA etChallenge. Pour plus d’informations, consultez AWS WAF jetons de demande Web. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:attribute:long_session`
`TokenRejected`	Inspecte les demandes contenant des jetons qui sont rejetées par la gestion des AWS WAF jetons. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par les SDK d'intégration des applications et par les actions de règles CAPTCHA etChallenge. Pour plus d’informations, consultez AWS WAF jetons de demande Web. Action de la règle Block Libellé : Aucun Pour vérifier si un jeton a été rejeté, utilisez une règle de correspondance d'étiquette correspondant à l'étiquette : `awswaf:managed:token:rejected`
`SignalMissingCredential`	Vérifie les demandes dont les informations d'identification ne contiennent pas le nom d'utilisateur ou le mot de passe. Action de la règle Block Libellé : `awswaf:managed:aws:atp:signal:missing_credential`
`VolumetricIpFailedLoginResponseHigh`	Recherche les adresses IP qui ont récemment été à l'origine d'un taux trop élevé de tentatives de connexion infructueuses. Un volume élevé correspond à plus de 10 demandes de connexion échouées provenant d'une adresse IP dans une fenêtre de 10 minutes. Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec. Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une adresse IP, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion à partir de la même adresse IP. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles. Note AWS WAF évalue cette règle uniquement dans les ACL Web qui protègent les distributions Amazon CloudFront. Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de connexion infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les chiffres sont basés sur une fenêtre de 10 minutes. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`pour plus de 5 demandes ayant échoué, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` pour plus d'une demande échouée, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` pour plus de 10 demandes réussies, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` pour plus de 5 demandes réussies et `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` pour plus d'une demande réussie.
`VolumetricSessionFailedLoginResponseHigh`	Vérifie les sessions client qui ont récemment été à l'origine d'un taux trop élevé de tentatives de connexion infructueuses. Un volume élevé correspond à plus de 10 demandes de connexion échouées depuis une session client sur une période de 30 minutes. Si vous avez configuré le groupe de règles pour inspecter le corps de la réponse ou les composants JSON, vous AWS WAF pouvez inspecter les 65 536 premiers octets (64 Ko) de ces types de composants pour détecter des indicateurs de réussite ou d'échec. Cette règle applique l'action et l'étiquetage des règles aux nouvelles requêtes Web provenant d'une session client, en fonction des réponses de réussite et d'échec de la ressource protégée aux récentes tentatives de connexion effectuées au cours de la même session client. Vous définissez comment comptabiliser les réussites et les échecs lorsque vous configurez le groupe de règles. Note AWS WAF évalue cette règle uniquement dans les ACL Web qui protègent les distributions Amazon CloudFront . Note Les seuils appliqués par cette règle peuvent varier légèrement en raison de la latence. Il est possible que le client envoie plus de tentatives de connexion infructueuses que ce qui est autorisé avant que la règle ne commence à correspondre lors des tentatives suivantes. Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par les SDK d'intégration des applications et par les actions de règles CAPTCHA etChallenge. Pour plus d’informations, consultez AWS WAF jetons de demande Web. Action de la règle Block Libellé : `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` Le groupe de règles applique également les libellés associés suivants aux demandes, sans aucune action associée. Tous les comptes sont basés sur une fenêtre de 30 minutes. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`pour plus de 5 demandes ayant échoué, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` pour plus d'une demande échouée, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` pour plus de 10 demandes réussies, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` pour plus de 5 demandes réussies et `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` pour plus d'une demande réussie.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Groupe de règles de prévention de la fraude pour la création de comptes

Groupe de règles Bot Control