AWS WAF Groupe de règles Bot Control - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS WAF Groupe de règles Bot Control

Cette section explique ce que fait le groupe de règles géré par Bot Control.

VendorName:AWS, Nom WCU :AWSManagedRulesBotControlRuleSet, 50

Le groupe de règles gérées par Bot Control fournit des règles qui gèrent les demandes des robots. Les robots peuvent consommer des ressources excédentaires, fausser les indicateurs commerciaux, provoquer des interruptions de service et mener des activités malveillantes.

Niveaux de protection

Le groupe de règles gérées par Bot Control fournit deux niveaux de protection parmi lesquels vous pouvez choisir :

  • Fréquent : détecte une variété de robots auto-identifiables, tels que les frameworks de scraping Web, les moteurs de recherche et les navigateurs automatisés. Les protections Bot Control à ce niveau identifient les robots courants à l'aide de techniques de détection de bots traditionnelles, telles que l'analyse statique des données des demandes. Les règles étiquettent le trafic provenant de ces robots et bloquent ceux qu'ils ne peuvent pas vérifier.

  • Ciblé : inclut les protections de niveau commun et ajoute une détection ciblée pour les robots sophistiqués qui ne s'identifient pas eux-mêmes. Des protections ciblées atténuent l'activité des robots en combinant des limitations de débit CAPTCHA et des difficultés liées au navigateur en arrière-plan.

    • TGT_— Les règles qui fournissent une protection ciblée portent des noms commençant parTGT_. Toutes les protections ciblées utilisent des techniques de détection telles que l'interrogation du navigateur, la prise d'empreintes digitales et l'heuristique comportementale pour identifier le trafic de bots défectueux.

    • TGT_ML_— Les règles de protection ciblées qui utilisent l'apprentissage automatique portent des noms commençant parTGT_ML_. Ces règles utilisent une analyse automatisée basée sur l'apprentissage automatique des statistiques de trafic du site Web pour détecter les comportements anormaux indiquant une activité distribuée et coordonnée des bots. AWS WAF analyse les statistiques relatives au trafic de votre site Web, telles que les horodatages, les caractéristiques du navigateur et les URL visites précédentes, afin d'améliorer le modèle d'apprentissage automatique de Bot Control. Les fonctionnalités d'apprentissage automatique sont activées par défaut, mais vous pouvez les désactiver dans la configuration de votre groupe de règles. Lorsque le machine learning est désactivé, AWS WAF n'évalue pas ces règles.

Le niveau de protection ciblé et AWS WAF les déclarations de règles basées sur le taux fournissent toutes deux une limitation de débit. Pour une comparaison des deux options, voirOptions de limitation du débit dans les règles basées sur les taux et dans les règles de contrôle des bots ciblées.

Considérations relatives à l'utilisation de ce groupe de règles

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces dans AWS WAF Pour plus d'informations, consultez Mettre en œuvre une atténuation intelligente des menaces dans AWS WAF.

Note

Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez .AWS WAF Tarification.

Pour réduire vos coûts et être sûr de gérer votre trafic Web comme vous le souhaitez, utilisez ce groupe de règles conformément aux instructions deLes meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF.

Nous mettons régulièrement à jour nos modèles d'apprentissage automatique (ML) pour les règles basées sur le niveau de protection ciblé, afin d'améliorer les prévisions des robots. Les règles basées sur le ML ont des noms qui commencent par. TGT_ML_ Si vous constatez un changement soudain et substantiel dans les prédictions des robots établies par ces règles, contactez-nous par l'intermédiaire de votre responsable de compte ou ouvrez un dossier à AWS Support Centre.

Étiquettes ajoutées par ce groupe de règles

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles sur votre site WebACL. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Utilisation d'étiquettes sur les requêtes Web aux sections etMétriques et dimensions des étiquettes.

Étiquettes à jetons

Ce groupe de règles utilise AWS WAF gestion des jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leur AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client.

Pour plus d'informations sur les jetons et leur gestion, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Pour plus d'informations sur les composants de l'étiquette décrits ici, voirSyntaxe des étiquettes et exigences de dénomination dans AWS WAF.

Libellé de session client

L'étiquette awswaf:managed:token:id:identifier contient un identifiant unique qui AWS WAF la gestion des jetons permet d'identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes

Les étiquettes d'état du jeton indiquent le statut du jeton, le défi et CAPTCHA les informations qu'il contient.

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants :

  • awswaf:managed:token:— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton.

  • awswaf:managed:captcha:— Utilisé pour rendre compte de l'état des CAPTCHA informations du jeton.

Étiquettes d'état des jetons : noms des étiquettes

Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton :

  • accepted— Le jeton de demande est présent et contient les éléments suivants :

    • Un défi ou une CAPTCHA solution valable.

    • Un défi ou un CAPTCHA horodatage non expiré.

    • Spécification de domaine valide pour le WebACL.

    Exemple : L'étiquette awswaf:managed:token:accepted indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.

  • rejected— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation.

    Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison.

    • rejected:not_solved— Il manque le défi ou la CAPTCHA solution au jeton.

    • rejected:expired— Le défi ou l'CAPTCHAhorodatage du jeton a expiré, conformément aux durées d'immunité des jetons configurées sur votre site WebACL.

    • rejected:domain_mismatch— Le domaine du jeton ne correspond pas à la configuration du domaine ACL du jeton de votre site Web.

    • rejected:invalid – AWS WAF Impossible de lire le jeton indiqué.

    Exemple : les awswaf:managed:captcha:rejected libellés awswaf:managed:captcha:rejected:expired indiquent que la demande a été rejetée parce que l'CAPTCHAhorodatage du jeton a dépassé le délai d'immunité du CAPTCHA jeton configuré sur le Web. ACL

  • absent— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire.

    Exemple : L'étiquette awswaf:managed:captcha:absent indique que la demande ne contient pas le jeton.

Étiquettes Bot Control

Le groupe de règles géré par Bot Control génère des étiquettes avec le préfixe d'espace de noms awswaf:managed:aws:bot-control: suivi de l'espace de noms personnalisé et du nom de l'étiquette. Le groupe de règles peut ajouter plusieurs libellés à une demande.

Chaque étiquette reflète les conclusions de la règle Bot Control :

  • awswaf:managed:aws:bot-control:bot:— Informations sur le bot associé à la demande.

    • awswaf:managed:aws:bot-control:bot:name:<name>— Le nom du bot, s'il est disponible, par exemple, les espaces de noms personnalisés bot:name:slurpbot:name:googlebot, etbot:name:pocket_parser.

    • awswaf:managed:aws:bot-control:bot:category:<category>— La catégorie du bot, telle que définie par AWS WAF, par exemple, bot:category:search_engine etbot:category:content_fetcher.

    • awswaf:managed:aws:bot-control:bot:organization:<organization>— L'éditeur du bot, par exemple,bot:organization:google.

    • awswaf:managed:aws:bot-control:bot:verified— Utilisé pour indiquer un bot qui s'identifie et que Bot Control a pu vérifier. Ceci est utilisé pour les robots les plus courants et peut être utile lorsqu'il est combiné avec des étiquettes de catégorie bot:category:search_engine ou des étiquettes de nom telles quebot:name:googlebot.

      Note

      Bot Control utilise l'adresse IP de l'origine de la requête Web pour déterminer si un bot est vérifié. Vous ne pouvez pas le configurer pour utiliser AWS WAF configuration IP transférée, pour inspecter une autre source d'adresse IP. Si vous avez vérifié que des robots sont acheminés via un proxy ou un équilibreur de charge, vous pouvez ajouter une règle qui s'exécute avant le groupe de règles Bot Control pour vous aider. Configurez votre nouvelle règle pour utiliser l'adresse IP transférée et autoriser explicitement les demandes provenant des robots vérifiés. Pour plus d'informations sur l'utilisation des adresses IP transférées, consultezUtilisation des adresses IP transférées dans AWS WAF.

    • awswaf:managed:aws:bot-control:bot:user_triggered:verified— Utilisé pour indiquer un bot similaire à un bot vérifié, mais qui peut être directement invoqué par les utilisateurs finaux. Cette catégorie de bot est traitée par les règles du Bot Control comme un bot non vérifié.

    • awswaf:managed:aws:bot-control:bot:developer_platform:verified— Utilisé pour indiquer un bot similaire à un bot vérifié, mais utilisé par les plateformes de développement pour la création de scripts, par exemple Google Apps Script. Cette catégorie de bot est traitée par les règles du Bot Control comme un bot non vérifié.

    • awswaf:managed:aws:bot-control:bot:unverified— Utilisé pour indiquer un bot qui s'identifie, afin qu'il puisse être nommé et classé, mais qui ne publie pas d'informations pouvant être utilisées pour vérifier son identité de manière indépendante. Ces types de signatures de robots peuvent être falsifiés et sont donc considérés comme non vérifiés.

  • awswaf:managed:aws:bot-control:targeted:<additional-details> — Utilisé pour les étiquettes spécifiques aux protections ciblées Bot Control.

  • awswaf:managed:aws:bot-control:signal:<signal-details>et awswaf:managed:aws:bot-control:targeted:signal:<signal-details> — Utilisé pour fournir des informations supplémentaires sur la demande dans certaines situations.

    Vous trouverez ci-dessous des exemples d'étiquettes de signal. Cette liste n'est pas exhaustive :

    • awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>— Indique un fournisseur de services cloud (CSP) pour la demande. Cela CSPs inclut aws l'infrastructure Amazon Web Services, gcp l'infrastructure Google Cloud Platform (GCP), azure les services cloud Microsoft Azure et oracle les services Oracle Cloud.

    • awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension— Indique la détection d'une extension de navigateur qui facilite l'automatisation, telle que SeleniumIDE.

      Cette étiquette est ajoutée chaque fois qu'un utilisateur a installé ce type d'extension, même s'il ne l'utilise pas activement. Si vous implémentez une règle de correspondance des libellés à cet effet, soyez conscient de la possibilité de faux positifs dans la logique de la règle et dans les paramètres d'action. Par exemple, vous pouvez utiliser CAPTCHA action au lieu de Block ou vous pouvez combiner cette correspondance d'étiquettes avec d'autres correspondances d'étiquettes, afin de vous assurer que l'automatisation est utilisée.

    • awswaf:managed:aws:bot-control:signal:automated_browser— Indique que la demande contient des indicateurs indiquant que le navigateur client est peut-être automatisé.

    • awswaf:managed:aws:bot-control:targeted:signal:automated_browser— Indique que la demande AWS WAF le jeton contient des indicateurs indiquant que le navigateur client est peut-être automatisé.

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via le API en appelantDescribeManagedRuleGroup. Les étiquettes sont répertoriées dans la AvailableLabels propriété de la réponse.

Le groupe de règles géré par Bot Control applique des étiquettes à un ensemble de robots vérifiables généralement autorisés. Le groupe de règles ne bloque pas ces robots vérifiés. Si vous le souhaitez, vous pouvez les bloquer, ou un sous-ensemble d'entre eux, en écrivant une règle personnalisée qui utilise les étiquettes appliquées par le groupe de règles géré par Bot Control. Pour plus d'informations à ce sujet et pour des exemples, consultezProtégez vos applications contre les robots grâce à AWS WAF Contrôle des robots.

Liste des règles de contrôle des bots

Cette section répertorie les règles de contrôle des robots.

Note

Les informations que nous publions concernant les règles dans le AWS Les groupes de règles gérées sont conçus pour vous fournir suffisamment d'informations pour utiliser les règles sans fournir d'informations que des acteurs malveillants pourraient utiliser pour contourner les règles. Si vous avez besoin de plus d'informations que celles que vous trouverez dans cette documentation, contactez le AWS Support Centre.

Nom de la règle Description
CategoryAdvertising

Inspecte les robots utilisés à des fins publicitaires. Par exemple, vous pouvez utiliser des services publicitaires tiers qui doivent accéder par programmation à votre site Web.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:advertising et awswaf:managed:aws:bot-control:CategoryAdvertising

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryArchiver

Inspecte les robots utilisés à des fins d'archivage. Ces robots explorent le Web et capturent du contenu dans le but de créer des archives.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:archiver et awswaf:managed:aws:bot-control:CategoryArchiver

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryContentFetcher

Détecte les robots qui visitent le site Web de l'application pour le compte d'un utilisateur, pour récupérer du contenu tel que des RSS flux ou pour vérifier ou valider votre contenu.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:content_fetcher et awswaf:managed:aws:bot-control:CategoryContentFetcher

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryEmailClient

Détecte les robots qui vérifient les liens contenus dans les e-mails pointant vers le site Web de l'application. Cela peut inclure des robots gérés par des entreprises et des fournisseurs de messagerie, pour vérifier les liens contenus dans les e-mails et signaler les e-mails suspects.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:email_client et awswaf:managed:aws:bot-control:CategoryEmailClient

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryHttpLibrary

Inspecte les requêtes générées par des robots à partir des HTTP bibliothèques de différents langages de programmation. Il peut s'agir de API demandes que vous choisissez d'autoriser ou de contrôler.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:http_library et awswaf:managed:aws:bot-control:CategoryHttpLibrary

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryLinkChecker

Détecte les robots qui vérifient la présence de liens rompus.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:link_checker et awswaf:managed:aws:bot-control:CategoryLinkChecker

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryMiscellaneous

Inspecte les robots divers qui ne correspondent pas aux autres catégories.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:miscellaneous et awswaf:managed:aws:bot-control:CategoryMiscellaneous

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryMonitoring

Inspecte les robots utilisés à des fins de surveillance. Par exemple, vous pouvez utiliser des services de surveillance de bots qui envoient régulièrement des requêtes ping au site Web de votre application pour surveiller des éléments tels que les performances et le temps de disponibilité.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:monitoring et awswaf:managed:aws:bot-control:CategoryMonitoring

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryScrapingFramework

Inspecte les robots à partir des frameworks de scraping Web, qui sont utilisés pour automatiser l'exploration et l'extraction du contenu des sites Web.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:scraping_framework et awswaf:managed:aws:bot-control:CategoryScrapingFramework

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategorySearchEngine

Inspecte les robots des moteurs de recherche, qui explorent les sites Web pour indexer le contenu et rendre les informations disponibles pour les résultats des moteurs de recherche.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:search_engine et awswaf:managed:aws:bot-control:CategorySearchEngine

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategorySecurity

Détecte les robots qui analysent les applications Web à la recherche de vulnérabilités ou qui effectuent des audits de sécurité. Par exemple, vous pouvez faire appel à un fournisseur de sécurité tiers qui analyse, surveille ou audite la sécurité de votre application Web.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:security et awswaf:managed:aws:bot-control:CategorySecurity

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategorySeo

Inspecte les robots utilisés pour l'optimisation des moteurs de recherche. Par exemple, vous pouvez utiliser des outils de moteur de recherche qui explorent votre site pour vous aider à améliorer votre classement dans les moteurs de recherche.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:seo et awswaf:managed:aws:bot-control:CategorySeo

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategorySocialMedia

Détecte les robots utilisés par les plateformes de réseaux sociaux pour fournir des résumés de contenu lorsque les utilisateurs partagent votre contenu.

Action de règle, appliquée uniquement aux robots non vérifiés : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:social_media et awswaf:managed:aws:bot-control:CategorySocialMedia

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'entreprend aucune action, mais il ajoute le nom du bot et l'étiquette de catégorie, ainsi que l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

CategoryAI

Inspecte les robots dotés d'intelligence artificielle (IA).

Note

Cette règle applique l'action à tous les matchs, que les robots soient vérifiés ou non.

Action relative à la règle : Block

Étiquettes : awswaf:managed:aws:bot-control:bot:category:ai et awswaf:managed:aws:bot-control:CategoryAI

Pour les robots vérifiés, le groupe de règles correspond à cette règle et exécute une action. Il ajoute également le nom du bot et l'étiquetage des catégories, l'étiquetage des règles et l'étiquetteawswaf:managed:aws:bot-control:bot:verified.

SignalAutomatedBrowser

Inspecte les demandes qui ne proviennent pas de robots vérifiés pour détecter des indicateurs indiquant que le navigateur du client pourrait être automatisé. Les navigateurs automatisés peuvent être utilisés pour les tests ou le scraping. Par exemple, vous pouvez utiliser ces types de navigateurs pour surveiller ou vérifier le site Web de votre application.

Action relative à la règle : Block

Étiquettes : awswaf:managed:aws:bot-control:signal:automated_browser et awswaf:managed:aws:bot-control:SignalAutomatedBrowser

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.

SignalKnownBotDataCenter

Inspecte les demandes qui ne proviennent pas de robots vérifiés à la recherche d'indicateurs de centres de données généralement utilisés par des robots.

Action relative à la règle : Block

Étiquettes : awswaf:managed:aws:bot-control:signal:known_bot_data_center et awswaf:managed:aws:bot-control:SignalKnownBotDataCenter

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.

SignalNonBrowserUserAgent

Inspecte les requêtes qui ne proviennent pas de robots vérifiés pour détecter les chaînes d'agent utilisateur qui ne semblent pas provenir d'un navigateur Web. Cette catégorie peut inclure des API demandes.

Action relative à la règle : Block

Étiquettes : awswaf:managed:aws:bot-control:signal:non_browser_user_agent et awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent

Pour les robots vérifiés, le groupe de règles ne correspond pas à cette règle et n'applique aucun signal ou étiquette de règle.

TGT_VolumetricIpTokenAbsent

Inspecte les demandes qui ne proviennent pas de robots vérifiés et qui ont reçu au moins 5 demandes d'un seul client au cours des 5 dernières minutes et qui n'incluent pas de jeton de défi valide. Pour plus d'informations sur les jetons, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Note

Il est possible que cette règle corresponde à une demande contenant un jeton si des jetons ont récemment été manquants dans les demandes du même client.

Le seuil appliqué par cette règle peut varier légèrement en raison de la latence.

Cette règle gère les jetons manquants différemment de l'étiquetage des jetons :awswaf:managed:token:absent. L'étiquetage des jetons permet d'étiqueter les demandes individuelles pour lesquelles il n'y a pas de jeton. Cette règle tient à jour le nombre de demandes dont le jeton est manquant pour chaque adresse IP du client, et elle le compare aux demandes dont le jeton dépasse la limite.

Action relative à la règle : Challenge

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent et awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent

TGT_TokenAbsent

Inspecte les demandes qui ne proviennent pas de robots vérifiés qui n'incluent pas de jeton de défi valide. Pour plus d'informations sur les jetons, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Action relative à la règle : Count

Étiquettes : awswaf:managed:aws:bot-control:TGT_TokenAbsent

TGT_VolumetricSession

Détecte un nombre anormalement élevé de demandes ne provenant pas de robots vérifiés et provenant d'une seule session client dans une fenêtre de 5 minutes. L'évaluation est basée sur une comparaison avec des lignes de base volumétriques standard qui AWS WAF maintient l'utilisation des modèles de trafic historiques.

Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions des règles CAPTCHA and Challenge. Pour plus d'informations, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Note

L'entrée en vigueur de cette règle peut prendre 5 minutes après son activation. Bot Control identifie les comportements anormaux dans votre trafic Web en comparant le trafic actuel aux bases de trafic qui AWS WAF calcule.

Action relative à la règle : CAPTCHA

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high et awswaf:managed:aws:bot-control:TGT_VolumetricSession

Le groupe de règles applique les libellés suivants aux demandes de volume moyen et inférieur supérieures à un seuil minimum. Pour ces niveaux, la règle ne prend aucune action, que le client soit vérifié ou non : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium etawswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low.

TGT_VolumetricSessionMaximum

Détecte un nombre anormalement élevé de demandes ne provenant pas de robots vérifiés et provenant d'une seule session client dans une fenêtre de 5 minutes. L'évaluation est basée sur une comparaison avec des lignes de base volumétriques standard qui AWS WAF maintient l'utilisation des modèles de trafic historiques.

Cette règle indique le niveau de confiance maximal dans l'évaluation.

Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions des règles CAPTCHA and Challenge. Pour plus d'informations, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Note

L'entrée en vigueur de cette règle peut prendre 5 minutes après son activation. Bot Control identifie les comportements anormaux dans votre trafic Web en comparant le trafic actuel aux bases de trafic qui AWS WAF calcule.

Action relative à la règle : Block

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum et awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum

TGT_SignalAutomatedBrowser

Inspecte les jetons des demandes qui ne proviennent pas de robots vérifiés pour détecter des indicateurs indiquant que le navigateur du client pourrait être automatisé. Pour de plus amples informations, veuillez consulter AWS WAF caractéristiques du jeton.

Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions des règles CAPTCHA and Challenge. Pour plus d'informations, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Action relative à la règle : CAPTCHA

Étiquettes : awswaf:managed:aws:bot-control:targeted:signal:automated_browser et awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser

TGT_SignalBrowserAutomationExtension

Inspecte les demandes qui ne proviennent pas de robots vérifiés et qui indiquent la présence d'une extension de navigateur facilitant l'automatisation, telle que IDE Selenium. Cette règle s'applique chaque fois qu'un utilisateur a installé ce type d'extension, même s'il ne l'utilise pas activement.

Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions des règles CAPTCHA and Challenge. Pour plus d'informations, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Action relative à la règle : CAPTCHA

Étiquettes : awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension et awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension

TGT_SignalBrowserInconsistency

Inspecte les requêtes qui ne proviennent pas de robots vérifiés pour détecter toute incohérence dans les données d'interrogation du navigateur. Pour de plus amples informations, veuillez consulter AWS WAF caractéristiques du jeton.

Cette inspection ne s'applique que lorsque la requête Web contient un jeton. Les jetons sont ajoutés aux demandes par l'intégration de l'application SDKs et par les actions des règles CAPTCHA and Challenge. Pour plus d'informations, consultezUtilisation de jetons sur des requêtes Web dans AWS WAF.

Action relative à la règle : CAPTCHA

Étiquettes : awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency et awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency

TGT_ML_CoordinatedActivityLow, TGT_ML_CoordinatedActivityMedium, TGT_ML_CoordinatedActivityHigh

Inspecte les demandes qui ne proviennent pas de robots vérifiés pour détecter tout comportement anormal correspondant à une activité distribuée et coordonnée des robots. Les niveaux de règles indiquent le niveau de confiance selon lequel un groupe de demandes participe à une attaque coordonnée.

Note

Ces règles ne s'exécutent que si le groupe de règles est configuré pour utiliser l'apprentissage automatique (ML). Pour plus d'informations sur la configuration de ce choix, consultezAjouter le AWS WAF Groupe de règles géré par Bot Control sur votre site Web ACL.

Note

Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.

AWS WAF effectue cette inspection par le biais d'une analyse par apprentissage automatique des statistiques de trafic du site Web. AWS WAF analyse le trafic Web toutes les quelques minutes et optimise l'analyse pour détecter les robots de faible intensité et de longue durée répartis sur de nombreuses adresses IP.

Ces règles peuvent correspondre sur un très petit nombre de demandes avant de déterminer qu'une attaque coordonnée n'est pas en cours. Donc, si vous ne voyez qu'une ou deux correspondances, les résultats peuvent être des faux positifs. Cependant, si vous voyez de nombreux matchs échapper à ces règles, vous êtes probablement victime d'une attaque coordonnée.

Note

Ces règles peuvent prendre jusqu'à 24 heures pour entrer en vigueur une fois que vous avez activé les règles ciblées Bot Control avec l'option ML. Bot Control identifie les comportements anormaux dans votre trafic Web en comparant le trafic actuel aux bases de trafic qui AWS WAF a calculé. AWS WAF calcule les lignes de base uniquement lorsque vous utilisez les règles ciblées Bot Control avec l'option ML, et l'établissement de bases de référence significatives peut prendre jusqu'à 24 heures.

Nous mettons régulièrement à jour nos modèles d'apprentissage automatique en fonction de ces règles, afin d'améliorer les prédictions des robots. Si vous remarquez un changement soudain et substantiel dans les prédictions des robots établies par ces règles, contactez votre responsable de compte ou ouvrez un dossier à l'adresse AWS Support Centre.

Actions relatives aux règles :

  • Faible : Challenge

  • Moyen : Challenge

  • Haut : Block

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low|medium|high et awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow|Medium|High

TGT_TokenReuseIpLow, TGT_TokenReuseIpMedium, TGT_TokenReuseIpHigh

Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton parmi plusieurs IPs au cours des 5 dernières minutes. Chaque niveau est limité au nombre de joueurs distincts IPs :

  • Faible : plus de 3

  • Moyen : plus de 4

  • Haut : plus de 8

Note

Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.

Actions relatives aux règles :

  • Faible : Count

  • Moyen : CAPTCHA

  • Haut : Block

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low|medium|high et awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow|Medium|High

TGT_TokenReuseCountryLow, TGT_TokenReuseCountryMedium, TGT_TokenReuseCountryHigh

Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton dans plusieurs pays au cours des 5 dernières minutes. Chaque niveau limite le nombre de pays distincts :

  • Faible : plus de 1

  • Moyen : plus de 2

  • Haut : plus de 3

Note

Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.

Actions relatives aux règles :

  • Faible : Count

  • Moyen : CAPTCHA

  • Haut : Block

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low|medium|high et awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow|Medium|High

TGT_TokenReuseAsnLow, TGT_TokenReuseAsnMedium, TGT_TokenReuseAsnHigh

Inspecte les demandes qui ne proviennent pas de robots vérifiés concernant l'utilisation d'un seul jeton sur plusieurs numéros de systèmes autonomes réseau (ASNs) au cours des 5 dernières minutes. Chaque niveau est limité au nombre de joueurs distincts ASNs :

  • Faible : plus de 1

  • Moyen : plus de 2

  • Haut : plus de 3

Note

Les seuils appliqués par ces règles peuvent varier légèrement en raison de la latence. Quelques demandes peuvent dépasser la limite avant que l'action de la règle ne soit appliquée.

Actions relatives aux règles :

  • Faible : Count

  • Moyen : CAPTCHA

  • Haut : Block

Étiquettes : awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low|medium|high et awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow|Medium|High