Ajouter le groupe de règles géré par l'ACFP à votre ACL Web - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter le groupe de règles géré par l'ACFP à votre ACL Web

Pour configurer le groupe de règles géré par l'ACFP afin de reconnaître les activités frauduleuses liées à la création de compte dans votre trafic Web, vous fournissez des informations sur la manière dont les clients accèdent à votre page d'inscription et envoient des demandes de création de compte à votre application. Pour les CloudFront distributions Amazon protégées, vous fournissez également des informations sur la manière dont votre application répond aux demandes de création de compte. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré.

Pour la description du groupe de règles et la liste des règles, voirAWS WAF Groupe de règles de prévention des fraudes (ACFP) pour la création de comptes et la prévention des fraudes.

Note

La base de données d'identification volées de l'ACFP ne contient que des noms d'utilisateur au format e-mail.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur la façon d'ajouter un groupe de règles géré à votre ACL Web, consultezAjout d'un groupe de règles géré à une ACL Web via la console.

Suivez les meilleures pratiques

Utilisez le groupe de règles ACFP conformément aux meilleures pratiques deMeilleures pratiques pour une atténuation intelligente des menaces.

Pour utiliser le groupe de AWSManagedRulesACFPRuleSet règles dans votre ACL Web

  1. Ajoutez le groupe de règles AWS géré AWSManagedRulesACFPRuleSet à votre ACL Web et modifiez les paramètres du groupe de règles avant de l'enregistrer.

    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

  2. Dans le volet de configuration du groupe de règles, fournissez les informations que le groupe de règles ACFP utilise pour inspecter les demandes de création de compte.

    1. Pour Utiliser une expression régulière dans les chemins, activez cette option si vous souhaitez effectuer une correspondance AWS WAF d'expressions régulières pour les spécifications du chemin de page d'enregistrement et de création de compte.

      AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, libpcre à quelques exceptions près. La bibliothèque est documentée sur PCRE - Perl Compatible Regular Expressions. Pour plus d'informations sur AWS WAF le support, consultezModèle d'expression régulière correspondant dans AWS WAF.

    2. Pour le chemin de la page d'enregistrement, indiquez le chemin du point de terminaison de la page d'enregistrement de votre application. Cette page doit accepter les requêtes GET texte/html. Le groupe de règles inspecte uniquement les requêtes HTTP GET text/html adressées au point de terminaison de la page d'enregistrement que vous avez spécifiée.

      Note

      La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur(?-i), qui désactive la mise en correspondance indifférenciée des majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique/.

      Par exemple, pour l'URLhttps://example.com/web/registration, vous pouvez fournir la spécification du chemin de chaîne/web/registration. Les chemins de page d'inscription qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple, /web/registration correspond aux chemins d'enregistrement /web/registration /web/registration//web/registrationPage,, et/web/registration/thisPage, mais ne correspond pas au chemin /home/web/registration ou/website/registration.

      Note

      Assurez-vous que vos utilisateurs finaux chargent la page d'inscription avant de soumettre une demande de création de compte. Cela permet de garantir que les demandes de création de compte émanant du client incluent des jetons valides.

    3. Pour le chemin de création du compte, indiquez l'URI de votre site Web qui accepte les informations des nouveaux utilisateurs complétées. Cet URI doit accepter les POST demandes.

      Note

      La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur(?-i), qui désactive la mise en correspondance indifférenciée des majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique/.

      Par exemple, pour l'URLhttps://example.com/web/newaccount, vous pouvez fournir la spécification du chemin de chaîne/web/newaccount. Les chemins de création de compte qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple, /web/newaccount correspond aux chemins de création de compte /web/newaccount /web/newaccount//web/newaccountPage,, et/web/newaccount/thisPage, mais ne correspond pas au chemin /home/web/newaccount ou/website/newaccount.

    4. Pour l'inspection des demandes, spécifiez comment votre application accepte les tentatives de création de compte en fournissant le type de charge utile de la demande et les noms des champs du corps de la demande dans lesquels le nom d'utilisateur, le mot de passe et les autres informations de création de compte sont fournis.

      Note

      Pour les champs d'adresse principale et de numéro de téléphone, indiquez les champs dans l'ordre dans lequel ils apparaissent dans la charge utile de la demande.

      La spécification des noms de champs dépend du type de charge utile.

      • Type de charge utile JSON — Spécifiez les noms des champs dans la syntaxe du pointeur JSON. Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur JSON (JavaScriptObject Notation) de l'Internet Engineering Task Force (IETF).

        Par exemple, pour l'exemple de charge utile JSON suivant, la spécification du champ du nom d'utilisateur est /signupform/username et les spécifications du champ d'adresse principal sont /signupform/addrp1/signupform/addrp2, et/signupform/addrp3.

        {
    "signupform": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD",
        "addrp1": "PRIMARY_ADDRESS_LINE_1",
        "addrp2": "PRIMARY_ADDRESS_LINE_2",
        "addrp3": "PRIMARY_ADDRESS_LINE_3",
        "phonepcode": "PRIMARY_PHONE_CODE",
        "phonepnumber": "PRIMARY_PHONE_NUMBER"
    }
}

      • Type de charge utile FORM_ENCODED — Utilisez les noms des formulaires HTML.

        Par exemple, pour un formulaire HTML dont les éléments de saisie d'utilisateur et de mot de passe sont nommés username1 etpassword1, la spécification du champ du nom d'utilisateur est username1 et celle du champ du mot de passe estpassword1.

    5. Si vous protégez des CloudFront distributions Amazon, dans la section Inspection des réponses, précisez comment votre application indique le succès ou l'échec de ses réponses aux tentatives de création de compte.

      Note

      L'inspection des réponses ACFP n'est disponible que dans les ACL Web qui protègent CloudFront les distributions.

      Spécifiez un seul composant dans la réponse de création de compte que vous souhaitez que l'ACFP inspecte. Pour les types de composants Body et JSON, AWS WAF vous pouvez inspecter les 65 536 premiers octets (64 Ko) du composant.

      Indiquez vos critères d'inspection pour le type de composant, comme indiqué par l'interface. Vous devez fournir des critères de réussite et d'échec à inspecter dans le composant.

      Supposons, par exemple, que votre application indique le statut d'une tentative de création de compte dans le code d'état de la réponse et qu'200 OKelle indique le succès 401 Unauthorized et/ou 403 Forbidden l'échec. Vous devez définir le type de composant d'inspection des réponses sur Code d'état, puis dans la zone de texte Succès, entrez 200 et dans la zone de texte Échec, entrez 401 sur la première ligne et 403 sur la seconde.

      Le groupe de règles ACFP ne compte que les réponses correspondant à vos critères de réussite ou d'échec de l'inspection. Les règles des groupes de règles agissent sur les clients lorsque leur taux de réussite est trop élevé parmi les réponses prises en compte, afin de limiter les tentatives de création de comptes en masse. Pour respecter correctement les règles du groupe de règles, veillez à fournir des informations complètes sur les tentatives de création de compte réussies et infructueuses.

      Pour voir les règles qui contrôlent les réponses relatives à la création de comptes, recherchez VolumetricIPSuccessfulResponse et VolumetricSessionSuccessfulResponse dans la liste des règles à l'adresseAWS WAF Groupe de règles de prévention des fraudes (ACFP) pour la création de comptes et la prévention des fraudes.

  3. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles.

    Vous pouvez limiter davantage l'étendue des demandes inspectées par le groupe de règles en ajoutant une instruction scope-down à l'instruction du groupe de règles géré. Par exemple, vous ne pouvez inspecter que les demandes contenant un argument de requête ou un cookie spécifique. Le groupe de règles inspectera uniquement les demandes qui répondent aux critères de votre déclaration de délimitation et qui sont envoyées aux chemins d'enregistrement et de création de compte que vous avez spécifiés dans la configuration du groupe de règles. Pour plus d'informations sur les instructions de portée réduite, consultez. Déclarations de portée réduite

  4. Enregistrez les modifications apportées à l'ACL Web.

Avant de déployer votre implémentation ACFP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils.