Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Ajouter le groupe de règles géré par ATP à votre ACL Web
Pour configurer le groupe de règles géré par ATP afin de reconnaître les activités de prise de contrôle de compte dans votre trafic Web, vous fournissez des informations sur la manière dont les clients envoient des demandes de connexion à votre application. Pour les CloudFront distributions Amazon protégées, vous fournissez également des informations sur la manière dont votre application répond aux demandes de connexion. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré.
Pour la description du groupe de règles et la liste des règles, voirAWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP).
Note
La base de données d'identification volées ATP ne contient que des noms d'utilisateur au format e-mail.
Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur la façon d'ajouter un groupe de règles géré à votre ACL Web, consultezAjout d'un groupe de règles géré à une ACL Web via la console.
Suivez les meilleures pratiques
Utilisez le groupe de règles ATP conformément aux meilleures pratiques deMeilleures pratiques pour une atténuation intelligente des menaces.
Pour utiliser le groupe de AWSManagedRulesATPRuleSet
règles dans votre ACL Web
-
Ajoutez le groupe de règles AWS géré
AWSManagedRulesATPRuleSet
à votre ACL Web et modifiez les paramètres du groupe de règles avant de l'enregistrer.Note
Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF
. Dans le volet de configuration du groupe de règles, fournissez les informations que le groupe de règles ATP utilise pour inspecter les demandes de connexion.
-
Pour Utiliser une expression régulière dans les chemins, activez cette option si vous souhaitez effectuer une correspondance AWS WAF d'expressions régulières pour les spécifications du chemin de votre page de connexion.
AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE,
libpcre
à quelques exceptions près. La bibliothèque est documentée sur PCRE - Perl Compatible Regular Expressions. Pour plus d'informations sur AWS WAF le support, consultezModèle d'expression régulière correspondant dans AWS WAF. -
Pour le chemin de connexion, indiquez le chemin du point de terminaison de connexion de votre application. Le groupe de règles inspecte uniquement les
POST
requêtes HTTP adressées au point de connexion que vous avez spécifié.Note
La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur
(?-i)
, qui désactive la mise en correspondance insensible aux majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique/
.Par exemple, pour l'URL
https://example.com/web/login
, vous pouvez fournir la spécification du chemin de chaîne/web/login
. Les chemins de connexion qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple,/web/login
correspond aux chemins de connexion/web/login
/web/login/
,/web/loginPage
, et/web/login/thisPage
, mais ne correspond pas au chemin de connexion/home/web/login
ou/website/login
. -
Pour l'inspection des demandes, spécifiez comment votre application accepte les tentatives de connexion en fournissant le type de charge utile de la demande et les noms des champs du corps de la demande où le nom d'utilisateur et le mot de passe sont fournis. La spécification des noms de champs dépend du type de charge utile.
-
Type de charge utile JSON — Spécifiez les noms des champs dans la syntaxe du pointeur JSON. Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur JSON (JavaScriptObject Notation) de l'Internet Engineering Task Force (IETF)
. Par exemple, pour l'exemple de charge utile JSON suivant, la spécification du champ du nom d'utilisateur est
/login/username
et la spécification du champ du mot de passe est/login/password
.{ "login": { "username": "THE_USERNAME", "password": "THE_PASSWORD" } }
-
Type de charge utile FORM_ENCODED — Utilisez les noms des formulaires HTML.
Par exemple, pour un formulaire HTML dont les éléments d'entrée sont nommés
username1
etpassword1
, la spécification du champ du nom d'utilisateur estusername1
et celle du champ du mot de passe estpassword1
.
-
-
Si vous protégez des CloudFront distributions Amazon, dans la section Inspection des réponses, spécifiez comment votre application indique le succès ou l'échec dans ses réponses aux tentatives de connexion.
Note
L'inspection des réponses ATP n'est disponible que dans les ACL Web qui protègent les CloudFront distributions.
Spécifiez un seul composant dans la réponse de connexion que vous souhaitez qu'ATP inspecte. Pour les types de composants Body et JSON, AWS WAF vous pouvez inspecter les 65 536 premiers octets (64 Ko) du composant.
Indiquez vos critères d'inspection pour le type de composant, comme indiqué par l'interface. Vous devez fournir des critères de réussite et d'échec à inspecter dans le composant.
Supposons, par exemple, que votre application indique l'état d'une tentative de connexion dans le code d'état de la réponse, et qu'elle l'utilise
200 OK
en cas de réussite401 Unauthorized
et/ou403 Forbidden
d'échec. Vous devez définir le type de composant d'inspection des réponses sur Code d'état, puis dans la zone de texte Succès, entrez200
et dans la zone de texte Échec, entrez401
sur la première ligne et403
sur la seconde.Le groupe de règles ATP ne compte que les réponses correspondant à vos critères de réussite ou d'échec de l'inspection. Les règles du groupe de règles agissent sur les clients alors que leur taux d'échec est trop élevé parmi les réponses prises en compte. Pour que les règles du groupe de règles se comportent correctement, veillez à fournir des informations complètes sur les tentatives de connexion réussies et échouées.
Pour voir les règles qui inspectent les réponses de connexion, recherchez
VolumetricIpFailedLoginResponseHigh
etVolumetricSessionFailedLoginResponseHigh
dans la liste des règles à l'adresseAWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP).
-
-
Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles.
Vous pouvez limiter davantage l'étendue des demandes inspectées par le groupe de règles en ajoutant une instruction scope-down à l'instruction du groupe de règles géré. Par exemple, vous ne pouvez inspecter que les demandes contenant un argument de requête ou un cookie spécifique. Le groupe de règles inspectera uniquement les
POST
requêtes HTTP adressées au point de connexion que vous avez spécifié et qui répondent aux critères de votre instruction scope-down. Pour plus d'informations sur les instructions de portée réduite, voir. Déclarations de portée réduite -
Enregistrez les modifications apportées à l'ACL Web.
Avant de déployer votre implémentation ATP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils.