Ajouter le groupe de règles géré par ATP à votre ACL Web - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajouter le groupe de règles géré par ATP à votre ACL Web

Pour configurer le groupe de règles géré par ATP afin de reconnaître les activités de prise de contrôle de compte dans votre trafic Web, vous fournissez des informations sur la manière dont les clients envoient des demandes de connexion à votre application. Pour les CloudFront distributions Amazon protégées, vous fournissez également des informations sur la manière dont votre application répond aux demandes de connexion. Cette configuration s'ajoute à la configuration normale d'un groupe de règles géré.

Pour la description du groupe de règles et la liste des règles, voirAWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP).

Note

La base de données d'identification volées ATP ne contient que des noms d'utilisateur au format e-mail.

Ce guide est destiné aux utilisateurs qui savent généralement comment créer et gérer des ACL, des règles et des groupes de règles AWS WAF Web. Ces sujets sont abordés dans les sections précédentes de ce guide. Pour obtenir des informations de base sur la façon d'ajouter un groupe de règles géré à votre ACL Web, consultezAjout d'un groupe de règles géré à une ACL Web via la console.

Suivez les meilleures pratiques

Utilisez le groupe de règles ATP conformément aux meilleures pratiques deMeilleures pratiques pour une atténuation intelligente des menaces.

Pour utiliser le groupe de AWSManagedRulesATPRuleSet règles dans votre ACL Web

  1. Ajoutez le groupe de règles AWS géré AWSManagedRulesATPRuleSet à votre ACL Web et modifiez les paramètres du groupe de règles avant de l'enregistrer.

    Note

    Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

  2. Dans le volet de configuration du groupe de règles, fournissez les informations que le groupe de règles ATP utilise pour inspecter les demandes de connexion.

    1. Pour Utiliser une expression régulière dans les chemins, activez cette option si vous souhaitez effectuer une correspondance AWS WAF d'expressions régulières pour les spécifications du chemin de votre page de connexion.

      AWS WAF prend en charge la syntaxe des modèles utilisée par la bibliothèque PCRE, libpcre à quelques exceptions près. La bibliothèque est documentée sur PCRE - Perl Compatible Regular Expressions. Pour plus d'informations sur AWS WAF le support, consultezModèle d'expression régulière correspondant dans AWS WAF.

    2. Pour le chemin de connexion, indiquez le chemin du point de terminaison de connexion de votre application. Le groupe de règles inspecte uniquement les POST requêtes HTTP adressées au point de connexion que vous avez spécifié.

      Note

      La correspondance entre les points de terminaison ne fait pas la distinction majuscules/minuscules. Les spécifications Regex ne doivent pas contenir l'indicateur(?-i), qui désactive la mise en correspondance insensible aux majuscules et minuscules. Les spécifications de chaîne doivent commencer par une barre oblique/.

      Par exemple, pour l'URLhttps://example.com/web/login, vous pouvez fournir la spécification du chemin de chaîne/web/login. Les chemins de connexion qui commencent par le chemin que vous avez indiqué sont considérés comme correspondants. Par exemple, /web/login correspond aux chemins de connexion /web/login/web/login/,/web/loginPage, et/web/login/thisPage, mais ne correspond pas au chemin de connexion /home/web/login ou/website/login.

    3. Pour l'inspection des demandes, spécifiez comment votre application accepte les tentatives de connexion en fournissant le type de charge utile de la demande et les noms des champs du corps de la demande où le nom d'utilisateur et le mot de passe sont fournis. La spécification des noms de champs dépend du type de charge utile.

      • Type de charge utile JSON — Spécifiez les noms des champs dans la syntaxe du pointeur JSON. Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur JSON (JavaScriptObject Notation) de l'Internet Engineering Task Force (IETF).

        Par exemple, pour l'exemple de charge utile JSON suivant, la spécification du champ du nom d'utilisateur est /login/username et la spécification du champ du mot de passe est/login/password.

        {
    "login": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD"
    }
}

      • Type de charge utile FORM_ENCODED — Utilisez les noms des formulaires HTML.

        Par exemple, pour un formulaire HTML dont les éléments d'entrée sont nommés username1 etpassword1, la spécification du champ du nom d'utilisateur est username1 et celle du champ du mot de passe estpassword1.

    4. Si vous protégez des CloudFront distributions Amazon, dans la section Inspection des réponses, spécifiez comment votre application indique le succès ou l'échec dans ses réponses aux tentatives de connexion.

      Note

      L'inspection des réponses ATP n'est disponible que dans les ACL Web qui protègent les CloudFront distributions.

      Spécifiez un seul composant dans la réponse de connexion que vous souhaitez qu'ATP inspecte. Pour les types de composants Body et JSON, AWS WAF vous pouvez inspecter les 65 536 premiers octets (64 Ko) du composant.

      Indiquez vos critères d'inspection pour le type de composant, comme indiqué par l'interface. Vous devez fournir des critères de réussite et d'échec à inspecter dans le composant.

      Supposons, par exemple, que votre application indique l'état d'une tentative de connexion dans le code d'état de la réponse, et qu'elle l'utilise 200 OK en cas de réussite 401 Unauthorized et/ou 403 Forbidden d'échec. Vous devez définir le type de composant d'inspection des réponses sur Code d'état, puis dans la zone de texte Succès, entrez 200 et dans la zone de texte Échec, entrez 401 sur la première ligne et 403 sur la seconde.

      Le groupe de règles ATP ne compte que les réponses correspondant à vos critères de réussite ou d'échec de l'inspection. Les règles du groupe de règles agissent sur les clients alors que leur taux d'échec est trop élevé parmi les réponses prises en compte. Pour que les règles du groupe de règles se comportent correctement, veillez à fournir des informations complètes sur les tentatives de connexion réussies et échouées.

      Pour voir les règles qui inspectent les réponses de connexion, recherchez VolumetricIpFailedLoginResponseHigh et VolumetricSessionFailedLoginResponseHigh dans la liste des règles à l'adresseAWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP).

  3. Fournissez toute configuration supplémentaire que vous souhaitez pour le groupe de règles.

    Vous pouvez limiter davantage l'étendue des demandes inspectées par le groupe de règles en ajoutant une instruction scope-down à l'instruction du groupe de règles géré. Par exemple, vous ne pouvez inspecter que les demandes contenant un argument de requête ou un cookie spécifique. Le groupe de règles inspectera uniquement les POST requêtes HTTP adressées au point de connexion que vous avez spécifié et qui répondent aux critères de votre instruction scope-down. Pour plus d'informations sur les instructions de portée réduite, voir. Déclarations de portée réduite

  4. Enregistrez les modifications apportées à l'ACL Web.

Avant de déployer votre implémentation ATP pour le trafic de production, testez-la et ajustez-la dans un environnement intermédiaire ou de test jusqu'à ce que vous soyez à l'aise avec l'impact potentiel sur votre trafic. Testez et ajustez ensuite les règles en mode comptage avec votre trafic de production avant de les activer. Consultez la section qui suit pour obtenir des conseils.