Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS WAF Gruppo di regole per la prevenzione delle acquisizioni di conti Fraud Control (ATP)
Questa sezione spiega cos'è AWS WAF Funziona il gruppo di regole gestito per la prevenzione dell'acquisizione dell'account Fraud Control (ATP).
VendorName:AWS, Nome:AWSManagedRulesATPRuleSet
Il AWS WAF Fraud Control account takeover prevention (ATP) ha gestito il gruppo di regole, etichetta e gestisce le richieste che potrebbero far parte di tentativi malevoli di acquisizione dell'account. Il gruppo di regole esegue questa operazione esaminando i tentativi di accesso che i client inviano all'endpoint di accesso dell'applicazione.
Richiedi l'ispezione: ti ATP offre visibilità e controllo sui tentativi di accesso anomali e sui tentativi di accesso che utilizzano credenziali rubate, per prevenire acquisizioni di account che potrebbero portare ad attività fraudolente. ATPverifica le combinazioni di e-mail e password confrontandole con il database delle credenziali rubate, che viene aggiornato regolarmente man mano che vengono rilevate nuove credenziali trapelate sul dark web. ATPaggrega i dati per indirizzo IP e sessione client, per rilevare e bloccare i client che inviano troppe richieste di natura sospetta.
Ispezione delle risposte: per CloudFront le distribuzioni, oltre a controllare le richieste di accesso in entrata, il gruppo di ATP regole controlla le risposte dell'applicazione ai tentativi di accesso, per tenere traccia delle percentuali di successo e di fallimento. Utilizzando queste informazioni, è ATP possibile bloccare temporaneamente le sessioni client o gli indirizzi IP con troppi errori di accesso. AWS WAF esegue l'ispezione della risposta in modo asincrono, in modo da non aumentare la latenza del traffico web.
Considerazioni sull'utilizzo di questo gruppo di regole
Questo gruppo di regole richiede una configurazione specifica. Per configurare e implementare questo gruppo di regole, consulta la guida all'indirizzoPrevenzione dell'acquisizione dell'account con AWS WAF Fraud Control, prevenzione dell'acquisizione di account () ATP.
Questo gruppo di regole fa parte delle protezioni intelligenti per la mitigazione delle minacce di AWS WAF Per informazioni, consulta Implementazione della mitigazione intelligente delle minacce in AWS WAF.
Nota
Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consulta AWS WAF Prezzi
Per contenere i costi e assicurarti di gestire il traffico web come desideri, utilizza questo gruppo di regole in conformità con le indicazioni riportate inLe migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF.
Questo gruppo di regole non è disponibile per l'uso con i pool di utenti di Amazon Cognito. Non puoi associare un Web ACL che utilizza questo gruppo di regole a un pool di utenti e non puoi aggiungere questo gruppo di regole a un Web ACL già associato a un pool di utenti.
Etichette aggiunte da questo gruppo di regole
Questo gruppo di regole gestito aggiunge etichette alle richieste Web che valuta, che sono disponibili per le regole che seguono questo gruppo di regole nel Web. ACL AWS WAF registra anche le etichette in base ai CloudWatch parametri di Amazon. Per informazioni generali sulle etichette e sui parametri delle etichette, consulta Utilizzo delle etichette nelle richieste Web e. Metriche e dimensioni delle etichette
Etichette con token
Questo gruppo di regole utilizza AWS WAF gestione dei token per ispezionare ed etichettare le richieste Web in base allo stato delle relative AWS WAF gettoni. AWS WAF utilizza token per il monitoraggio e la verifica della sessione del cliente.
Per informazioni sui token e sulla gestione dei token, vedere. Utilizzo dei token nelle richieste Web in AWS WAF
Per informazioni sui componenti dell'etichetta descritti qui, vedereSintassi delle etichette e requisiti di denominazione in AWS WAF.
Etichetta della sessione del client
L'etichetta awswaf:managed:token:id: contiene un identificatore univoco che AWS WAF la gestione dei token utilizza per identificare la sessione client. L'identificatore può cambiare se il client acquisisce un nuovo token, ad esempio dopo aver scartato il token che stava utilizzando. identifier
Nota
AWS WAF non riporta i CloudWatch parametri Amazon per questa etichetta.
Etichette di stato dei token: etichetta i prefissi dello spazio dei nomi
Le etichette di stato dei token riportano lo stato del token e della sfida e le CAPTCHA informazioni in esso contenute.
Ogni etichetta di stato del token inizia con uno dei seguenti prefissi dello spazio dei nomi:
awswaf:managed:token:— Utilizzata per riportare lo stato generale del token e per riportare lo stato delle informazioni sulla sfida del token.awswaf:managed:captcha:— Utilizzato per riportare lo stato delle CAPTCHA informazioni del token.
Etichette di stato dei token: nomi delle etichette
Dopo il prefisso, il resto dell'etichetta fornisce informazioni dettagliate sullo stato del token:
accepted— Il token di richiesta è presente e contiene quanto segue:Una sfida o una CAPTCHA soluzione valida.
Una sfida o CAPTCHA un timestamp non scaduto.
Una specifica di dominio valida per il Web. ACL
Esempio: l'etichetta
awswaf:managed:token:acceptedindica che il token delle richieste Web ha una soluzione di sfida valida, un timestamp della sfida non scaduto e un dominio valido.-
rejected— Il token di richiesta è presente ma non soddisfa i criteri di accettazione.Oltre all'etichetta rifiutata, Token Management aggiunge uno spazio dei nomi e un nome personalizzati per indicare il motivo.
rejected:not_solved— Al token manca la sfida o CAPTCHA la soluzione.rejected:expired— La sfida o il CAPTCHA timestamp del token sono scaduti, in base ai tempi di immunità dei token configurati sul WebACL.rejected:domain_mismatch— Il dominio del token non corrisponde alla configurazione del dominio token ACL del tuo sito web.rejected:invalid– AWS WAF non è riuscito a leggere il token indicato.
Esempio:
awswaf:managed:captcha:rejectedle etichetteawswaf:managed:captcha:rejected:expiredindicano che la richiesta è stata rifiutata perché il CAPTCHA timestamp nel token ha superato il tempo di immunità del CAPTCHA token configurato nel Web. ACL -
absent— La richiesta non ha il token o il gestore del token non è riuscito a leggerlo.Esempio: l'etichetta
awswaf:managed:captcha:absentindica che la richiesta non ha il token.
ATPetichette
Il gruppo di regole ATP gestito genera etichette con il prefisso dello spazio dei nomi awswaf:managed:aws:atp: seguito dallo spazio dei nomi e dal nome dell'etichetta personalizzati.
Il gruppo di regole può aggiungere una delle seguenti etichette oltre alle etichette indicate nell'elenco delle regole:
-
awswaf:managed:aws:atp:signal:credential_compromised— Indica che le credenziali inviate nella richiesta si trovano nel database delle credenziali rubate. -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Disponibile solo per le CloudFront distribuzioni protette di Amazon. Indica che una sessione client ha inviato più richieste utilizzando un'impronta digitale sospettaTLS. -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— Indica l'uso di un singolo token tra più di 5 indirizzi IP distinti. Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che l'etichetta venga applicata.
È possibile recuperare tutte le etichette per un gruppo di regole tramite una chiamataDescribeManagedRuleGroup. API Le etichette sono elencate nella AvailableLabels proprietà nella risposta.
Elenco delle regole di prevenzione dell'acquisizione di account
Questa sezione elenca le ATP regole AWSManagedRulesATPRuleSet e le etichette che le regole del gruppo di regole aggiungono alle richieste web.
Nota
Le informazioni che pubblichiamo per le regole nel AWS I gruppi di regole di Managed Rules hanno lo scopo di fornire informazioni sufficienti per utilizzare le regole, senza fornire informazioni che i malintenzionati potrebbero utilizzare per aggirare le regole. Se hai bisogno di più informazioni di quelle che trovi in questa documentazione, contatta il AWS Support Centro
| Nome regola | Descrizione ed etichetta |
|---|---|
UnsupportedCognitoIDP |
Esamina il traffico web diretto a un pool di utenti di Amazon Cognito. ATPnon è disponibile per l'uso con i pool di utenti di Amazon Cognito e questa regola aiuta a garantire che le altre ATP regole del gruppo di regole non vengano utilizzate per valutare il traffico del pool di utenti. Azione della regola: Block Etichette: |
VolumetricIpHigh |
Verifica la presenza di elevati volumi di richieste inviate da singoli indirizzi IP. Un volume elevato è costituito da più di 20 richieste in una finestra di 10 minuti. NotaLe soglie applicate da questa regola possono variare leggermente a causa della latenza. Per un volume elevato, alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola. Azione relativa alle regole: Block Etichette: Il gruppo di regole applica le seguenti etichette alle richieste con volumi medi (più di 15 richieste per finestra di 10 minuti) e volumi bassi (più di 10 richieste per finestra di 10 minuti), ma non interviene su di esse: |
VolumetricSession |
Verifica la presenza di volumi elevati di richieste inviate da singole sessioni client. La soglia è superiore a 20 richieste per finestra di 30 minuti. Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUtilizzo dei token nelle richieste Web in AWS WAF. NotaLe soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola. Azione della regola: Block Etichette: |
AttributeCompromisedCredentials |
Verifica la presenza di più richieste provenienti dalla stessa sessione client che utilizzano credenziali rubate. Azione della regola: Block Etichette: |
AttributeUsernameTraversal |
Verifica la presenza di più richieste dalla stessa sessione client che utilizzano l'attraversamento del nome utente. Azione della regola: Block Etichette: |
AttributePasswordTraversal |
Verifica la presenza di più richieste con lo stesso nome utente che utilizzano l'incrocio delle password. Azione della regola: Block Etichette: |
AttributeLongSession |
Verifica la presenza di più richieste provenienti dalla stessa sessione client che utilizzano sessioni di lunga durata. La soglia è superiore a 6 ore di traffico con almeno una richiesta di accesso ogni 30 minuti. Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUtilizzo dei token nelle richieste Web in AWS WAF. Azione sulle regole: Block Etichette: |
TokenRejected |
Controlla le richieste con token che vengono rifiutate da AWS WAF gestione dei token. Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUtilizzo dei token nelle richieste Web in AWS WAF. Azione sulle regole: Block Etichette: nessuna. Per verificare la presenza di token rifiutati, utilizza una regola di corrispondenza delle etichette da applicare sull'etichetta: |
SignalMissingCredential |
Controlla le richieste con credenziali prive del nome utente o della password. Azione della regola: Block Etichette: |
VolumetricIpFailedLoginResponseHigh |
Verifica la presenza di indirizzi IP che recentemente sono stati all'origine di un tasso troppo elevato di tentativi di accesso non riusciti. Un volume elevato è costituito da più di 10 richieste di accesso non riuscite da un indirizzo IP in una finestra di 10 minuti. Se hai configurato il gruppo di regole per ispezionare il corpo o JSON i componenti della risposta, AWS WAF può ispezionare i primi 65.536 byte (64 KB) di questi tipi di componenti per individuare gli indicatori di successo o di fallimento. Questa regola applica l'azione e l'etichettatura della regola alle nuove richieste Web provenienti da un indirizzo IP, in base alle risposte di successo e di errore della risorsa protetta ai recenti tentativi di accesso dallo stesso indirizzo IP. Quando configuri il gruppo di regole, definisci come contare i successi e gli insuccessi. NotaAWS WAF valuta questa regola solo nel web ACLs che protegge le CloudFront distribuzioni Amazon. NotaLe soglie applicate da questa regola possono variare leggermente a causa della latenza. È possibile che il client invii un numero di tentativi di accesso non riuscito superiore a quello consentito prima che la regola inizi a corrispondere nei tentativi successivi. Azione della regola: Block Etichette: Il gruppo di regole applica anche le seguenti etichette correlate alle richieste, senza alcuna azione associata. Tutti i conteggi si riferiscono a una finestra di 10 minuti. |
VolumetricSessionFailedLoginResponseHigh |
Esamina le sessioni client che di recente sono state all'origine di una frequenza troppo elevata di tentativi di accesso falliti. Un volume elevato è costituito da più di 10 richieste di accesso non riuscite da una sessione client in una finestra di 30 minuti. Se hai configurato il gruppo di regole per ispezionare il corpo o JSON i componenti della risposta, AWS WAF può ispezionare i primi 65.536 byte (64 KB) di questi tipi di componenti per individuare gli indicatori di successo o di fallimento. Questa regola applica l'azione e l'etichettatura della regola alle nuove richieste Web provenienti da una sessione client, in base alle risposte di successo e di errore della risorsa protetta ai recenti tentativi di accesso dalla stessa sessione client. Quando configuri il gruppo di regole, definisci come contare i successi e gli insuccessi. NotaAWS WAF valuta questa regola solo nel web ACLs che protegge le CloudFront distribuzioni Amazon. NotaLe soglie applicate da questa regola possono variare leggermente a causa della latenza. È possibile che il client invii un numero di tentativi di accesso non riuscito superiore a quello consentito prima che la regola inizi a corrispondere nei tentativi successivi. Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUtilizzo dei token nelle richieste Web in AWS WAF. Azione sulle regole: Block Etichette: Il gruppo di regole applica anche le seguenti etichette correlate alle richieste, senza alcuna azione associata. Tutti i conteggi si riferiscono a una finestra di 30 minuti. |
