翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
このセクションでは、 AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループの動作について説明します。
VendorName: AWS、名前: AWSManagedRulesATPRuleSet
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup。
AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS サポート センター
AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) マネージドルールグループは、悪意のあるアカウント乗っ取りの試みの一部である可能性のあるリクエストにラベルを付けて管理します。ルールグループは、クライアントでアプリケーションのログインエンドポイントに送信するログイン試行を検査することでこれを行います。
リクエスト検査 – ATP 盗まれた認証情報を使用する異常なログイン試行やログイン試行を可視化して制御し、不正アクティビティにつながる可能性のあるアカウント乗っ取りを防止します。 は、盗まれた認証情報データベースに対して E メールとパスワードの組み合わせATPをチェックします。盗まれた認証情報データベースは、新しい漏洩した認証情報がダークウェブで見つかったときに定期的に更新されます。 は、IP アドレスとクライアントセッション別にデータをATP集約して、疑わしい性質のリクエストを送信するクライアントが多すぎることを検出してブロックします。
レスポンス検査 – CloudFront ディストリビューションでは、受信ログインリクエストを検査するだけでなく、ATPルールグループはログイン試行に対するアプリケーションの応答を検査し、成功率と失敗率を追跡します。この情報を使用して、 ATPはログイン失敗が多すぎるクライアントセッションまたは IP アドレスを一時的にブロックできます。 は応答検査を非同期的に AWS WAF 実行するため、ウェブトラフィックのレイテンシーが増加しません。
このルールグループの使用に関する考慮事項
このルールグループには特定の設定が必要です。このルールグループを設定および実装するには、「AWS WAF Fraud Control アカウント乗っ取り防止 (ATP)」のガイダンスを参照してください。
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、でのインテリジェントな脅威の軽減 AWS WAF を参照してください。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金
コストを抑え、ウェブトラフィックを希望どおりに管理していることを確実にするには、AWS WAF におけるインテリジェントな脅威を軽減するためのベストプラクティス のガイダンスに従ってこのルールグループを使用してください。
このルールグループは、Amazon Cognito ユーザープールでは使用できません。このルールグループACLを使用するウェブをユーザープールに関連付けることはできません。また、このルールグループをユーザープールに既に関連付けACLられているウェブに追加することはできません。
このルールグループによって追加されるラベル
このマネージドルールグループは、評価するウェブリクエストにラベルを追加します。これは、ウェブ でこのルールグループの後に実行されるルールで使用できますACL。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査およびラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「AWS WAF インテリジェントな脅威の軽減におけるトークンの使用」を参照してください。
ここで説明するラベルコンポーネントについては、「AWS WAF でのラベル構文と命名要件」を参照してください。
クライアントセッションラベル
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。identifier
注記
AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。
ブラウザフィンガープリントラベル
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:が含まれています。この識別子は、複数のトークン取得の試行で同じままです。フィンガープリント識別子は、単一のクライアントに固有ではありません。fingerprint-identifier
注記
AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。
トークンステータスラベル: ラベル名前空間プレフィックス
トークンステータスラベルは、トークンのステータス、チャレンジのステータス、およびトークンに含まれるCAPTCHA情報についてレポートします。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。awswaf:managed:captcha:– トークンCAPTCHAの情報のステータスを報告するために使用されます。
トークンステータスラベル: ラベル名
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
accepted- リクエストトークンが存在し、以下の内容が含まれています。有効なチャレンジまたはCAPTCHAソリューション。
有効期限が切れていないチャレンジまたはCAPTCHAタイムスタンプ。
ウェブ に有効なドメイン仕様ACL。
例: ラベル
awswaf:managed:token:acceptedには、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。-
rejected- リクエストトークンは存在するが、承認基準を満たしていない。トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
rejected:not_solved– トークンにチャレンジまたはCAPTCHAソリューションがありません。rejected:expired– ウェブ で設定されたトークンのイミュニティ時間に従って、トークンACLのチャレンジまたはCAPTCHAタイムスタンプの有効期限が切れています。rejected:domain_mismatch– トークンのドメインがウェブのACLトークンドメイン設定と一致しません。rejected:invalid- 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: トークンのCAPTCHAタイムスタンプがウェブ で設定されたCAPTCHAトークンイミュニティ時間を超えたためにリクエストが拒否された
awswaf:managed:captcha:rejected:expiredことを示すラベルawswaf:managed:captcha:rejectedと ACL。 -
absent— リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。例: ラベル
awswaf:managed:captcha:absentには、リクエストにトークンがないことが示されています。
ATP ラベル
ATP マネージドルールグループは、名前空間プレフィックス のawswaf:managed:aws:atp:後にカスタム名前空間とラベル名が続くラベルを生成します。
ルールグループは、ルールリストに記載されているラベルに加えて、次のラベルのいずれかを追加する場合があります。
-
awswaf:managed:aws:atp:signal:credential_compromised– リクエストで送信された認証情報が、盗まれた認証情報データベースに含まれていることを示します。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint– 保護された Amazon CloudFront ディストリビューションでのみ使用できます。クライアントセッションが、疑わしいTLSフィンガープリントを使用した複数のリクエストを送信したことを示します。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip- 5 つを超える異なる IP アドレス間で単一のトークンが使用されていることを示します。このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ラベルが適用される前に、いくつかのリクエストが制限を超えることがあります。
ルールグループのすべてのラベルは、 から を呼び出すAPIことで取得できますDescribeManagedRuleGroup。ラベルは、応答の AvailableLabels プロパティにリストされています。
アカウント乗っ取り防止のルールリスト
このセクションでは、 のATPルールAWSManagedRulesATPRuleSetと、ルールグループのルールがウェブリクエストに追加するラベルを一覧表示します。
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログで報告されますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンドを使用しますDescribeManagedRuleGroup。
AWS マネージドルールのルールグループでルールに対して公開する情報は、不正なアクターにルールを回避するために必要なものを与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS サポート センター
| ルール名 | 説明とラベル |
|---|---|
UnsupportedCognitoIDP |
Amazon Cognito ユーザープールに送信されるウェブトラフィックを検査します。 ATPは Amazon Cognito ユーザープールでは使用できません。このルールは、他のATPルールグループルールがユーザープールトラフィックの評価に使用されていないことを確認するのに役立ちます。 ルールアクション:Block ラベル: |
VolumetricIpHigh |
個々の IP アドレスから送信された大量のリクエストを検査します。大量とは、10 分ウィンドウにリクエストが 20 件を超えることです。 注記このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。大量の場合、ルールアクションが適用される前に、いくつかのリクエストが制限を超える可能性があります。 ルールアクション:Block ラベル: ルールグループは、中程度の量 (10 分間の時間枠あたり 15 件以上のリクエスト) および少量 (10 分間の時間枠あたり 10 件以上のリクエスト)のリクエストに対して、以下のラベル |
VolumetricSession |
個々のクライアントセッションから送信された大量のリクエストを検査します。しきい値は、30 分ウィンドウあたり 20 を超えるリクエスト数に設定します。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいAWS WAF インテリジェントな脅威の軽減におけるトークンの使用。 注記このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールアクションが適用される前に、いくつかのリクエストが制限を超えることがあります。 ルールアクション:Block ラベル: |
AttributeCompromisedCredentials |
盗まれた認証情報を使用する同じクライアントセッションからの複数リクエストを検査します。 ルールアクション:Block ラベル: |
AttributeUsernameTraversal |
ユーザー名トラバーサルを使用する同じクライアントセッションからの複数リクエストを検査します。 ルールアクション:Block ラベル: |
AttributePasswordTraversal |
パスワードトラバーサルと同じユーザー名を使用する複数のリクエストを検査します。 ルールアクション:Block ラベル: |
AttributeLongSession |
長期に継続するセッションを使用する同じクライアントセッションからの複数リクエストを検査します。しきい値は、30 分ごとに少なくとも 1 つのログインリクエストが存在する 6 時間を超えるトラフィックです。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいAWS WAF インテリジェントな脅威の軽減におけるトークンの使用。 ルールアクション:Block ラベル: |
TokenRejected |
トークン管理によって拒否された AWS WAF トークンを含むリクエストを検査します。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいAWS WAF インテリジェントな脅威の軽減におけるトークンの使用。 ルールアクション:Block ラベル: なし。トークンが拒否されたかどうか確認するには、ラベル一致ルールを使用してラベル |
SignalMissingCredential |
認証情報を含むリクエストに、ユーザー名またはパスワードが不足しているかどうか検査します。 ルールアクション:Block ラベル: |
VolumetricIpFailedLoginResponseHigh |
最近のログイン試行の失敗率が過度に高い IP アドレスを検査します。大量とは、10 分間の時間枠に 1 つの IP アドレスからの失敗したログインリクエストが 10 件を超えることです。 レスポンス本文またはJSONコンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じ IP アドレスからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、IP アドレスからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。 注記AWS WAF は、Amazon CloudFront ディストリビューションACLsを保護するウェブでのみこのルールを評価します。 注記このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後のログイン試行に対して一致処理を開始する前に、許可されているよりも多い回数の失敗したログイン試行がクライアントから送信される可能性があります。 ルールアクション:Block ラベル: ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 10 分間の時間枠のものです。5 件以上の失敗したリクエストには |
VolumetricSessionFailedLoginResponseHigh |
最近のログイン試行の失敗率が過度に高いクライアントセッションを検査します。大量とは、30 分間の時間枠にクライアントセッションからの失敗したログインリクエストが 10 件を超えることです。 レスポンス本文またはJSONコンポーネントを検査するようにルールグループを設定している場合、 はこれらのコンポーネントタイプの最初の 65,536 バイト (64 KB) で成功または失敗のインジケータを検査 AWS WAF できます。 このルールは、同じクライアントセッションからの最新のログイン試行に対する保護されたリソースからの成功応答と失敗応答に基づいて、クライアントセッションからの新しいウェブリクエストにルールアクションとラベリングを適用します。ルールグループを設定するときに、成功数と失敗数のカウント方法を定義します。 注記AWS WAF は、Amazon CloudFront ディストリビューションACLsを保護するウェブでのみこのルールを評価します。 注記このルールが適用するしきい値は、レイテンシーによって若干異なる場合があります。ルールがその後のログイン試行に対して一致処理を開始する前に、許可されているよりも多い回数の失敗したログイン試行がクライアントから送信される可能性があります。 この検査は、ウェブリクエストにトークンがある場合にのみ適用されます。トークンは、アプリケーション統合SDKsとルールアクションによってリクエストに追加されます。CAPTCHA また、Challenge。 詳細については、「」を参照してくださいAWS WAF インテリジェントな脅威の軽減におけるトークンの使用。 ルールアクション:Block ラベル: ルールグループは、次の関連ラベルもリクエストに適用します。関連するアクションはありません。すべてのカウントは 30 分間の時間枠のものです。5 件以上の失敗したリクエストには |
