Adicionar o grupo de regras ATP gerenciadas à sua web ACL - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar o grupo de regras ATP gerenciadas à sua web ACL

Esta seção explica como adicionar e configurar o grupo de AWSManagedRulesATPRuleSet regras.

Para configurar o grupo de regras ATP gerenciadas para reconhecer atividades de aquisição de contas em seu tráfego da web, você fornece informações sobre como os clientes enviam solicitações de login para seu aplicativo. Para CloudFront distribuições protegidas da Amazon, você também fornece informações sobre como seu aplicativo responde às solicitações de login. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas.

Para obter a descrição do grupo de regras e a lista de regras, consulte AWS WAF Grupo de regras de prevenção de aquisição de contas de controle de fraudes (ATP).

nota

O banco de dados de credenciais ATP roubadas contém apenas nomes de usuário em formato de e-mail.

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar AWS WAF webACLs, regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas à sua webACL, consulteAdicionar um grupo de regras gerenciadas a uma web ACL por meio do console.

Siga as práticas recomendadas

Use o grupo de ATP regras de acordo com as melhores práticas emMelhores práticas para mitigação inteligente de ameaças em AWS WAF.

Para usar o grupo de AWSManagedRulesATPRuleSet regras na sua web ACL

  1. Adicione o AWS grupo de regras gerenciado, AWSManagedRulesATPRuleSet para sua webACL, e edite as configurações do grupo de regras antes de salvar.

    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para ter mais informações, consulte AWS WAF Preços.

  2. No painel Configuração do grupo de regras, forneça as informações que o grupo de ATP regras usa para inspecionar as solicitações de login.

    1. Para Usar expressão regular em caminhos, ative essa opção se quiser AWS WAF para realizar a correspondência de expressões regulares para as especificações do caminho da sua página de login.

      AWS WAF suporta a sintaxe padrão usada pela PCRE biblioteca, libpcre com algumas exceções. A biblioteca está documentada em PCRE- Expressões regulares compatíveis com Perl. Para obter mais informações sobre AWS WAF suporte, vejaSintaxe de expressão regular suportada em AWS WAF.

    2. Para Caminho de login, forneça o caminho do endpoint de login do seu aplicativo. O grupo de regras inspeciona somente as HTTP POST solicitações para o endpoint de login especificado.

      nota

      A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador (?-i), que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra /.

      Por exemplo, para o URLhttps://example.com/web/login, você pode fornecer a especificação do caminho da string/web/login. Os caminhos de login que começam com o caminho fornecido por você são considerados uma correspondência. Por exemplo, /web/login corresponde aos caminhos de login /web/login, /web/login/, /web/loginPage e /web/login/thisPage, mas não corresponde ao caminho de login /home/web/login ou /website/login.

    3. Para Inspeção de solicitações, especifique como seu aplicativo aceita tentativas de login fornecendo o tipo de carga da solicitação e os nomes dos campos no corpo da solicitação em que o nome de usuário e a senha são fornecidos. Sua especificação dos nomes dos campos depende do tipo de carga.

      • JSONtipo de carga útil — Especifique os nomes dos campos na sintaxe do JSON ponteiro. Para obter informações sobre a sintaxe do JSON Pointer, consulte a documentação do Internet Engineering Task Force (IETF) JavaScriptObject Notation (JSON) Pointer.

        Por exemplo, para o exemplo de JSON carga útil a seguir, a especificação do campo de nome de usuário é /login/username e a especificação do campo de senha é/login/password.

        {
    "login": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD"
    }
}

      • FORM_ tipo ENCODED de carga útil — Use os nomes dos HTML formulários.

        Por exemplo, para um HTML formulário com elementos de entrada chamados username1 epassword1, a especificação do campo do nome de usuário é username1 e a especificação do campo da senha épassword1.

    4. Se você estiver protegendo CloudFront as distribuições da Amazon, em Inspeção de resposta, especifique como seu aplicativo indica sucesso ou falha em suas respostas às tentativas de login.

      nota

      ATPa inspeção de resposta está disponível somente na web ACLs que protege CloudFront as distribuições.

      Especifique um único componente na resposta de login que você deseja ATP inspecionar. Para os tipos de corpo e JSONcomponentes, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) do componente.

      Forneça seus critérios de inspeção para o tipo de componente, conforme indicado pela interface. Você deve fornecer critérios de sucesso e falha para inspecionar no componente.

      Por exemplo, digamos que seu aplicativo indique o status de uma tentativa de login no código de status da resposta e use 200 OK para sucesso e 403 Forbidden ou 401 Unauthorized para falha. Você definiria o Tipo de componente de inspeção de resposta como Código de status e, na caixa de texto Sucesso, inseriria 200 e, na caixa de texto Falha, inseriria 401 na primeira linha e 403 na segunda.

      O grupo de ATP regras conta somente as respostas que correspondem aos seus critérios de inspeção de sucesso ou falha. As regras do grupo de regras agem sobre os clientes quando eles têm uma taxa de falha muito alta entre as respostas que são contadas. Para um comportamento preciso de acordo com as regras do grupo de regras, forneça informações completas sobre tentativas bem-sucedidas e malsucedidas de login.

      Para ver as regras que inspecionam as respostas de login, procure VolumetricIpFailedLoginResponseHigh e VolumetricSessionFailedLoginResponseHigh na lista de regras em AWS WAF Grupo de regras de prevenção de aquisição de contas de controle de fraudes (ATP).

  3. Forneça qualquer configuração adicional desejada para o grupo de regras.

    Você pode limitar ainda mais o escopo das solicitações que o grupo de regras inspeciona adicionando uma instrução de redução de escopo à instrução do grupo de regras gerenciadas. Por exemplo, você pode inspecionar somente solicitações com um argumento de consulta ou cookie específico. O grupo de regras inspecionará somente as HTTP POST solicitações para seu endpoint de login especificado que correspondam aos critérios em sua declaração de escopo. Para informações sobre instruções de redução de escopo, consulte Usando declarações de escopo reduzido em AWS WAF.

  4. Salve suas alterações na webACL.

Antes de implantar sua ATP implementação para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação.