本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS WAF Fraud Control 账户盗用预防 (ATP) 规则组
本节解释了什么 AWS WAF Fraud Control 账户接管预防 (ATP) 托管规则组可以。
VendorName:AWS,名称:AWSManagedRulesATPRuleSet
这些区域有: AWS WAF Fraud Control 账户接管预防 (ATP) 托管规则组标记并管理可能属于恶意账户接管尝试的请求。规则组通过检查客户端发送到应用程序登录端点的登录尝试来实现此目的。
请求检查 — ATP 让您可以查看和控制异常登录尝试和使用被盗凭据的登录尝试,以防止可能导致欺诈活动的账户盗用。ATP根据其被盗的凭据数据库检查电子邮件和密码组合,当在暗网上发现新的泄露凭据时,该数据库会定期更新。ATP按 IP 地址和客户端会话聚合数据,以检测和阻止发送过多可疑请求的客户端。
响应检查-对于 CloudFront 分发,除了检查传入的登录请求外,ATP规则组还会检查您的应用程序对登录尝试的响应,以跟踪成功率和失败率。使用此信息,ATP可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。 AWS WAF 异步执行响应检查,因此这不会增加网络流量的延迟。
使用此规则组的注意事项
此规则组需要特定配置。如需配置和实施此规则组,请参阅 通过以下方式防止账户被盗用 AWS WAF 防欺诈控制账户盗用 () ATP 中的指导。
此规则组是中智能威胁缓解保护的一部分 AWS WAF有关信息,请参阅在中实施智能威胁缓解 AWS WAF。
注意
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅 AWS WAF 定价
为了降低成本并确保您可以根据需要管理 Web 流量,请按照 中智能缓解威胁的最佳实践 AWS WAF 中的指导使用此规则组。
此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组ACL的 Web 与用户池相关联,也无法将此规则组添加到已与用户池关联的 Web ACL 中。
此规则组添加的标签
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在您的 Web ACL 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 在 Web 请求上使用标签 和 标签指标和维度。
令牌标签
此规则组使用 AWS WAF 令牌管理,用于根据网络请求的状态检查和标记 Web 请求 AWS WAF 代币。 AWS WAF 使用令牌进行客户端会话跟踪和验证。
有关令牌和令牌管理的信息,请参阅 在 Web 请求中使用令牌 AWS WAF。
有关此处描述的标签组件的信息,请参阅 中的标签语法和命名要求 AWS WAF。
客户端会话标签
标签awswaf:managed:token:id:包含一个唯一的标识符 AWS WAF 令牌管理用于识别客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。identifier
注意
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
令牌状态标签:标签命名空间前缀
令牌状态标签报告令牌的状态、挑战及其包含CAPTCHA的信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
awswaf:managed:token:– 用于报告令牌的一般状态以及令牌的质询信息的状态。awswaf:managed:captcha:— 用于报告令牌CAPTCHA信息的状态。
令牌状态标签:标签名称
在前缀之后,标签的其余部分提供详细的令牌状态信息:
accepted– 请求令牌存在且包含以下内容:有效的挑战或CAPTCHA解决方案。
未过期的挑战或CAPTCHA时间戳。
适用于网络的域名规范ACL。
示例:标签
awswaf:managed:token:accepted表明 Web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。-
rejected– 请求令牌存在但不符合接受标准。除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
rejected:not_solved— 代币缺少挑战或CAPTCHA解决方案。rejected:expired— 根据您的网络配置的令牌免疫时间,令牌ACL的质询或CAPTCHA时间戳已过期。rejected:domain_mismatch— 令牌的域名与您网站ACL的令牌域配置不匹配。rejected:invalid– AWS WAF 无法读取指定的标记。
示例:标签
awswaf:managed:captcha:rejected和awswaf:managed:captcha:rejected:expired表示请求被拒绝,因为令牌中的CAPTCHA时间戳已超过网络ACL中配置的CAPTCHA令牌免疫时间。 -
absent– 请求没有令牌,或者令牌管理器无法读取它。示例:标签
awswaf:managed:captcha:absent表示请求没有令牌。
ATP标签
ATP托管规则组生成带有命名空间前缀的标签,awswaf:managed:aws:atp:后面是自定义命名空间和标签名称。
除了规则列表中注明的标签外,规则组还可以添加以下任何标签:
-
awswaf:managed:aws:atp:signal:credential_compromised– 表示在请求中提交的凭证位于被盗凭证数据库中。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 仅适用于受保护的 Amazon CloudFront 分配。表示客户端会话发送了多个使用可疑TLS指纹的请求。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip– 表示有 5 个以上不同的 IP 地址使用同一令牌。由于延迟,此规则适用的阈值可能略有不同。在应用标签之前,一些请求可能会超出限制。
您可以通过调用来检索规则组的所有标签DescribeManagedRuleGroup。API标签列在响应的 AvailableLabels 属性中。
账户盗用防护规则列表
本节列出了中的ATP规则AWSManagedRulesATPRuleSet以及规则组的规则添加到 Web 请求的标签。
注意
我们在中发布的有关规则的信息 AWS 托管规则组旨在为您提供足够的信息来使用规则,同时不提供不良行为者可能用来规避规则的信息。如果您需要的信息超出了本文档中提供的范围,请联系 AWS Support 中心
| Rule name(规则名称) | 描述和标签 |
|---|---|
UnsupportedCognitoIDP |
检查流向 Amazon Cognito 用户群体的 Web 流量。ATP不适用于 Amazon Cognito 用户池,此规则有助于确保不使用其他ATP规则组规则来评估用户池流量。 规则操作:Block 标签: |
VolumetricIpHigh |
检查从各个 IP 地址发送的高流量请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 注意由于延迟,此规则适用的阈值可能略有不同。对于高流量,在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签: 规则组将以下标签应用于中等容量(每 10 分钟窗口超过 15 个请求)和低容量(每 10 分钟窗口超过 10 个请求)的请求,但不对它们采取任何操作: |
VolumetricSession |
检查来自各个客户端会话的高流量请求。其阈值为每 30 分钟窗口内超过 20 个请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成SDKs和规则操作将令牌添加到请求中 CAPTCHA 以及 Challenge。 有关更多信息,请参阅在 Web 请求中使用令牌 AWS WAF。 注意由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签: |
AttributeCompromisedCredentials |
检查来自同一个客户端会话的多个使用被盗凭证的请求。 规则操作:Block 标签: |
AttributeUsernameTraversal |
检查来自同一个客户端会话的多个使用用户名遍历的请求。 规则操作:Block 标签: |
AttributePasswordTraversal |
检查使用相同用户名且使用密码遍历的多个请求。 规则操作:Block 标签: |
AttributeLongSession |
检查来自同一个客户端会话的多个使用长时间对话的请求。阈值为超过 6 小时的流量,且每 30 分钟至少有一个登录请求。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成SDKs和规则操作将令牌添加到请求中 CAPTCHA 以及 Challenge。 有关更多信息,请参阅在 Web 请求中使用令牌 AWS WAF。 规则操作:Block 标签: |
TokenRejected |
检查是否有被拒绝的带有令牌的请求 AWS WAF 代币管理。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成SDKs和规则操作将令牌添加到请求中 CAPTCHA 以及 Challenge。 有关更多信息,请参阅在 Web 请求中使用令牌 AWS WAF。 规则操作:Block 标签:无。要检查令牌是否被拒绝,请使用标签匹配规则在标签上进行匹配: |
SignalMissingCredential |
检查是否存在缺少用户名或密码的凭证的请求。 规则操作:Block 标签: |
VolumetricIpFailedLoginResponseHigh |
检查最近是否存在导致登录尝试失败率过高的 IP 地址。高流量是指在 10 分钟窗口内来自某个 IP 地址的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或JSON组件, AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以了解成功或失败指示器。 此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 注意AWS WAF 仅在网络上评估该规则ACLs,以保护 Amazon CloudFront 分销。 注意由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 规则操作:Block 标签: 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 10 分钟窗口。 |
VolumetricSessionFailedLoginResponseHigh |
检查最近是否存在导致登录尝试失败率过高的客户端会话。高流量是指在 30 分钟窗口内来自某个客户端会话的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或JSON组件, AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以了解成功或失败指示器。 此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 注意AWS WAF 仅在网络上评估该规则ACLs,以保护 Amazon CloudFront 分销。 注意由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 仅当 Web 请求具有令牌时,此检查才适用。通过应用程序集成SDKs和规则操作将令牌添加到请求中 CAPTCHA 以及 Challenge。 有关更多信息,请参阅在 Web 请求中使用令牌 AWS WAF。 规则操作:Block 标签: 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 30 分钟窗口。 |
