AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)規則組

VendorName:AWS, 名稱:AWSManagedRulesACFPRuleSet, 中央大學:50

AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組會標記並管理可能是詐騙帳戶建立嘗試的一部分的要求。規則群組會檢查用戶端傳送至應用程式註冊和帳號建立端點的帳號建立要求來達成此目的。

ACFP 規則群組會以各種方式檢查帳號建立嘗試,讓您能夠看見並控制潛在的惡意互動。規則群組使用要求 Token 來收集用戶端瀏覽器的相關資訊,以及建立帳戶建立要求時人工互動程度的相關資訊。規則群組會依據 IP 位址和用戶端工作階段彙總要求,並依據提供的帳戶資訊 (例如實體位址和電話號碼) 彙總,藉此偵測並管理大量帳戶建立嘗試。此外,規則群組會偵測並封鎖使用已遭入侵的認證建立新帳戶,這有助於保護應用程式和新使用者的安全狀態。

使用此規則群組的注意事項

此規則群組需要自訂組態,其中包括應用程式帳戶註冊和帳戶建立路徑的規格。除非另有說明,此規則群組中的規則會檢查用戶端傳送至這兩個端點的所有要求。若要設定和實作此規則群組,請參閱中的指引AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)

注意

使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

此規則群組是中智慧型威脅緩和防護措施的一部分。 AWS WAF如需相關資訊,請參閱AWS WAF 智慧型威脅緩解

為了降低您的成本並確保您正在管理您的網絡流量,請根據指導使用此規則組智慧型威脅緩解的最佳做法

此規則群組無法與 Amazon Cognito 使用者集區搭配使用。您無法將使用此規則群組的 Web ACL 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區關聯的 Web ACL。

此規則群組新增的標籤

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

令牌標籤

此規則群組使用 AWS WAF 權杖管理,根據其權杖的狀態檢查和標 AWS WAF 記 Web 要求。 AWS WAF 使用令牌進行客戶端會話跟踪和驗證。

如需有關權杖和權杖管理的資訊,請參閱AWS WAF 網絡請求令牌

如需此處所描述的標示元件的資訊,請參閱AWS WAF 標籤語法和命名需求

客戶端會話標籤

標籤awswaf:managed:token:id:identifier包含 AWS WAF 權杖管理用來識別用戶端工作階段的唯一識別碼。如果客戶端獲取新令牌,則標識符可能會更改,例如在丟棄正在使用的令牌之後。

注意

AWS WAF 不報告此標籤的 Amazon CloudWatch 指標。

令牌狀態標籤:標籤命名空間前綴

令牌狀態標籤報告令牌的狀態,以及其包含的挑戰和 CAPTCHA 信息。

每個令牌狀態標籤都以下列命名空間前綴之一開始:

  • awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。

  • awswaf:managed:captcha:— 用於報告令牌的驗證碼信息的狀態。

權杖狀態標籤:標籤名稱

在前綴之後,標籤的其餘部分提供了詳細的令牌狀態信息:

  • accepted-請求令牌存在並包含以下內容:

    • 有效的挑戰或驗證碼解決方案。

    • 未過期的挑戰或驗證碼時間戳記。

    • 對網頁 ACL 有效的網域規格。

    示例:該標籤awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案,未過期的挑戰時間戳和有效的域。

  • rejected— 請求令牌存在,但不符合驗收標準。

    隨著拒絕的標籤,令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。

    • rejected:not_solved— 令牌缺少挑戰或驗證碼解決方案。

    • rejected:expired— 根據您的 Web ACL 配置的令牌免疫時間,令牌的挑戰或 CAPTCHA 時間戳已過期。

    • rejected:domain_mismatch— 令牌的域與 Web ACL 的令牌域配置不匹配。

    • rejected:invalid— AWS WAF 無法讀取指示的令牌。

    範例:標籤awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired指出要求遭拒絕,因為權杖中的 CAPTCHA 時間戳記已超過 Web ACL 中設定的 CAPTCHA 權杖免疫時間。

  • absent-請求沒有令牌或令牌管理器無法讀取它。

    示例:標籤awswaf:managed:captcha:absent表示請求沒有令牌。

ACFP 標籤

此規則群組會產生具有命名空間前置詞的標籤,awswaf:managed:aws:acfp:後面接著自訂命名空間和標籤名稱。規則群組可能會在要求中新增多個標籤。

您可以透過呼叫 API 擷取規則群組的所有標籤DescribeManagedRuleGroup。標示會在回應中列示在AvailableLabels性質中。

帳戶創建欺詐預防規則列表

本節列出中的 ACFP 規則以AWSManagedRulesACFPRuleSet及規則群組規則新增至 Web 要求的標籤。

注意

我們針對 AWS Managed Rules 規則群組中的規則發佈的資訊旨在為您提供足夠的資訊來使用規則,同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊超過本文件中所找到的資訊,請聯絡本中AWS Support 心

此規則群組中的所有規則都需要 Web 要求權杖,前兩個UnsupportedCognitoIDP和除外AllRequests。如需 Token 提供之資訊的說明,請參閱AWS WAF 令牌特徵

除非另有說明,此規則群組中的規則會檢查用戶端傳送至您在規則群組設定中提供之帳戶註冊和帳戶建立頁面路徑的所有要求。如需有關配置此規則群組的資訊,請參閱AWS WAF 欺詐控制帳戶創建欺詐預防(ACFP)

規則名稱 說明和標籤
UnsupportedCognitoIDP

檢查進入 Amazon Cognito 使用者集區的網路流量。ACFP 無法與 Amazon Cognito 使用者集區搭配使用,此規則有助於確保其他 ACFP 規則群組規則不會用於評估使用者集區流量。

規則動作:Block

標籤:awswaf:managed:aws:acfp:unsupported:cognito_idp

AllRequests

將規則動作套用至存取註冊頁面路徑的要求。您可以在設定規則群組時設定註冊頁面路徑。

依預設,此規則會套用Challenge至要求。透過套用此動作,規則可確保用戶端在規則群組中的其餘規則評估任何要求之前,先取得挑戰權杖。

請確定您的使用者在提交帳戶建立要求之前載入註冊頁面路徑。

憑證會由用戶端應用程式整合 SDK 以及規則動作CAPTCHA和Challenge新增至要求。為了獲得最有效的令牌獲取,我們強烈建議您使用應用程序集成 SDK。如需詳細資訊,請參閱 AWS WAF 用戶端應用整合

規則動作:Challenge

標籤:無

RiskScoreHigh

檢查具有 IP 地址或其他被認為是高度可疑因素的帳戶創建請求。此評估通常以多個促成因素為基礎,您可以在規則群組新增至要求的risk_score標籤中看到這些因素。

規則動作:Block

標籤:awswaf:managed:aws:acfp:risk_score:high

該規則也可能對請求套用mediumlow風險評分標籤。

如果 AWS WAF 無法成功評估 Web 要求的風險分數,則規則會新增標籤 awswaf:managed:aws:acfp:risk_score:evaluation_failed

此外,該規則還會新增包含命名空間的標籤awswaf:managed:aws:acfp:risk_score:contributor:,其中包括風險評分評估狀態,以及特定風險評分貢獻者的結果,例如 IP 信譽和失竊的認證評估。

SignalCredentialCompromised

在失竊的認證資料庫中搜尋帳戶建立要求中提交的認證。

此規則可確保新用戶端以正面的安全狀況初始化其帳戶。

注意

您可以新增自訂封鎖回應,向使用者描述問題,並告訴他們如何繼續。如需相關資訊,請參閱ACFP 範例:對遭到入侵認證的自訂回應

規則動作:Block

標籤:awswaf:managed:aws:acfp:signal:credential_compromised

規則群組會套用下列相關標籤,但不會對其採取任何動作,因為並非所有建立帳戶中的要求都會有認證:awswaf:managed:aws:acfp:signal:missing_credential

SignalClientHumanInteractivityAbsentLow

檢查帳戶創建請求的令牌,以獲取指示與應用程序異常人為交互的數據。通過諸如鼠標移動和按鍵之類的交互來檢測人的交互性。如果頁面具有 HTML 表單,則人類互動性會包含與表單的互動。

注意

此規則只會檢查對帳戶建立路徑的要求,而且只有在您已實作應用程式整合 SDK 時才會進行評估。SDK 實作會被動擷取人類互動性,並將資訊儲存在要求 Token 中。如需詳細資訊,請參閱 AWS WAF 令牌特徵AWS WAF 用戶端應用整合

規則動作:CAPTCHA

標籤:無。規則會根據不同的因素決定相符項目,因此沒有適用於每個可能的比對案例的個別標籤。

規則群組可將下列一或多個標籤套用至要求:

awswaf:managed:aws:acfp:signal:client:human_interactivity:low/medium/high

awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data

awswaf:managed:aws:acfp:signal:form_detected.

SignalAutomatedBrowser

檢查客戶端瀏覽器可能是自動化的指標的請求。

規則動作:Block

標籤:awswaf:managed:aws:acfp:signal:automated_browser

SignalBrowserInconsistency

檢查請求的令牌是否存在不一致的瀏覽器審訊數據。如需詳細資訊,請參閱 AWS WAF 令牌特徵

規則動作:CAPTCHA

標籤:awswaf:managed:aws:acfp:signal:browser_inconsistency

VolumetricIpHigh

檢查從個別 IP 位址傳送的大量帳戶建立要求。在 10 分鐘的視窗中,高容量超過 20 個請求。

注意

此規則套用的臨界值可能會因延遲而略有不同。對於大量,在套用規則動作之前,一些要求可能會超出限制。

規則動作:CAPTCHA

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high

此規則會將下列標籤套用至具有中等磁碟區 (每 10 分鐘 16 至 20 個請求時段) 和低磁碟區 (每 10 分鐘 11 至 15 個請求) 的請求,但不對這些請求採取任何動作:awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium和。awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low

VolumetricSessionHigh

檢查從單個客戶端會話發送的大量帳戶創建請求。在 30 分鐘的視窗中,高容量超過 10 個請求。

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high

規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘視窗 6-10 個請求) 和低磁碟區 (每 30 分鐘時段 2-5 個請求) 的請求,但不對這些請求採取任何動作:awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:mediumawswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low

AttributeUsernameTraversalHigh

檢查使用不同使用者名稱的單一用戶端工作階段中,是否有高速的帳戶建立要求。高評估的臨界值在 30 分鐘內超過 10 個請求。

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high

規則群組會將下列標籤套用至使用者名稱遍歷要求的中等磁碟區 (每 30 分鐘 6-10 個請求) 和低磁碟區 (每 30 分鐘視窗 2-5 個請求) 的請求,但不會對這些請求採取任何動作:和。awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low

VolumetricPhoneNumberHigh

檢查使用相同電話號碼的大量帳戶建立要求。高評估的臨界值在 30 分鐘內超過 10 個請求。

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high

規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘視窗 6-10 個請求) 和低磁碟區 (每 30 分鐘時段 2-5 個請求) 的請求,但不對這些請求採取任何動作:awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:mediumawswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low

VolumetricAddressHigh

檢查使用相同實體位址的大量帳戶建立要求。高評估的臨界值為每 30 分鐘視窗 100 個以上的要求。

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:address:high

VolumetricAddressLow

檢查使用相同實體位址的中低量帳戶建立請求。中評估的臨界值超過每 30 分鐘 51-100 個請求,而低評估的臨界值為每 30 分鐘時段 11-50 個請求。

此規則會針對中或低磁碟區套用動作。

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:CAPTCHA

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:address:lowawswaf:managed:aws:acfp:aggregate:volumetric:address:medium

VolumetricIPSuccessfulResponse

檢查單一 IP 位址是否有大量成功建立帳戶的要求。此規則會將受保護資源的成功回應彙總至帳號建立請求。高評估的臨界值為每 10 分鐘視窗 10 個以上的要求。

此規則有助於防止批次處理帳號建立嘗試。它的閾值低於規則的閾值VolumetricIpHigh,該規則僅計算請求。

如果您已將規則群組設定為檢查回應主體或 JSON 元件,則 AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB),以取得成功或失敗指示器。

此規則會根據受保護資源對來自同一 IP 位址的最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自 IP 位址的新 Web 請求。您可以定義設定規則群組時計算成功與失敗項目的方式。

注意

AWS WAF 只會在保護 Amazon CloudFront 分發的網路 ACL 中評估此規則。

注意

此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送的成功帳號建立嘗試次數超過規則在後續嘗試開始比對之前允許的要多。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high

規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 10 分鐘的窗口。 awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium針對 5 個以上的成功要求、awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low 1 個以上的成功要求、awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high超過 10 個失敗的要求、awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium超過 5 個失敗的要求,以及 awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low 1 個以上的失敗要求。

VolumetricSessionSuccessfulResponse

檢查從受保護的資源到從單一用戶端工作階段傳送的帳號建立請求的少量成功回應。這有助於防止批次建立帳戶嘗試。低評估的臨界值為每 30 分鐘視窗 1 個以上的要求。

這有助於防止批次建立帳戶嘗試。此規則使用的臨界值低於規VolumetricSessionHigh則 (僅追蹤要求)。

如果您已將規則群組設定為檢查回應主體或 JSON 元件,則 AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB),以取得成功或失敗指示器。

此規則會根據受保護資源對來自相同用戶端工作階段最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自用戶端工作階段的新 Web 要求。您可以定義設定規則群組時計算成功與失敗項目的方式。

注意

AWS WAF 只會在保護 Amazon CloudFront 分發的網路 ACL 中評估此規則。

注意

此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送的帳號建立失敗嘗試次數超過規則在後續嘗試開始比對之前允許的數量。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low

規則群組也會將下列相關標籤套用至要求。所有計數均為 30 分鐘的窗口。 awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high針對 10 個以上的成功要awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium求、超過 5 個成功要求、awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high超過 10 個失敗的要求、awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium超過 5 個失敗的要求,以及 awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low 1 個以上的失敗要求。

VolumetricSessionTokenReuseIp

檢查帳戶創建請求是否在 5 個以上不同的 IP 地址中使用單個令牌。

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:Block

標籤:awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip