AWS WAF詐騙控制帳戶接管預防 (ATP) 規則群組 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF詐騙控制帳戶接管預防 (ATP) 規則群組

VendorName:AWS, 名稱:AWSManagedRulesATPRuleSet, 中央大學:50

AWS WAF詐騙控制帳戶接管預防 (ATP) 受管規則群組會標記並管理可能是惡意帳戶接管嘗試一部分的要求。規則群組會檢查用戶端傳送到應用程式登入端點的登入嘗試來達成此目的。

  • 請求檢查 — ATP 使您可以查看和控制異常登錄嘗試和使用被盜憑據的登錄嘗試,以防止可能導致欺詐活動的帳戶被盜。ATP 會根據其被盜的憑證資料庫檢查電子郵件和密碼組合,該資料庫會在黑暗的網路上發現新的洩漏憑證時定期更新。ATP 會依據 IP 位址和用戶端工作階段彙總資料,以偵測並封鎖傳送太多可疑要求的用戶端。

  • 應檢查 — 對於 CloudFront 分配,除了檢查內送登入請求之外,可承諾量規則群組還會檢查應用模組對登入嘗試的回應,以追蹤成功率與失敗率。使用此資訊,ATP 可以暫時封鎖發生過多登入失敗的用戶端工作階段或 IP 位址。 AWS WAF異步執行響應檢查,因此這不會增加 Web 流量的延遲。

使用此規則群組

此規則群組需要特定的組態。若要設定和實作此規則群組,請參閱中的指引AWS WAF防止欺詐控制帳戶接管(ATP)

此規則群組是中智慧型威脅緩和防護措施的一部分。AWS WAF如需相關資訊,請參閱 AWS WAF智慧型威脅緩解

注意

使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價

為了降低成本並確保您正在管理您的網絡流量,請根據指導使用此規則組智慧型威脅緩解的最佳做法

此規則群組無法與 Amazon Cognito 使用者集區搭配使用。您無法將使用此規則群組的 Web ACL 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區關聯的 Web ACL。

此規則群組不提供版本控制或 SNS 更新通知。

此規則群組新增的標籤

此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤標示量度和維度

令牌標籤

此規則群組使用AWS WAF權杖管理,根據其權杖的狀態檢查和標AWS WAF記 Web 要求。 AWS WAF使用令牌進行客戶端會話跟踪和驗證。

如需有關權杖和權杖管理的資訊,請參閱AWS WAF網絡請求令牌

如需此處所描述的標示元件的資訊,請參閱標籤語法和命名要求

客戶端會話標籤

標籤awswaf:managed:token:id:identifier包含AWS WAF權杖管理用來識別用戶端工作階段的唯一識別碼。如果客戶端獲取新令牌,則標識符可能會更改,例如在丟棄正在使用的令牌之後。

注意

AWS WAF不報告此標籤的 Amazon CloudWatch 指標。

令牌狀態標籤:標籤命名空間前綴

令牌狀態標籤報告令牌的狀態,以及其包含的挑戰和 CAPTCHA 信息。

每個令牌狀態標籤都以下列命名空間前綴之一開始:

  • awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。

  • awswaf:managed:captcha:— 用於報告令牌的驗證碼信息的狀態。

權杖狀態標籤:標籤名稱

在前綴之後,標籤的其餘部分提供了詳細的令牌狀態信息:

  • accepted-請求令牌存在並包含以下內容:

    • 有效的挑戰或驗證碼解決方案。

    • 未過期的挑戰或驗證碼時間戳記。

    • 對網頁 ACL 有效的網域規格。

    示例:該標籤awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案,未過期的挑戰時間戳和有效的域。

  • rejected— 請求令牌存在,但不符合驗收標準。

    隨著拒絕的標籤,令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。

    • rejected:not_solved— 令牌缺少挑戰或驗證碼解決方案。

    • rejected:expired— 根據您的 Web ACL 配置的令牌免疫時間,令牌的挑戰或 CAPTCHA 時間戳已過期。

    • rejected:domain_mismatch— 令牌的域與 Web ACL 的令牌域配置不匹配。

    • rejected:invalid— AWS WAF 無法讀取指示的令牌。

    範例:標籤awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired指出要求遭拒絕,因為權杖中的 CAPTCHA 時間戳記已超過 Web ACL 中設定的 CAPTCHA 權杖免疫時間。

  • absent-請求沒有令牌或令牌管理器無法讀取它。

    示例:標籤awswaf:managed:captcha:absent表示請求沒有令牌。

可承諾量標

可承諾量管理規則群組會產生具有命名空間前置詞的標籤,awswaf:managed:aws:atp:後面接著自訂命名空間和標籤名稱

除了規則清單中註明的標籤之外,規則群組可能會新增下列任何標籤:

  • awswaf:managed:aws:atp:signal:credential_compromised— 指出要求中提交的認證位於遭竊的認證資料庫中。

  • awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 僅適用於受保護的 Amazon CloudFront 分發。指出用戶端工作階段已傳送多個使用可疑 TLS 指紋的要求。

  • awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— 指示在 5 個以上的不同 IP 位址中使用單一權杖。此規則套用的臨界值可能會因延遲而略有不同。在套用標籤之前,一些要求可能會使其超出限制。

您可以透過呼叫 API 擷取規則群組的所有標籤DescribeManagedRuleGroup。標示會在回應中列示在AvailableLabels性質中。

帳戶接管防止規則清單

本節列出中的可承諾量規則,以AWSManagedRulesATPRuleSet及規則群組規則新增至 Web 請求的標籤。

注意

我們針對 AWS Managed Rules 規則群組中的規則發佈的資訊旨在為您提供足夠的資訊來使用規則,同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊超過本文件中所找到的資訊,請聯絡本中AWS Support心

規則名稱 說明和標籤
UnsupportedCognitoIDP

檢查進入 Amazon Cognito 使用者集區的網路流量。ATP 無法與 Amazon Cognito 使用者集區搭配使用,此規則有助於確保不使用其他 ATP 規則群組規則來評估使用者集區流量。

規則動作:Block

標籤:awswaf:managed:aws:atp:unsupported:cognito_idp

VolumetricIpHigh

檢查從個別 IP 位址傳送的大量要求。在 10 分鐘的視窗中,高容量超過 20 個請求。

注意

此規則套用的臨界值可能會因延遲而略有不同。對於大量,在套用規則動作之前,一些要求可能會超出限制。

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:volumetric:ip:high

規則群組會將下列標籤套用至具有中等磁碟區 (每 10 分鐘 16 至 20 個要求時段) 和低磁碟區 (每 10 分鐘時段 11-15 個請求) 的請求,但不對這些請求採取任何動作:awswaf:managed:aws:atp:aggregate:volumetric:ip:medium和。awswaf:managed:aws:atp:aggregate:volumetric:ip:low

VolumetricSession

檢查從個別用戶端工作階段傳送的大量要求。臨界值為每 30 分鐘視窗 20 個以上的請求。

此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF網絡請求令牌

注意

此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:volumetric:session

AttributeCompromisedCredentials

檢查來自使用失竊認證的相同用戶端工作階段的多個要求。

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials

AttributeUsernameTraversal

檢查來自使用使用者名遍歷的相同用戶端工作階段的多個要求。

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:attribute:username_traversal

AttributePasswordTraversal

檢查來自使用密碼遍歷的相同用戶端工作階段的多個要求。

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:attribute:password_traversal

AttributeLongSession

檢查來自使用長期工作階段的相同用戶端工作階段的多個要求。

此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF網絡請求令牌

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:attribute:long_session

TokenRejected

檢查具有AWS WAF令牌管理拒絕的令牌的請求。

此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF網絡請求令牌

規則動作:Block

標籤:無。若要檢查拒絕的權杖,請使用標籤比對規則在標籤上進行比對:awswaf:managed:token:rejected

SignalMissingCredential

檢查缺少使用者名稱或密碼的認證的要求。

規則動作:Block

標籤:awswaf:managed:aws:atp:signal:missing_credential

VolumetricIpFailedLoginResponseHigh

檢查最近成為登入嘗試失敗率過高的來源的 IP 位址。在 10 分鐘的時間內,高磁碟區是來自 IP 位址的 10 個以上失敗登入要求。

如果您已將規則群組設定為檢查回應主體或 JSON 元件,則AWS WAF可以檢查這些元件類型的前 65,536 個位元組 (64 KB),以取得成功或失敗指示器。

此規則會根據受保護資源對來自同一 IP 位址的最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自 IP 位址的新 Web 請求。您可以定義設定規則群組時計算成功與失敗項目的方式。

注意

AWS WAF只會在保護 Amazon CloudFront 分發的網路 ACL 中評估此規則。

注意

此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送失敗的登入嘗試次數超過規則在後續嘗試開始比對之前允許的數量。

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high

規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 10 分鐘的窗口。 awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium針對 5 個以上的失敗要awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low求、1 個以上的失敗要求、awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high 10 個以上的成功要求、awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium超過 5 個成功要求,以及 awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low 1 個以上的成功要求。

VolumetricSessionFailedLoginResponseHigh

檢查最近是否有登入嘗試失敗率過高的用戶端工作階段。在 30 分鐘的時間內,高磁碟區是來自用戶端工作階段的 10 個以上失敗登入要求。

如果您已將規則群組設定為檢查回應主體或 JSON 元件,則AWS WAF可以檢查這些元件類型的前 65,536 個位元組 (64 KB),以取得成功或失敗指示器。

此規則會根據受保護資源對來自相同用戶端工作階段最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自用戶端工作階段的新 Web 要求。您可以定義設定規則群組時計算成功與失敗項目的方式。

注意

AWS WAF只會在保護 Amazon CloudFront 分發的網路 ACL 中評估此規則。

注意

此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送失敗的登入嘗試次數超過規則在後續嘗試開始比對之前允許的數量。

此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF網絡請求令牌

規則動作:Block

標籤:awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high

規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 30 分鐘的窗口。 awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium針對 5 個以上的失敗要awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low求、1 個以上的失敗要求、awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high 10 個以上的成功要求、awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium超過 5 個成功要求,以及 awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low 1 個以上的成功要求。