本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 欺詐控制帳戶接管預防(ATP)規則組
本節解釋了什麼 AWS WAF 欺詐控制帳戶接管預防(ATP)託管規則組可以。
VendorName名稱:AWS, 名稱:AWSManagedRulesATPRuleSet
所以此 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組標籤,並管理可能是惡意帳戶接管嘗試一部分的要求。規則群組會檢查用戶端傳送到應用程式登入端點的登入嘗試來達成此目的。
請求檢查 — ATP 使您可以查看和控制使用被盜憑據的異常登錄嘗試和登錄嘗試,以防止可能導致欺詐活動的帳戶被盜。ATP根據其被盜的憑據數據庫檢查電子郵件和密碼組合,並在黑暗的網絡上發現新的洩露憑據時定期更新該數據庫。ATP依 IP 位址和用戶端工作階段彙總資料,以偵測並封鎖傳送太多可疑要求的用戶端。
回應檢查 — 對於 CloudFront 散佈,除了檢查傳入的登入要求外,ATP規則群組還會檢查應用程式對登入嘗試的回應,以追蹤成功率和失敗率。使用此資訊,ATP可以暫時封鎖登入失敗過多的用戶端工作階段或 IP 位址。 AWS WAF 異步執行響應檢查,因此這不會增加 Web 流量的延遲。
使用此規則群組的注意事項
此規則群組需要特定的組態。若要設定和實作此規則群組,請參閱中的指引防止帳戶接管 AWS WAF 防止欺詐控制帳戶接管()ATP。
此規則群組是中智慧型威脅緩解防護措施的一部分 AWS WAF如需相關資訊,請參閱實作智慧型威脅防護功能 AWS WAF。
注意
使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價
為了降低成本並確保您正在管理您的網絡流量,請根據指導使用此規則組智慧型威脅緩解的最佳做法 AWS WAF。
此規則群組無法與 Amazon Cognito 使用者集區搭配使用。您無法將使用此規則群組ACL的網頁與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區關聯的網頁ACL。
此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web 中此規則群組之後執行的規則ACL。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱在網頁要求上使用標籤和標示量度和維度。
令牌標籤
此規則群組使用 AWS WAF 令牌管理,根據 Web 請求的狀態檢查和標記 AWS WAF 令牌。 AWS WAF 使用令牌進行客戶端會話跟踪和驗證。
如需有關權杖和權杖管理的資訊,請參閱在網絡請求上使用令牌 AWS WAF。
如需此處所描述的標示元件的資訊,請參閱標籤語法和命名要求 AWS WAF。
客戶端會話標籤
標籤awswaf:managed:token:id:包含唯一識別碼, AWS WAF 權杖管理用來識別用戶端工作階段。如果客戶端獲取新令牌,則標識符可能會更改,例如在丟棄正在使用的令牌之後。identifier
注意
AWS WAF 不報告此標籤的 Amazon CloudWatch 指標。
令牌狀態標籤:標籤命名空間前綴
權杖狀態標籤會報告權杖的狀態、挑戰及其包含的CAPTCHA資訊。
每個令牌狀態標籤都以下列命名空間前綴之一開始:
awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。awswaf:managed:captcha:— 用於報告令牌CAPTCHA信息的狀態。
權杖狀態標籤:標籤名稱
在前綴之後,標籤的其餘部分提供了詳細的令牌狀態信息:
accepted-請求令牌存在並包含以下內容:一個有效的挑戰或CAPTCHA解決方案。
未過期的挑戰或CAPTCHA時間戳記。
適用於網路的網域規格ACL。
示例:該標籤
awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案,未過期的挑戰時間戳和有效的域。-
rejected— 請求令牌存在,但不符合驗收標準。隨著拒絕的標籤,令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。
rejected:not_solved— 令牌缺少挑戰或CAPTCHA解決方案.rejected:expired— 根據您網絡配置的令牌免疫時間,令牌ACL的挑戰或時CAPTCHA間戳已過期。rejected:domain_mismatch— 令牌的域與您的網絡ACL的令牌域配置不匹配。rejected:invalid– AWS WAF 無法讀取指示的令牌。
示例:標籤
awswaf:managed:captcha:rejected並awswaf:managed:captcha:rejected:expired指示請求被拒絕,因為令牌中的時間CAPTCHA戳已超過 Web 中配置的CAPTCHA令牌免疫時間ACL。 -
absent-請求沒有令牌或令牌管理器無法讀取它。示例:標籤
awswaf:managed:captcha:absent表示請求沒有令牌。
ATP標籤
受ATP管規則群組會產生具有命名空間前置詞的標籤,awswaf:managed:aws:atp:後面接著自訂命名空間和標籤名稱。
除了規則清單中註明的標籤之外,規則群組可能會新增下列任何標籤:
-
awswaf:managed:aws:atp:signal:credential_compromised— 指出要求中提交的認證位於遭竊的認證資料庫中。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 僅適用於受保護的 Amazon CloudFront 分發。指出用戶端工作階段已傳送多個使用可疑指TLS紋的要求。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— 指示在 5 個以上的不同 IP 位址中使用單一權杖。此規則套用的臨界值可能會因延遲而略有不同。在套用標籤之前,一些要求可能會使其超出限制。
您可以透過呼叫API來擷取規則群組的所有標籤DescribeManagedRuleGroup。標示會在回應中列示在AvailableLabels性質中。
帳戶接管防止規則清單
本節列出中的ATP規則以AWSManagedRulesATPRuleSet及規則群組規則新增至 Web 要求的標籤。
注意
我們針對中的規則發布的信息 AWS Managed Rules 規則群組旨在為您提供足夠的資訊來使用規則,同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊比您在本文件中找到的更多資訊,請聯絡 AWS Support 中心
| 規則名稱 | 說明和標籤 |
|---|---|
UnsupportedCognitoIDP |
檢查進入 Amazon Cognito 使用者集區的網路流量。ATP不適用於 Amazon Cognito 使用者集區,此規則有助於確保不使用其他規ATP則群組規則來評估使用者集區流量。 規則動作:Block 標籤: |
VolumetricIpHigh |
檢查從個別 IP 位址傳送的大量要求。在 10 分鐘的視窗中,高容量超過 20 個請求。 注意此規則套用的臨界值可能會因延遲而略有不同。對於大量,在套用規則動作之前,一些要求可能會超出限制。 規則動作:Block 標籤: 規則群組會將下列標籤套用至具有中等磁碟區 (每 10 分鐘時段超過 15 個請求) 和低磁碟區 (每 10 分鐘時段超過 10 個請求) 的請求,但不對這些請求採取任何動作: |
VolumetricSession |
檢查從個別用戶端工作階段傳送的大量要求。臨界值為每 30 分鐘視窗 20 個以上的請求。 此檢查僅適用於 Web 請求具有令牌時。通過應用程序集成SDKs和規則操作將令牌添加到請求中 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱在網絡請求上使用令牌 AWS WAF。 注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。 規則動作:Block 標籤: |
AttributeCompromisedCredentials |
檢查來自使用失竊認證的相同用戶端工作階段的多個要求。 規則動作:Block 標籤: |
AttributeUsernameTraversal |
檢查來自使用使用者名遍歷的相同用戶端工作階段的多個要求。 規則動作:Block 標籤: |
AttributePasswordTraversal |
檢查具有使用密碼遍歷的相同使用者名稱的多個請求。 規則動作:Block 標籤: |
AttributeLongSession |
檢查來自使用長期工作階段的相同用戶端工作階段的多個要求。臨界值是超過 6 小時的流量,每 30 分鐘至少有一個登入要求。 此檢查僅適用於 Web 請求具有令牌時。通過應用程序集成SDKs和規則操作將令牌添加到請求中 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱在網絡請求上使用令牌 AWS WAF。 規則動作:Block 標籤: |
TokenRejected |
檢查具有被拒絕的令牌的請求 AWS WAF 令牌管理。 此檢查僅適用於 Web 請求具有令牌時。通過應用程序集成SDKs和規則操作將令牌添加到請求中 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱在網絡請求上使用令牌 AWS WAF。 規則動作:Block 標籤:無。若要檢查拒絕的權杖,請使用標籤比對規則在標籤上進行比對: |
SignalMissingCredential |
檢查缺少使用者名稱或密碼的認證的要求。 規則動作:Block 標籤: |
VolumetricIpFailedLoginResponseHigh |
檢查最近成為登入嘗試失敗率過高的來源的 IP 位址。在 10 分鐘的時間內,高磁碟區是來自 IP 位址的 10 個以上失敗登入要求。 如果您已將規則群組設定為檢查回應主體或JSON元件, AWS WAF 可以檢查這些元件類型的前 65,536 位元組 (64 KB),以取得成功或失敗指示器。 此規則會根據受保護資源對來自同一 IP 位址的最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自 IP 位址的新 Web 請求。您可以定義設定規則群組時計算成功與失敗項目的方式。 注意AWS WAF 僅在保護 Amazon CloudFront 分發的網路ACLs中評估此規則。 注意此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送失敗的登入嘗試次數超過規則在後續嘗試開始比對之前允許的數量。 規則動作:Block 標籤: 規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 10 分鐘的窗口。 |
VolumetricSessionFailedLoginResponseHigh |
檢查最近是否有登入嘗試失敗率過高的用戶端工作階段。在 30 分鐘的時間內,高磁碟區是來自用戶端工作階段的 10 個以上失敗登入要求。 如果您已將規則群組設定為檢查回應主體或JSON元件, AWS WAF 可以檢查這些元件類型的前 65,536 位元組 (64 KB),以取得成功或失敗指示器。 此規則會根據受保護資源對來自相同用戶端工作階段最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自用戶端工作階段的新 Web 要求。您可以定義設定規則群組時計算成功與失敗項目的方式。 注意AWS WAF 僅在保護 Amazon CloudFront 分發的網路ACLs中評估此規則。 注意此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送失敗的登入嘗試次數超過規則在後續嘗試開始比對之前允許的數量。 此檢查僅適用於 Web 請求具有令牌時。通過應用程序集成SDKs和規則操作將令牌添加到請求中 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱在網絡請求上使用令牌 AWS WAF。 規則動作:Block 標籤: 規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 30 分鐘的窗口。 |
