Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS WAF Regelgruppe zur Erstellung von Fraud Control-Konten zur Betrugsprävention (ACFP)
In diesem Abschnitt wird erklärt, was AWS WAF Funktion der verwalteten Regelgruppe Fraud Control Accounts Fraud Prevention (ACFP).
VendorName:AWS, Name:AWSManagedRulesACFPRuleSet
Das Tool AWS WAF Fraud Control: Kontoerstellung, Betrugsprävention (ACFP), verwaltete Regelgruppe kennzeichnet und verwaltet Anfragen, die Teil betrügerischer Kontoerstellungsversuche sein könnten. Zu diesem Zweck überprüft die Regelgruppe Anfragen zur Kontoerstellung, die Kunden an die Registrierungs- und Kontoerstellungsendpunkte Ihrer Anwendung senden.
Die ACFP Regelgruppe untersucht Versuche zur Kontoerstellung auf verschiedene Weise, um Ihnen Transparenz und Kontrolle über potenziell böswillige Interaktionen zu geben. Die Regelgruppe verwendet Anforderungstoken, um Informationen über den Client-Browser und den Grad der menschlichen Interaktivität bei der Erstellung der Anfrage zur Kontoerstellung zu sammeln. Die Regelgruppe erkennt und verwaltet Versuche zur Erstellung mehrerer Konten, indem sie Anfragen nach IP-Adresse und Clientsitzung aggregiert und anhand der bereitgestellten Kontoinformationen wie der physischen Adresse und Telefonnummer aggregiert. Darüber hinaus erkennt und blockiert die Regelgruppe die Erstellung neuer Konten unter Verwendung kompromittierter Anmeldeinformationen. Dies trägt zum Schutz der Sicherheitslage Ihrer Anwendung und Ihrer neuen Benutzer bei.
Überlegungen zur Verwendung dieser Regelgruppe
Diese Regelgruppe erfordert eine benutzerdefinierte Konfiguration, die die Angabe der Kontoregistrierungs- und Kontoerstellungspfade Ihrer Anwendung umfasst. Sofern nicht anders angegeben, überprüfen die Regeln in dieser Regelgruppe alle Anfragen, die Ihre Kunden an diese beiden Endpunkte senden. Anleitungen zur Konfiguration und Implementierung dieser Regelgruppe finden Sie unter Verhinderung von Betrug bei der Kontoerstellung mit AWS WAF Betrugskontrolle, Kontoerstellung, Betrugsprävention (ACFP).
Anmerkung
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF Preisgestaltung
Diese Regelgruppe ist Teil des intelligenten Schutzes zur Abwehr von Bedrohungen in AWS WAF Weitere Informationen finden Sie unter Implementierung intelligenter Bedrohungsabwehr in AWS WAF..
Um Ihre Kosten niedrig zu halten und sicherzustellen, dass Sie Ihren Web-Traffic nach Ihren Wünschen verwalten, verwenden Sie diese Regelgruppe gemäß den Anweisungen unter. Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF
Diese Regelgruppe ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar. Sie können ein WebACL, das diese Regelgruppe verwendet, keinem Benutzerpool zuordnen, und Sie können diese Regelgruppe nicht einem Web hinzufügenACL, das bereits einem Benutzerpool zugeordnet ist.
Von dieser Regelgruppe hinzugefügte Bezeichnungen
Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Web ACL ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter Verwendung von Labels bei Webanfragen undKennzeichnen Sie Metriken und Dimensionen.
Token-Labels
Diese Regelgruppe verwendet AWS WAF Token-Management zur Überprüfung und Kennzeichnung von Webanfragen entsprechend dem Status ihrer AWS WAF Tokens. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Client-Sitzungen.
Hinweise zu Token und Tokenverwaltung finden Sie unterVerwendung von Tokens für Webanfragen in AWS WAF.
Informationen zu den hier beschriebenen Label-Komponenten finden Sie unterAnforderungen an Labelsyntax und Benennung in AWS WAF.
Bezeichnung der Clientsitzung
Das Label awswaf:managed:token:id: enthält eine eindeutige Kennung, die AWS WAF Die Tokenverwaltung verwendet, um die Clientsitzung zu identifizieren. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. identifier
Anmerkung
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.
Token-Statusbezeichnungen: Namespace-Präfixe für Labels
Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Herausforderung und der darin CAPTCHA enthaltenen Informationen.
Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe:
awswaf:managed:token:— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden.awswaf:managed:captcha:— Wird verwendet, um über den Status der CAPTCHA Token-Informationen zu berichten.
Token-Statusbezeichnungen: Labelnamen
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status:
accepted— Das Anforderungstoken ist vorhanden und enthält Folgendes:Eine gültige Herausforderung oder CAPTCHA Lösung.
Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA Zeitstempel.
Eine Domainspezifikation, die für das Web gültig ist. ACL
Beispiel: Das Label
awswaf:managed:token:acceptedgibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.-
rejected— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien.Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben.
rejected:not_solved— Dem Token fehlt die Herausforderung oder CAPTCHA Lösung.rejected:expired— Die Herausforderung oder der CAPTCHA Zeitstempel des Tokens sind gemäß den in Ihrer Website ACL konfigurierten Token-Immunitätszeiten abgelaufen.rejected:domain_mismatch— Die Domain des Tokens entspricht nicht der ACL Token-Domain-Konfiguration Ihrer Website.rejected:invalid– AWS WAF konnte das angegebene Token nicht lesen.
Beispiel: Die Bezeichnungen
awswaf:managed:captcha:rejectedundawswaf:managed:captcha:rejected:expiredgeben an, dass die Anfrage abgelehnt wurde, weil der CAPTCHA Zeitstempel im CAPTCHA Token die im Web ACL konfigurierte Token-Immunitätszeit überschritten hat. -
absent— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen.Beispiel: Das Label
awswaf:managed:captcha:absentgibt an, dass die Anfrage das Token nicht enthält.
ACFPBeschriftungen
Diese Regelgruppe generiert Beschriftungen mit dem Namespace-Präfix, awswaf:managed:aws:acfp: gefolgt vom benutzerdefinierten Namespace und dem Labelnamen. Die Regelgruppe kann einer Anfrage mehr als ein Label hinzufügen.
Sie können alle Labels für eine Regelgruppe über den abrufen, API indem Sie anrufenDescribeManagedRuleGroup. Die Kennzeichnungen werden in der Eigenschaft AvailableLabels in der Antwort aufgeführt.
Liste der Regeln zur Kontoerstellung und Betrugsprävention
In diesem Abschnitt sind die ACFP Regeln AWSManagedRulesACFPRuleSet und die Bezeichnungen aufgeführt, die die Regeln der Regelgruppe Webanfragen hinzufügen.
Anmerkung
Die Informationen, die wir für die Regeln veröffentlichen, finden Sie im AWS Regelgruppen mit verwalteten Regeln sollen Ihnen genügend Informationen zur Verfügung stellen, damit Sie die Regeln verwenden können, aber keine Informationen bereitstellen, mit denen böswillige Akteure die Regeln umgehen könnten. Wenn Sie mehr Informationen benötigen, als Sie in dieser Dokumentation finden, wenden Sie sich an AWS Support Zentrum
Für alle Regeln in dieser Regelgruppe ist ein Webanforderungstoken erforderlich, mit Ausnahme der ersten beiden UnsupportedCognitoIDP undAllRequests. Eine Beschreibung der Informationen, die das Token bereitstellt, finden Sie unterAWS WAF Token-Eigenschaften.
Sofern nicht anders angegeben, überprüfen die Regeln in dieser Regelgruppe alle Anfragen, die Ihre Kunden an die Pfade zur Kontoregistrierung und Kontoerstellung senden, die Sie in der Regelgruppenkonfiguration angeben. Informationen zur Konfiguration dieser Regelgruppe finden Sie unterVerhinderung von Betrug bei der Kontoerstellung mit AWS WAF Betrugskontrolle, Kontoerstellung, Betrugsprävention (ACFP).
| Regelname | Beschreibung und Kennzeichnung |
|---|---|
UnsupportedCognitoIDP |
Prüft, ob Web-Traffic an einen Amazon Cognito Cognito-Benutzerpool gesendet wird. ACFPist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar, und diese Regel trägt dazu bei, dass die anderen ACFP Regelgruppenregeln nicht zur Auswertung des Benutzerpool-Traffics verwendet werden. Regelaktion: Block Labels: |
AllRequests |
Wendet die Regelaktion auf Anfragen an, die auf den Pfad der Registrierungsseite zugreifen. Sie konfigurieren den Pfad der Registrierungsseite, wenn Sie die Regelgruppe konfigurieren. Standardmäßig gilt diese Regel für Challenge auf Anfragen. Durch die Anwendung dieser Aktion stellt die Regel sicher, dass der Client ein Challenge-Token erhält, bevor Anfragen von den übrigen Regeln in der Regelgruppe ausgewertet werden. Stellen Sie sicher, dass Ihre Endbenutzer den Pfad der Registrierungsseite laden, bevor sie eine Anfrage zur Kontoerstellung einreichen. Token werden durch die Client-Anwendungsintegration SDKs und durch die Regelaktionen zu Anfragen hinzugefügt CAPTCHA and Challenge. Für die effizienteste Token-Akquisition empfehlen wir Ihnen dringend, die Anwendungsintegration zu verwendenSDKs. Weitere Informationen finden Sie unter Verwenden von Client-Anwendungsintegrationen mit AWS WAF. Aktion der Regel: Challenge Beschriftungen: Keine |
RiskScoreHigh |
Prüft auf Anfragen zur Kontoerstellung mit IP-Adressen oder anderen Faktoren, die als äußerst verdächtig angesehen werden. Diese Bewertung basiert in der Regel auf mehreren Faktoren, die dazu beitragen. Sie können den Aktion der Regel: Block Labels: Die Regel kann auch Labels Wenn AWS WAF ist bei der Bewertung der Risikobewertung für die Webanfrage nicht erfolgreich, die Regel fügt die Bezeichnung hinzu Darüber hinaus fügt die Regel dem Namespace |
SignalCredentialCompromised |
Durchsucht die Datenbank mit gestohlenen Anmeldeinformationen nach den Anmeldeinformationen, die in der Anfrage zur Kontoerstellung übermittelt wurden. Diese Regel stellt sicher, dass neue Kunden ihre Konten mit einer positiven Sicherheitslage initialisieren. AnmerkungSie können eine benutzerdefinierte Blockierungsantwort hinzufügen, um Ihrem Endbenutzer das Problem zu beschreiben und ihm mitzuteilen, wie er vorgehen soll. Weitere Informationen finden Sie unter ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen. Aktion der Regel: Block Labels: Die Regelgruppe wendet das folgende zugehörige Label an, unternimmt jedoch keine Maßnahmen, da nicht alle Anfragen bei der Kontoerstellung über Anmeldeinformationen verfügen: |
SignalClientHumanInteractivityAbsentLow |
Überprüft das Token der Anfrage zur Kontoerstellung auf Daten, die auf eine abnormale menschliche Interaktion mit der Anwendung hinweisen. Menschliche Interaktivität wird anhand von Interaktionen wie Mausbewegungen und Tastendrücken erkannt. Wenn die Seite über ein HTML Formular verfügt, umfasst die menschliche Interaktivität Interaktionen mit dem Formular. AnmerkungDiese Regel prüft nur Anfragen an den Pfad zur Kontoerstellung und wird nur ausgewertet, wenn Sie die Anwendungsintegration implementiert haben. SDKs Die SDK Implementierungen erfassen passiv die menschliche Interaktivität und speichern die Informationen im Anforderungstoken. Weitere Informationen erhalten Sie unter AWS WAF Token-Eigenschaften und Verwenden von Client-Anwendungsintegrationen mit AWS WAF. Regelaktion: CAPTCHA Beschriftungen: Keine. Die Regel bestimmt eine Übereinstimmung auf der Grundlage verschiedener Faktoren, sodass es keine individuelle Bezeichnung gibt, die für jedes mögliche Übereinstimmungsszenario gilt. Die Regelgruppe kann eine oder mehrere der folgenden Bezeichnungen auf Anfragen anwenden:
|
AutomatedBrowser |
Prüft auf Anzeichen dafür, dass der Client-Browser möglicherweise automatisiert ist. Regelaktion: Block Labels: |
BrowserInconsistency |
Überprüft das Token der Anfrage auf inkonsistente Browser-Abfragedaten. Weitere Informationen finden Sie unter AWS WAF Token-Eigenschaften. Regelaktion: CAPTCHA Labels: |
VolumetricIpHigh |
Prüft, ob große Mengen von Anfragen zur Kontoerstellung von einzelnen IP-Adressen gesendet werden. Ein hohes Volumen besteht aus mehr als 20 Anfragen innerhalb eines Zeitfensters von 10 Minuten. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einem hohen Volumen können einige Anfragen das Limit überschreiten, bevor die Regelaktion angewendet wird. Regelaktion: CAPTCHA Labels: Die Regel wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 15 Anfragen pro 10-Minuten-Fenster) und geringem Volumen (mehr als 10 Anfragen pro 10-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: |
VolumetricSessionHigh |
Prüft auf große Mengen von Anfragen zur Kontoerstellung, die aus einzelnen Kundensitzungen gesendet wurden. Bei einem hohen Volumen handelt es sich um mehr als 10 Anfragen innerhalb eines Zeitfensters von 30 Minuten. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: Block Labels: Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 5 Anfragen pro 30-Minuten-Fenster) und geringem Volumen (mehr als 1 Anfrage pro 30-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: |
AttributeUsernameTraversalHigh |
Prüft auf eine hohe Anzahl von Anfragen zur Kontoerstellung aus einer einzelnen Clientsitzung, die unterschiedliche Benutzernamen verwenden. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 10 Anfragen innerhalb von 30 Minuten. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: Block Labels: Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 5 Anfragen pro 30-Minuten-Fenster) und geringem Volumen (mehr als 1 Anfrage pro 30-Minuten-Fenster) an Anfragen zur Durchquerung von Benutzernamen an, ergreift jedoch keine Maßnahmen dafür: |
VolumetricPhoneNumberHigh |
Prüft auf große Mengen von Anfragen zur Kontoerstellung, für die dieselbe Telefonnummer verwendet wird. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 10 Anfragen innerhalb von 30 Minuten. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: Block Labels: Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 5 Anfragen pro 30-Minuten-Fenster) und geringem Volumen (mehr als 1 Anfrage pro 30-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: |
VolumetricAddressHigh |
Prüft auf große Mengen von Anfragen zur Kontoerstellung, die dieselbe physische Adresse verwenden. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 100 Anfragen pro 30-Minuten-Fenster. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: Block Labels: |
VolumetricAddressLow |
Prüft auf geringe und mittlere Mengen von Anfragen zur Kontoerstellung, die dieselbe physische Adresse verwenden. Der Schwellenwert für eine mittlere Bewertung liegt bei mehr als 50 Anfragen pro 30-Minuten-Fenster und bei einer niedrigen Bewertung bei mehr als 10 Anfragen pro 30-Minuten-Fenster. Die Regel wendet die Aktion entweder für mittlere oder niedrige Volumen an. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: CAPTCHA Labels: |
VolumetricIPSuccessfulResponse |
Prüft, ob eine große Anzahl erfolgreicher Anfragen zur Kontoerstellung für eine einzelne IP-Adresse vorliegt. Diese Regel fasst erfolgreiche Antworten von der geschützten Ressource auf Anfragen zur Kontoerstellung zusammen. Der Schwellenwert für eine hohe Bewertung liegt bei mehr als 10 Anfragen pro 10-Minuten-Fenster. Diese Regel schützt vor Versuchen, Konten massenweise zu erstellen. Sie hat einen niedrigeren Schwellenwert als die Regel Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Hauptteil oder die JSON Komponenten der Antwort überprüft, AWS WAF kann die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen. Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen von einer IP-Adresse an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche von derselben IP-Adresse. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Misserfolge gezählt werden. AnmerkungAWS WAF wertet diese Regel nur im Internet ausACLs, das CloudFront Amazon-Distributionen schützt. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr erfolgreiche Versuche zur Kontoerstellung sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt. Aktion der Regel: Block Labels: Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an, ohne dass eine Aktion damit verknüpft ist. Alle Zählungen beziehen sich auf ein Zeitfenster von 10 Minuten. |
VolumetricSessionSuccessfulResponse |
Überprüft, ob die geschützte Ressource nur wenige erfolgreiche Antworten auf Anfragen zur Kontoerstellung gesendet hat, die von einer einzelnen Clientsitzung aus gesendet wurden. Dies trägt zum Schutz vor Versuchen zur Erstellung mehrerer Konten bei. Der Schwellenwert für eine niedrige Bewertung liegt bei mehr als 1 Anfrage pro 30-Minuten-Fenster. Dies schützt vor Versuchen, Konten in großen Mengen zu erstellen. Diese Regel verwendet einen niedrigeren Schwellenwert als die Regel Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Hauptteil oder die JSON Komponenten der Antwort überprüft, AWS WAF kann die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen. Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen aus einer Clientsitzung an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche in derselben Clientsitzung. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Misserfolge gezählt werden. AnmerkungAWS WAF wertet diese Regel nur im Internet ausACLs, das CloudFront Amazon-Distributionen schützt. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr fehlgeschlagene Versuche zur Kontoerstellung sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt. Aktion der Regel: Block Labels: Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an. Alle Zählungen beziehen sich auf ein Zeitfenster von 30 Minuten. |
VolumetricSessionTokenReuseIp |
Prüft Anfragen zur Kontoerstellung auf die Verwendung eines einzelnen Tokens unter mehr als 5 verschiedenen IP-Adressen. AnmerkungDie Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: Block Labels: |
