Verwendung dieser Regelgruppe Von dieser Regelgruppe hinzugefügte Labels Liste der Regeln

AWS WAF Regelgruppe zur Verhinderung von Kontoübernahmen (ATP) zur Betrugsbekämpfung

VendorName:AWS, Name:AWSManagedRulesATPRuleSet, WCU: 50

Die verwaltete Regelgruppe zur Verhinderung von Kontoübernahmen ( AWS WAF Fraud Control Account Takeover Prevention, ATP) kennzeichnet und verwaltet Anfragen, die Teil böswilliger Kontoübernahmeversuche sein könnten. Zu diesem Zweck untersucht die Regelgruppe Anmeldeversuche, die Clients an den Anmeldeendpunkt Ihrer Anwendung senden.

Überprüfung von Anfragen — ATP bietet Ihnen Transparenz und Kontrolle über ungewöhnliche Anmeldeversuche und Anmeldeversuche, bei denen gestohlene Anmeldeinformationen verwendet werden, um Kontoübernahmen zu verhindern, die zu betrügerischen Aktivitäten führen könnten. ATP überprüft E-Mail- und Passwortkombinationen anhand seiner Datenbank mit gestohlenen Anmeldeinformationen, die regelmäßig aktualisiert wird, sobald neue durchgesickerte Anmeldeinformationen im Dark Web gefunden werden. ATP aggregiert Daten nach IP-Adresse und Clientsitzung, um Clients zu erkennen und zu blockieren, die zu viele Anfragen verdächtiger Art senden.
Überprüfung der Antworten — Bei CloudFront Verteilungen untersucht die ATP-Regelgruppe nicht nur eingehende Anmeldeanfragen, sondern auch die Antworten Ihrer Anwendung auf Anmeldeversuche, um Erfolgs- und Fehlschlagquoten nachzuverfolgen. Mithilfe dieser Informationen kann ATP vorübergehend Clientsitzungen oder IP-Adressen blockieren, bei denen zu viele Anmeldefehler aufgetreten sind. AWS WAF führt die Antwortprüfung asynchron durch, sodass die Latenz Ihres Webverkehrs dadurch nicht erhöht wird.

Überlegungen zur Verwendung dieser Regelgruppe

Für diese Regelgruppe ist eine spezielle Konfiguration erforderlich. Anleitungen zur Konfiguration und Implementierung dieser Regelgruppe finden Sie unter AWS WAF Verhinderung von Kontoübernahmen bei der Betrugsbekämpfung (ATP).

Diese Regelgruppe ist Teil der intelligenten Schutzmaßnahmen zur Abwehr von Bedrohungen in. AWS WAF Weitere Informationen finden Sie unter AWS WAF intelligente Bedrohungsabwehr.

Anmerkung

Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

Um Ihre Kosten niedrig zu halten und sicherzustellen, dass Sie Ihren Web-Traffic nach Ihren Wünschen verwalten, verwenden Sie diese Regelgruppe gemäß den Anweisungen unterBewährte Methoden für intelligente Bedrohungsabwehr.

Diese Regelgruppe ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar. Sie können eine Web-ACL, die diese Regelgruppe verwendet, keinem Benutzerpool zuordnen, und Sie können diese Regelgruppe nicht zu einer Web-ACL hinzufügen, die bereits einem Benutzerpool zugeordnet ist.

Von dieser Regelgruppe hinzugefügte Labels

Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrer Web-ACL ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter Bezeichnungen bei Webanforderungen undKennzeichnen Sie Metriken und Dimensionen.

Token-Labels

Diese Regelgruppe verwendet AWS WAF Tokenverwaltung, um Webanfragen anhand des Status ihrer AWS WAF Token zu überprüfen und zu kennzeichnen. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Clientsitzungen.

Hinweise zu Token und Tokenverwaltung finden Sie unterAWS WAF Webanforderungstoken.

Informationen zu den hier beschriebenen Label-Komponenten finden Sie unterAWS WAF Anforderungen an die Labelsyntax und die Benennung.

Bezeichnung der Clientsitzung

Das Label awswaf:managed:token:id:identifier enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat.

Anmerkung

AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.

Token-Statusbezeichnungen: Namespace-Präfixe für Labels

Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen.

Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe:

awswaf:managed:token:— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden.
awswaf:managed:captcha:— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten.

Token-Statusbezeichnungen: Labelnamen

Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status:

accepted— Das Anforderungstoken ist vorhanden und enthält Folgendes:
- Eine gültige Challenge oder CAPTCHA-Lösung.
- Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
- Eine Domainspezifikation, die für die Web-ACL gültig ist.
Beispiel: Das Label awswaf:managed:token:accepted gibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.
rejected— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien.

Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben.
- rejected:not_solved— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung.
- rejected:expired— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den von Ihrer Web-ACL konfigurierten Token-Immunitätszeiten abgelaufen.
- rejected:domain_mismatch— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihrer Web-ACL.
- rejected:invalid— Das angegebene Token AWS WAF konnte nicht gelesen werden.
Beispiel: Die Labels awswaf:managed:captcha:rejected und awswaf:managed:captcha:rejected:expired geben an, dass die Anfrage abgelehnt wurde, weil der CAPTCHA-Zeitstempel im Token die in der Web-ACL konfigurierte CAPTCHA-Token-Immunitätszeit überschritten hat.
absent— Die Anfrage hat das Token nicht oder der Token-Manager konnte es nicht lesen.

Beispiel: Das Label awswaf:managed:captcha:absent gibt an, dass die Anfrage das Token nicht enthält.

ATP-Beschriftungen

Die von ATP verwaltete Regelgruppe generiert Labels mit dem Namespace-Präfix, awswaf:managed:aws:atp: gefolgt vom benutzerdefinierten Namespace und dem Labelnamen.

Die Regelgruppe kann zusätzlich zu den Bezeichnungen, die in der Regelliste aufgeführt sind, eines der folgenden Labels hinzufügen:

awswaf:managed:aws:atp:signal:credential_compromised— Zeigt an, dass sich die Anmeldeinformationen, die in der Anfrage übermittelt wurden, in der Datenbank mit gestohlenen Anmeldeinformationen befinden.
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Nur für geschützte CloudFront Amazon-Distributionen verfügbar. Zeigt an, dass eine Clientsitzung mehrere Anfragen gesendet hat, bei denen ein verdächtiger TLS-Fingerabdruck verwendet wurde.
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— Weist auf die Verwendung eines einzelnen Tokens unter mehr als 5 verschiedenen IP-Adressen hin. Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor das Etikett angewendet wird.

Sie können alle Labels für eine Regelgruppe über die API abrufen, indem Sie aufrufenDescribeManagedRuleGroup. Die Kennzeichnungen werden in der Eigenschaft AvailableLabels in der Antwort aufgeführt.

Liste der Regeln zur Verhinderung von Kontoübernahmen

In diesem Abschnitt sind die ATP-Regeln AWSManagedRulesATPRuleSet und die Bezeichnungen aufgeführt, die die Regeln der Regelgruppe Webanfragen hinzufügen.

Anmerkung

Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen genügend Informationen zur Verfügung stellen, um die Regeln zu verwenden, ohne dass böswillige Akteure die Regeln umgehen könnten. Wenn Sie mehr Informationen benötigen, als Sie in dieser Dokumentation finden, wenden Sie sich an das AWS Support Center.

Regelname	Beschreibung und Kennzeichnung
`UnsupportedCognitoIDP`	Prüft, ob Web-Traffic an einen Amazon Cognito Cognito-Benutzerpool gesendet wird. ATP ist nicht für die Verwendung mit Amazon Cognito Cognito-Benutzerpools verfügbar, und diese Regel trägt dazu bei, dass die anderen ATP-Regelgruppenregeln nicht zur Auswertung des Benutzerpool-Datenverkehrs verwendet werden. Regelaktion: Block Label: `awswaf:managed:aws:atp:unsupported:cognito_idp`
`VolumetricIpHigh`	Prüft auf eine hohe Anzahl von Anforderungen, die von einzelnen IP-Adressen gesendet werden. Ein hohes Volumen umfasst mehr als 20 Anfragen in einem 10-Minuten-Fenster. Anmerkung Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einem hohen Volumen können einige Anfragen das Limit überschreiten, bevor die Regelaktion angewendet wird. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` Die Regelgruppe wendet die folgenden Bezeichnungen auf Anfragen mit mittlerem Volumen (mehr als 15 Anfragen pro 10-Minuten-Fenster) und geringem Volumen (mehr als 10 Anfragen pro 10-Minuten-Fenster) an, ergreift jedoch keine Maßnahmen dafür: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` und`awswaf:managed:aws:atp:aggregate:volumetric:ip:low`.
`VolumetricSession`	Prüft, ob große Mengen von Anfragen aus einzelnen Clientsitzungen gesendet wurden. Der Schwellenwert liegt bei mehr als 20 Anfragen pro 30-Minuten-Fenster. Diese Inspektion gilt nur, wenn die Webanforderung über ein Token verfügt. Token werden Anfragen durch die Anwendungsintegrations-SDKs und durch die Regelaktionen CAPTCHA und Challenge hinzugefügt. Weitere Informationen finden Sie unter AWS WAF Webanforderungstoken. Anmerkung Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Bei einigen Anfragen wird möglicherweise das Limit überschritten, bevor die Regelaktion angewendet wird. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:session`
`AttributeCompromisedCredentials`	Prüft, ob mehrere Anfragen aus derselben Clientsitzung stammen und für die gestohlene Anmeldeinformationen verwendet wurden. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials`
`AttributeUsernameTraversal`	Prüft, ob mehrere Anfragen aus derselben Clientsitzung stammen und die Benutzernamendurchquerung verwenden. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal`
`AttributePasswordTraversal`	Prüft, ob mehrere Anfragen mit demselben Benutzernamen vorhanden sind, die das Durchqueren von Passwörtern verwenden. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal`
`AttributeLongSession`	Prüft, ob mehrere Anfragen aus derselben Clientsitzung stammen, für die lang andauernde Sitzungen verwendet werden. Der Schwellenwert liegt bei mehr als 6 Stunden Traffic, bei dem alle 30 Minuten mindestens eine Anmeldeanfrage gestellt wird. Diese Prüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegrations-SDKs und durch die Regelaktionen CAPTCHA und Challenge hinzugefügt. Weitere Informationen finden Sie unter AWS WAF Webanforderungstoken. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:attribute:long_session`
`TokenRejected`	Prüft auf Anfragen mit Tokens, die von der AWS WAF Tokenverwaltung abgelehnt wurden. Diese Inspektion gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegrations-SDKs und durch die Regelaktionen CAPTCHA und Challenge hinzugefügt. Weitere Informationen finden Sie unter AWS WAF Webanforderungstoken. Regelaktion: Block Bezeichnung: Keine. Um zu überprüfen, ob das Token zurückgewiesen wurde, verwenden Sie eine Label-Abgleichsregel, um den Abgleich auf dem Etikett vorzunehmen: `awswaf:managed:token:rejected`
`SignalMissingCredential`	Prüft auf Anfragen mit Anmeldeinformationen, bei denen der Benutzername oder das Passwort fehlt. Regelaktion: Block Label: `awswaf:managed:aws:atp:signal:missing_credential`
`VolumetricIpFailedLoginResponseHigh`	Sucht nach IP-Adressen, die in letzter Zeit die Ursache für eine zu hohe Anzahl fehlgeschlagener Anmeldeversuche waren. Ein hohes Volumen besteht aus mehr als 10 fehlgeschlagenen Anmeldeanfragen von einer IP-Adresse innerhalb eines Zeitfensters von 10 Minuten. Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Antworttext oder die JSON-Komponenten überprüft, AWS WAF können Sie die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen. Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen von einer IP-Adresse an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche von derselben IP-Adresse. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Misserfolge gezählt werden. Anmerkung AWS WAF wertet diese Regel nur in Web-ACLs aus, die CloudFront Amazon-Distributionen schützen. Anmerkung Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr fehlgeschlagene Anmeldeversuche sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an, ohne dass eine Aktion damit verknüpft ist. Alle Zählungen beziehen sich auf ein Zeitfenster von 10 Minuten. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`für mehr als 5 fehlgeschlagene Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` für mehr als 1 fehlgeschlagene Anfrage, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` für mehr als 10 erfolgreiche Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` für mehr als 5 erfolgreiche Anfragen und `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` für mehr als 1 erfolgreiche Anfrage.
`VolumetricSessionFailedLoginResponseHigh`	Sucht nach Clientsitzungen, die in letzter Zeit zu viele fehlgeschlagene Anmeldeversuche verursacht haben. Ein hohes Volumen besteht aus mehr als 10 fehlgeschlagenen Anmeldeanfragen aus einer Clientsitzung innerhalb eines Zeitfensters von 30 Minuten. Wenn Sie die Regelgruppe so konfiguriert haben, dass sie den Antworttext oder die JSON-Komponenten überprüft, AWS WAF können Sie die ersten 65.536 Byte (64 KB) dieser Komponententypen auf Erfolgs- oder Fehlerindikatoren überprüfen. Diese Regel wendet die Regelaktion und -kennzeichnung auf neue Webanfragen aus einer Clientsitzung an und basiert auf den Erfolgs- und Fehlschlagantworten der geschützten Ressource auf die letzten Anmeldeversuche aus derselben Clientsitzung. Bei der Konfiguration der Regelgruppe legen Sie fest, wie Erfolge und Fehlschläge gezählt werden. Anmerkung AWS WAF wertet diese Regel nur in Web-ACLs aus, die CloudFront Amazon-Distributionen schützen. Anmerkung Die Schwellenwerte, für die diese Regel gilt, können aufgrund der Latenz leicht variieren. Es ist möglich, dass der Client mehr fehlgeschlagene Anmeldeversuche sendet, als zulässig sind, bevor die Regel bei nachfolgenden Versuchen mit dem Abgleich beginnt. Diese Überprüfung gilt nur, wenn die Webanforderung ein Token enthält. Token werden Anfragen durch die Anwendungsintegrations-SDKs und durch die Regelaktionen CAPTCHA und Challenge hinzugefügt. Weitere Informationen finden Sie unter AWS WAF Webanforderungstoken. Regelaktion: Block Label: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` Die Regelgruppe wendet außerdem die folgenden verwandten Bezeichnungen auf Anfragen an, ohne dass eine Aktion damit verknüpft ist. Alle Zählungen beziehen sich auf ein 30-Minuten-Fenster. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`für mehr als 5 fehlgeschlagene Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` für mehr als 1 fehlgeschlagene Anfrage, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` für mehr als 10 erfolgreiche Anfragen, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` für mehr als 5 erfolgreiche Anfragen und `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` für mehr als 1 erfolgreiche Anfrage.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Regelgruppe zur Kontoerstellung zur Betrugsprävention

Regelgruppe von Bot Control