Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) de Control de Fraude
En esta sección se explica qué AWS WAF El grupo de reglas gestionado para la prevención de la apropiación de cuentas (ATP) para el Control del Fraude se apodera
VendorName:AWS, NombreWCU:AWSManagedRulesATPRuleSet
La AWS WAF La prevención de apropiación de cuentas gestionada por Fraud Control (ATP) gestiona el grupo de reglas etiqueta y gestiona las solicitudes que podrían formar parte de intentos malintencionados de apropiación de cuentas. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto de conexión de inicio de sesión de la aplicación.
Solicita una inspección: te ATP permite ver y controlar los intentos de inicio de sesión anómalos y los intentos de inicio de sesión con credenciales robadas, a fin de evitar la apropiación de cuentas que pueda desembocar en actividades fraudulentas. ATPcompara las combinaciones de correo electrónico y contraseña con su base de datos de credenciales robadas, que se actualiza periódicamente a medida que se descubren nuevas credenciales filtradas en la web oscura. ATPagrupa los datos por dirección IP y sesión de cliente para detectar y bloquear a los clientes que envían demasiadas solicitudes de naturaleza sospechosa.
Inspección de respuestas: en el caso de CloudFront las distribuciones, además de inspeccionar las solicitudes de inicio de sesión entrantes, el grupo de ATP reglas inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de las tasas de éxito y fracaso. Con esta información, ATP puede bloquear temporalmente las sesiones de los clientes o las direcciones IP que tengan demasiados errores de inicio de sesión. AWS WAF realiza una inspección de las respuestas de forma asíncrona, por lo que no aumenta la latencia del tráfico web.
Consideraciones sobre el uso de este grupo de reglas
Este grupo de reglas requiere una configuración específica. Para configurar e implementar este grupo de reglas, consulte las instrucciones en Evitar la apropiación de cuentas con AWS WAF Control de fraudes y prevención de apropiación de cuentas () ATP.
Este grupo de reglas forma parte de las protecciones inteligentes de mitigación de amenazas de AWS WAF Para obtener información, consulte Implementación de la mitigación inteligente de amenazas en AWS WAF..
nota
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para obtener más información, consulte AWS WAF Precios
Para mantener sus costos bajos y asegurarse de que está gestionando el tráfico web como desea, utilice este grupo de reglas de acuerdo con las instrucciones que se indican en Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF.
Este grupo de reglas no está disponible para su uso con grupos de usuarios de Amazon Cognito. No puede asociar un sitio web ACL que utilice este grupo de reglas a un grupo de usuarios ni puede añadir este grupo de reglas a un sitio web ACL que ya esté asociado a un grupo de usuarios.
Etiquetas agregadas por este grupo de reglas
Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su webACL. AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Uso de etiquetas en las solicitudes web y Etiquetar métricas y dimensiones.
Etiquetas de token
Este grupo de reglas usa AWS WAF administración de tokens para inspeccionar y etiquetar las solicitudes web de acuerdo con el estado de sus AWS WAF fichas. AWS WAF utiliza tokens para el seguimiento y la verificación de las sesiones del cliente.
Para obtener información sobre los tókenes y su administración, consulte Uso de tokens en solicitudes web en AWS WAF.
Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF.
Etiqueta de sesión de cliente
La etiqueta awswaf:managed:token:id: contiene un identificador único que AWS WAF el token que utiliza la administración para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando. identifier
nota
AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.
Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas
Las etiquetas de estado del token informan sobre el estado del token y del desafío y la CAPTCHA información que contiene.
Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:
awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.awswaf:managed:captcha:— Se utilizan para informar sobre el estado de la CAPTCHA información del token.
Etiquetas de estado del token: nombres de etiquetas
Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:
accepted: El token de solicitud está presente y contiene lo siguiente:Un desafío o una CAPTCHA solución válidos.
Un desafío o una marca de CAPTCHA tiempo que no hayan caducado.
Una especificación de dominio válida para la web. ACL
Ejemplo: la etiqueta
awswaf:managed:token:acceptedindica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.-
rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.
rejected:not_solved— Al token le falta el desafío o la CAPTCHA solución.rejected:expired— El desafío o la CAPTCHA marca temporal del token han caducado, según los tiempos de inmunidad ACL de los tokens configurados en tu web.rejected:domain_mismatch— El dominio del token no coincide con la configuración del dominio simbólico ACL de tu web.rejected:invalid– AWS WAF no se pudo leer el token indicado.
Ejemplo: las etiquetas
awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expiredindican que la solicitud se rechazó porque la CAPTCHA marca de tiempo del token ha superado el tiempo de inmunidad del CAPTCHA token configurado en la web. ACL -
absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.Ejemplo: la etiqueta
awswaf:managed:captcha:absentindica que la solicitud no tiene el token.
ATPetiquetas
El grupo de reglas ATP administrado genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:atp: seguido del espacio de nombres personalizado y el nombre de la etiqueta.
El grupo de reglas puede agregar cualquiera de las siguientes etiquetas además de las que aparecen en la lista de reglas:
-
awswaf:managed:aws:atp:signal:credential_compromised: indica que las credenciales que se enviaron en la solicitud se encuentran en la base de datos de credenciales robadas. -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Disponible solo para CloudFront distribuciones protegidas de Amazon. Indica que la sesión de un cliente ha enviado varias solicitudes en las que se utilizaba una TLS huella dactilar sospechosa. -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip: indica el uso de un único token entre más de 5 direcciones IP distintas. Los umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la etiqueta.
Puede recuperar todas las etiquetas de un grupo de reglas mediante una llamadaDescribeManagedRuleGroup. API Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.
Lista de reglas de prevención de apropiación de cuentas
En esta sección se enumeran las ATP reglas AWSManagedRulesATPRuleSet y las etiquetas que las reglas del grupo de reglas añaden a las solicitudes web.
nota
La información que publicamos para las reglas en el AWS El objetivo de los grupos de reglas gestionadas es proporcionarle información suficiente para utilizarlas, pero no proporcionar información que los delincuentes puedan utilizar para eludirlas. Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con AWS Support Centro
| Nombre de la regla | Descripción y etiqueta |
|---|---|
UnsupportedCognitoIDP |
Inspecciona el tráfico web que se dirige a un grupo de usuarios de Amazon Cognito. ATPno está disponible para su uso con los grupos de usuarios de Amazon Cognito, y esta regla ayuda a garantizar que las demás ATP reglas del grupo de reglas no se utilicen para evaluar el tráfico del grupo de usuarios. Acción de regla: Block Etiquetas: |
VolumetricIpHigh |
Inspecciona en busca de altos volúmenes de solicitudes enviadas desde direcciones IP individuales. Un volumen elevado son más de 20 solicitudes en un período de 10 minutos. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. En el caso de un volumen elevado, es posible que algunas solicitudes superen el límite antes de que se aplique la acción de regla. Acción de regla: Block Etiquetas: El grupo de reglas aplica las siguientes etiquetas a las solicitudes con volúmenes medios (más de 15 solicitudes en un intervalo de 10 minutos) y volúmenes bajos (más de 10 solicitudes en un intervalo de 10 minutos), pero no realiza ninguna acción al respecto: |
VolumetricSession |
Inspecciona los grandes volúmenes de solicitudes enviadas desde las sesiones individuales de los clientes. El umbral es de más de 20 solicitudes por período de 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de la regla CAPTCHA y Challenge. Para obtener más información, consulteUso de tokens en solicitudes web en AWS WAF. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que algunas solicitudes superen el límite antes de que se aplique la acción de la regla. Acción de regla: Block Etiquetas: |
AttributeCompromisedCredentials |
Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan credenciales robadas. Acción de regla: Block Etiquetas: |
AttributeUsernameTraversal |
Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan el nombre de usuario transversal. Acción de regla: Block Etiquetas: |
AttributePasswordTraversal |
Comprueba si hay varias solicitudes con el mismo nombre de usuario que utilizan el barrido de contraseñas. Acción de regla: Block Etiquetas: |
AttributeLongSession |
Comprueba si hay varias solicitudes de la misma sesión de cliente que utilizan sesiones largas. El límite es de más de 6 horas de tráfico con al menos una solicitud de inicio de sesión cada 30 minutos. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de la regla CAPTCHA y Challenge. Para obtener más información, consulteUso de tokens en solicitudes web en AWS WAF. Acción de regla: Block Etiquetas: |
TokenRejected |
Inspecciona las solicitudes con fichas que son rechazadas por AWS WAF gestión de fichas. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de las reglas CAPTCHA y Challenge. Para obtener más información, consulteUso de tokens en solicitudes web en AWS WAF. Acción de regla: Block Etiquetas: ninguna. Para comprobar si el token ha sido rechazado, utilice una regla de coincidencia de etiquetas para que coincida con la etiqueta: |
SignalMissingCredential |
Inspecciona las solicitudes con credenciales a las que les falte el nombre de usuario o la contraseña. Acción de la regla: Block Etiquetas: |
VolumetricIpFailedLoginResponseHigh |
Comprueba si hay direcciones IP que hayan originado recientemente una tasa demasiado alta de intentos fallidos de inicio de sesión. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una dirección IP en un período de 10 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo o los JSON componentes de la respuesta, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web desde una dirección IP, en función de las respuestas correctas y fallidas del recurso protegido a los intentos de inicio de sesión recientes desde la misma dirección IP. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. notaAWS WAF solo evalúa esta regla en sitios web ACLs que protegen las CloudFront distribuciones de Amazon. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Acción de la regla: Block Etiquetas: El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 10 minutos. |
VolumetricSessionFailedLoginResponseHigh |
Comprueba si hay sesiones de cliente que hayan originado recientemente una tasa demasiado alta de intentos de inicio de sesión fallidos. Un volumen elevado son más de 10 solicitudes de inicio de sesión fallidas desde una sesión de cliente en un período de 30 minutos. Si ha configurado el grupo de reglas para inspeccionar el cuerpo o los JSON componentes de la respuesta, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) de estos tipos de componentes para ver si hay indicadores de éxito o error. Esta regla aplica la acción y el etiquetado de la regla a las nuevas solicitudes web de una sesión de cliente, basándose en las respuestas de éxito y fracaso del recurso protegido a los intentos de inicio de sesión recientes de la misma sesión de cliente. Al configurar el grupo de reglas, defina cómo contar los éxitos y los fracasos. notaAWS WAF solo evalúa esta regla en sitios web ACLs que protegen las CloudFront distribuciones de Amazon. notaLos umbrales a los que se aplica esta regla pueden variar ligeramente debido a la latencia. Es posible que el cliente envíe más intentos de inicio de sesión de los permitidos antes de que la regla empiece a coincidir en los intentos posteriores. Esta inspección solamente se aplica cuando la solicitud web tiene un token. Los tokens se añaden a las solicitudes mediante la integración de la aplicación SDKs y las acciones de la regla CAPTCHA y Challenge. Para obtener más información, consulteUso de tokens en solicitudes web en AWS WAF. Acción de regla: Block Etiquetas: El grupo de reglas también aplica las siguientes etiquetas relacionadas a las solicitudes, sin ninguna acción asociada. Todos los recuentos son para un período de 30 minutos. |
