Ejemplo de ATP: gestión personalizada de las credenciales faltantes o comprometidas
De forma predeterminada, las comprobaciones de credenciales que realiza el grupo de reglas AWSManagedRulesATPRuleSet
gestionan las solicitudes web de la siguiente manera:
-
Credenciales faltantes: etiqueta y bloquea la solicitud.
-
Credenciales comprometidas: etiqueta la solicitud, pero no la bloquee ni la cuenta.
Para obtener más información sobre el grupo de reglas y el comportamiento de las reglas, consulte Grupo de reglas de Prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF.
Puede agregar una gestión personalizada para las solicitudes web a las que les falten credenciales o estas estén comprometidas de la siguiente manera:
-
Anular la regla
MissingCredential
para Count: esta anulación de la regla de acción hace que la regla solo cuente y etiquete las solicitudes coincidentes. -
Agregar una regla de coincidencia de etiquetas con una gestión personalizada: configure esta regla para que coincida con la etiqueta de la ATP y realice su gestión personalizada. Por ejemplo, puede redirigir al cliente a su página de registro.
Las siguientes listas muestran el grupo de reglas administrado de ATP del ejemplo anterior, con la acción de regla MissingCredential
anulada para el recuento. Esto hace que la regla aplique su etiqueta a las solicitudes coincidentes y, a continuación, solo cuente las solicitudes, en lugar de bloquearlas.
"Rules": [ { "Priority": 1, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AccountTakeOverValidationRule" }, "Name": "DetectCompromisedUserCredentials", "Statement": { "ManagedRuleGroupStatement": { "ManagedRuleGroupConfigs": [ { "AWSManagedRulesATPRuleSet": { "LoginPath": "/web/login", "RequestInspection": { "PayloadType": "JSON", "UsernameField": { "Identifier": "/form/username" }, "PasswordField": { "Identifier": "/form/password" } }, "EnableRegexInPath": false } } ] "VendorName": "AWS", "Name": "
AWSManagedRulesATPRuleSet
", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "MissingCredential" } ], "ExcludedRules": [] } } } ],
Con esta configuración, cuando este grupo de reglas evalúe cualquier solicitud web que utilice credenciales perdidas o comprometidas, etiquetará la solicitud, pero no la bloqueará.
La siguiente regla tiene una configuración de prioridad numérica superior a la del grupo de reglas anterior. AWS WAF evalúa las reglas en orden numérico, empezando por el más bajo, por lo que esta regla se evaluará después de la evaluación del grupo de reglas. La regla está configurada para que coincida con cualquiera de las etiquetas de credenciales y para enviar una respuesta personalizada a las solicitudes coincidentes.
"Name": "redirectToSignup", "Priority": 10, "Statement": { "OrStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:missing_credential" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:credential_compromised" } } ] } }, "Action": { "Block": { "CustomResponse": {
your custom response settings
} } }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "redirectToSignup" }