Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemple ATP : gestion personnalisée des informations d'identification manquantes ou compromises
Par défaut, les vérifications d'identification effectuées par le groupe de règles AWSManagedRulesATPRuleSet traitent les demandes Web de la manière suivante :
-
Informations d'identification manquantes — Libellé et demande de blocage.
-
Informations d'identification compromises : étiquetez la demande, mais ne la bloquez pas et ne la comptez pas.
Pour plus de détails sur le groupe de règles et le comportement des règles, consultezAWS WAF Groupe de règles de prévention des prises de contrôle des fraudes (ATP).
Vous pouvez ajouter un traitement personnalisé pour les requêtes Web dont les informations d'identification sont manquantes ou compromises en procédant comme suit :
-
Remplacez la
MissingCredentialrègle par Count— Cette dérogation à une action de règle fait en sorte que la règle ne compte et n'étiquette que les demandes correspondantes. -
Ajouter une règle de correspondance des étiquettes avec gestion personnalisée : configurez cette règle pour qu'elle corresponde aux deux étiquettes ATP et pour effectuer votre gestion personnalisée. Par exemple, vous pouvez rediriger le client vers votre page d'inscription.
La règle suivante montre le groupe de règles géré par ATP dans l'exemple précédent, l'action de la MissingCredential règle étant remplacée pour être prise en compte. Cela oblige la règle à appliquer son étiquette aux demandes correspondantes, puis à ne compter que les demandes, au lieu de les bloquer.
"Rules": [ { "Priority": 1, "OverrideAction": { "None": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "AccountTakeOverValidationRule" }, "Name": "DetectCompromisedUserCredentials", "Statement": { "ManagedRuleGroupStatement": { "ManagedRuleGroupConfigs": [ { "AWSManagedRulesATPRuleSet": { "LoginPath": "/web/login", "RequestInspection": { "PayloadType": "JSON", "UsernameField": { "Identifier": "/form/username" }, "PasswordField": { "Identifier": "/form/password" } }, "EnableRegexInPath": false } } ] "VendorName": "AWS", "Name": "AWSManagedRulesATPRuleSet", "RuleActionOverrides": [ { "ActionToUse": { "Count": {} }, "Name": "MissingCredential" } ], "ExcludedRules": [] } } } ],
Avec cette configuration, lorsque ce groupe de règles évalue une demande Web dont les informations d'identification sont manquantes ou compromises, il étiquette la demande, mais ne la bloque pas.
La règle suivante possède un paramètre de priorité supérieur numériquement à celui du groupe de règles précédent. AWS WAF évalue les règles dans l'ordre numérique, en commençant par le plus bas, de sorte que cette règle sera évaluée après l'évaluation du groupe de règles. La règle est configurée pour correspondre à l'une ou l'autre des étiquettes d'identification et pour envoyer une réponse personnalisée aux demandes correspondantes.
"Name": "redirectToSignup", "Priority": 10, "Statement": { "OrStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:missing_credential" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:managed:aws:atp:signal:credential_compromised" } } ] } }, "Action": { "Block": { "CustomResponse": {your custom response settings} } }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "redirectToSignup" }
