AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP) - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Menggunakan grup aturan iniLabel ditambahkan oleh grup aturan iniDaftar aturan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS WAF Kelompok aturan pencegahan pengambilalihan akun Kontrol Penipuan (ATP)

VendorName:AWS, Nama:AWSManagedRulesATPRuleSet, WCU: 50

Pencegahan Pengambilalihan Akun Kontrol AWS WAF Penipuan (ATP) mengelola label grup aturan dan mengelola permintaan yang mungkin merupakan bagian dari upaya pengambilalihan akun berbahaya. Grup aturan melakukan ini dengan memeriksa upaya login yang dikirim klien ke titik akhir login aplikasi Anda.

  • Inspeksi permintaan — ATP memberi Anda visibilitas dan kontrol atas upaya login anomali dan upaya login yang menggunakan kredensi curian, untuk mencegah pengambilalihan akun yang dapat menyebabkan aktivitas penipuan. ATP memeriksa kombinasi email dan kata sandi terhadap basis data kredensialnya yang dicuri, yang diperbarui secara berkala karena kredensil baru yang bocor ditemukan di web gelap. ATP mengumpulkan data berdasarkan alamat IP dan sesi klien, untuk mendeteksi dan memblokir klien yang mengirim terlalu banyak permintaan yang bersifat mencurigakan.

  • Inspeksi respons — Untuk CloudFront distribusi, selain memeriksa permintaan masuk masuk, grup aturan ATP memeriksa respons aplikasi Anda terhadap upaya login, untuk melacak tingkat keberhasilan dan kegagalan. Dengan menggunakan informasi ini, ATP dapat memblokir sementara sesi klien atau alamat IP yang memiliki terlalu banyak kegagalan login. AWS WAF melakukan inspeksi respons secara asinkron, jadi ini tidak meningkatkan latensi dalam lalu lintas web Anda.

Pertimbangan untuk menggunakan grup aturan ini

Grup aturan ini memerlukan konfigurasi khusus. Untuk mengonfigurasi dan mengimplementasikan grup aturan ini, lihat panduan diAWS WAF Pencegahan pengambilalihan akun Kontrol Penipuan (ATP).

Kelompok aturan ini adalah bagian dari perlindungan mitigasi ancaman cerdas di. AWS WAF Untuk informasi, lihat AWS WAF mitigasi ancaman cerdas.

catatan

Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

Untuk menjaga biaya Anda turun dan memastikan Anda mengelola lalu lintas web Anda seperti yang Anda inginkan, gunakan kelompok aturan ini sesuai dengan panduan diPraktik terbaik untuk mitigasi ancaman cerdas.

Grup aturan ini tidak tersedia untuk digunakan dengan kumpulan pengguna Amazon Cognito. Anda tidak dapat mengaitkan ACL web yang menggunakan grup aturan ini dengan kumpulan pengguna, dan Anda tidak dapat menambahkan grup aturan ini ke ACL web yang sudah dikaitkan dengan kumpulan pengguna.

Label ditambahkan oleh grup aturan ini

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di ACL web Anda. AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat Label pada permintaan web danLabel metrik dan dimensi.

Label token

Grup aturan ini menggunakan manajemen AWS WAF token untuk memeriksa dan memberi label permintaan web sesuai dengan status AWS WAF token mereka. AWS WAF menggunakan token untuk pelacakan dan verifikasi sesi klien.

Untuk informasi tentang token dan manajemen token, lihatAWS WAF token permintaan web.

Untuk informasi tentang komponen label yang dijelaskan di sini, lihatAWS WAF sintaks label dan persyaratan penamaan.

Label sesi klien

Label awswaf:managed:token:id:identifier berisi pengidentifikasi unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya.

catatan

AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

Label status token: Awalan namespace label

Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya.

Setiap label status token dimulai dengan salah satu awalan namespace berikut:

  • awswaf:managed:token:— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token.

  • awswaf:managed:captcha:— Digunakan untuk melaporkan status informasi CAPTCHA token.

Label status token: Nama label

Mengikuti awalan, sisa label memberikan informasi status token terperinci:

  • accepted— Token permintaan hadir dan berisi yang berikut:

    • Tantangan yang valid atau solusi CAPTCHA.

    • Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.

    • Spesifikasi domain yang valid untuk web ACL.

    Contoh: Label awswaf:managed:token:accepted menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.

  • rejected— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan.

    Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya.

    • rejected:not_solved— Token tidak memiliki tantangan atau solusi CAPTCHA.

    • rejected:expired— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token ACL web Anda yang dikonfigurasi.

    • rejected:domain_mismatch— Domain token tidak cocok untuk konfigurasi domain token ACL web Anda.

    • rejected:invalid— AWS WAF tidak bisa membaca token yang ditunjukkan.

    Contoh: Label awswaf:managed:captcha:rejected dan awswaf:managed:captcha:rejected:expired menunjukkan bahwa permintaan ditolak karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi di ACL web.

  • absent— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya.

    Contoh: Label awswaf:managed:captcha:absent menunjukkan bahwa permintaan tidak memiliki token.

Label ATP

Grup aturan terkelola ATP menghasilkan label dengan awalan namespace awswaf:managed:aws:atp: diikuti dengan namespace kustom dan nama label.

Grup aturan dapat menambahkan salah satu label berikut selain label yang dicatat dalam daftar aturan:

  • awswaf:managed:aws:atp:signal:credential_compromised— Menunjukkan bahwa kredensyal yang dikirimkan dalam permintaan ada di database kredensi yang dicuri.

  • awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Hanya tersedia untuk CloudFront distribusi Amazon yang dilindungi. Menunjukkan bahwa sesi klien telah mengirim beberapa permintaan yang menggunakan sidik jari TLS yang mencurigakan.

  • awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— Menunjukkan penggunaan token tunggal di antara lebih dari 5 alamat IP yang berbeda. Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum label diterapkan.

Anda dapat mengambil semua label untuk grup aturan melalui API dengan memanggilDescribeManagedRuleGroup. Label tercantum di AvailableLabels properti dalam tanggapan.

Daftar aturan pencegahan pengambilalihan akun

Bagian ini mencantumkan aturan ATP AWSManagedRulesATPRuleSet dan label yang ditambahkan aturan grup aturan ke permintaan web.

catatan

Informasi yang kami publikasikan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda informasi yang cukup untuk menggunakan aturan sementara tidak memberikan informasi yang dapat digunakan oleh pelaku jahat untuk menghindari aturan. Jika Anda memerlukan informasi lebih lanjut daripada yang Anda temukan dalam dokumentasi ini, hubungi AWS Support Pusat.

Nama aturan Deskripsi dan label
UnsupportedCognitoIDP

Memeriksa lalu lintas web yang menuju ke kumpulan pengguna Amazon Cognito. ATP tidak tersedia untuk digunakan dengan kumpulan pengguna Amazon Cognito, dan aturan ini membantu memastikan bahwa aturan grup aturan ATP lainnya tidak digunakan untuk mengevaluasi lalu lintas kumpulan pengguna.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:unsupported:cognito_idp
VolumetricIpHigh

Memeriksa volume permintaan yang tinggi yang dikirim dari alamat IP individual. Volume tinggi lebih dari 20 permintaan dalam jendela 10 menit.

catatan

Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Untuk volume tinggi, beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:volumetric:ip:high

Grup aturan menerapkan label berikut untuk permintaan dengan volume sedang (lebih dari 15 permintaan per jendela 10 menit) dan volume rendah (lebih dari 10 permintaan per jendela 10 menit), tetapi tidak mengambil tindakan pada mereka: awswaf:managed:aws:atp:aggregate:volumetric:ip:medium danawswaf:managed:aws:atp:aggregate:volumetric:ip:low.
VolumetricSession

Memeriksa volume permintaan yang tinggi yang dikirim dari sesi klien individual. Ambang batas lebih dari 20 permintaan per jendela 30 menit.

Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh SDK integrasi aplikasi dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat AWS WAF token permintaan web.

catatan

Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Beberapa permintaan mungkin berhasil melewati batas sebelum tindakan aturan diterapkan.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:volumetric:session
AttributeCompromisedCredentials

Memeriksa beberapa permintaan dari sesi klien yang sama yang menggunakan kredensyal curian.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials
AttributeUsernameTraversal

Memeriksa beberapa permintaan dari sesi klien yang sama yang menggunakan traversal nama pengguna.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:attribute:username_traversal
AttributePasswordTraversal

Memeriksa beberapa permintaan dengan nama pengguna yang sama yang menggunakan traversal kata sandi.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:attribute:password_traversal
AttributeLongSession

Memeriksa beberapa permintaan dari sesi klien yang sama yang menggunakan sesi jangka panjang. Ambang batas lebih dari 6 jam lalu lintas yang memiliki setidaknya satu permintaan login setiap 30 menit.

Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh SDK integrasi aplikasi dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat AWS WAF token permintaan web.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:attribute:long_session
TokenRejected

Memeriksa permintaan dengan token yang ditolak oleh manajemen AWS WAF token.

Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh SDK integrasi aplikasi dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat AWS WAF token permintaan web.

Tindakan aturan: Block

Label: Tidak ada. Untuk memeriksa token yang ditolak, gunakan aturan pencocokan label agar sesuai dengan label: awswaf:managed:token:rejected
SignalMissingCredential

Memeriksa permintaan dengan kredensyal yang tidak memiliki nama pengguna atau kata sandi.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:signal:missing_credential
VolumetricIpFailedLoginResponseHigh

Memeriksa alamat IP yang baru-baru ini menjadi sumber tingkat upaya login yang gagal terlalu tinggi. Volume tinggi lebih dari 10 permintaan login gagal dari alamat IP dalam jendela 10 menit.

Jika Anda telah mengonfigurasi grup aturan untuk memeriksa badan respons atau komponen JSON, AWS WAF dapat memeriksa 65.536 byte (64 KB) pertama dari jenis komponen ini untuk indikator keberhasilan atau kegagalan.

Aturan ini menerapkan tindakan aturan dan pelabelan untuk permintaan web baru dari alamat IP, berdasarkan respons keberhasilan dan kegagalan dari sumber daya yang dilindungi untuk upaya login terbaru dari alamat IP yang sama. Anda menentukan cara menghitung keberhasilan dan kegagalan saat Anda mengonfigurasi grup aturan.

catatan

AWS WAF hanya mengevaluasi aturan ini di ACL web yang melindungi distribusi Amazon CloudFront.

catatan

Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Klien dapat mengirim lebih banyak upaya login yang gagal daripada yang diizinkan sebelum aturan mulai cocok pada upaya berikutnya.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high

Grup aturan juga menerapkan label terkait berikut ke permintaan, tanpa tindakan terkait apa pun. Semua hitungan untuk jendela 10 menit. awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:mediumuntuk lebih dari 5 permintaan gagal, awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low untuk lebih dari 1 permintaan gagal, awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high untuk lebih dari 10 permintaan yang berhasil, awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium untuk lebih dari 5 permintaan yang berhasil, dan awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low untuk lebih dari 1 permintaan yang berhasil.

VolumetricSessionFailedLoginResponseHigh

Memeriksa sesi klien yang baru-baru ini menjadi sumber tingkat upaya login yang gagal terlalu tinggi. Volume tinggi lebih dari 10 permintaan login gagal dari sesi klien dalam jendela 30 menit.

Jika Anda telah mengonfigurasi grup aturan untuk memeriksa badan respons atau komponen JSON, AWS WAF dapat memeriksa 65.536 byte (64 KB) pertama dari jenis komponen ini untuk indikator keberhasilan atau kegagalan.

Aturan ini menerapkan tindakan aturan dan pelabelan untuk permintaan web baru dari sesi klien, berdasarkan respons keberhasilan dan kegagalan dari sumber daya yang dilindungi untuk upaya login terbaru dari sesi klien yang sama. Anda menentukan cara menghitung keberhasilan dan kegagalan saat Anda mengonfigurasi grup aturan.

catatan

AWS WAF hanya mengevaluasi aturan ini di ACL web yang melindungi distribusi Amazon CloudFront .

catatan

Ambang batas yang diterapkan aturan ini dapat sedikit berbeda karena latensi. Klien dapat mengirim lebih banyak upaya login yang gagal daripada yang diizinkan sebelum aturan mulai cocok pada upaya berikutnya.

Pemeriksaan ini hanya berlaku ketika permintaan web memiliki token. Token ditambahkan ke permintaan oleh SDK integrasi aplikasi dan oleh tindakan aturan CAPTCHA danChallenge. Untuk informasi selengkapnya, lihat AWS WAF token permintaan web.

Tindakan aturan: Block

Label: awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high

Grup aturan juga menerapkan label terkait berikut ke permintaan, tanpa tindakan terkait apa pun. Semua hitungan adalah untuk jendela 30 menit. awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:mediumuntuk lebih dari 5 permintaan gagal, awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low untuk lebih dari 1 permintaan gagal, awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high untuk lebih dari 10 permintaan yang berhasil, awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium untuk lebih dari 5 permintaan yang berhasil, dan awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low untuk lebih dari 1 permintaan yang berhasil.