AWS WAF Gruppo di regole di prevenzione delle frodi (ACFP) per la creazione di account Fraud Control - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS WAF Gruppo di regole di prevenzione delle frodi (ACFP) per la creazione di account Fraud Control

Questa sezione spiega cos'è AWS WAF Funziona il gruppo di regole gestito per la creazione di account Fraud Control per la prevenzione delle frodi (ACFP).

VendorName:AWS, Nome:AWSManagedRulesACFPRuleSet,WCU: 50

Il AWS WAF Fraud Control, creazione di account, prevenzione delle frodi (ACFP), ha gestito i gruppi di regole, etichetta e gestisce le richieste che potrebbero far parte di tentativi fraudolenti di creazione di account. Il gruppo di regole esegue questa operazione esaminando le richieste di creazione di account che i clienti inviano agli endpoint di registrazione e creazione dell'account dell'applicazione.

Il gruppo di ACFP regole esamina i tentativi di creazione di account in vari modi, per darti visibilità e controllo sulle interazioni potenzialmente dannose. Il gruppo di regole utilizza i token di richiesta per raccogliere informazioni sul browser del client e sul livello di interattività umana nella creazione della richiesta di creazione dell'account. Il gruppo di regole rileva e gestisce i tentativi di creazione di account in blocco aggregando le richieste per indirizzo IP e sessione client e aggregando, in base alle informazioni fornite sull'account, come l'indirizzo fisico e il numero di telefono. Inoltre, il gruppo di regole rileva e blocca la creazione di nuovi account utilizzando credenziali compromesse, il che aiuta a proteggere il livello di sicurezza dell'applicazione e dei nuovi utenti.

Considerazioni sull'utilizzo di questo gruppo di regole

Questo gruppo di regole richiede una configurazione personalizzata, che include la specificazione dei percorsi di registrazione e creazione dell'account dell'applicazione. Salvo dove diversamente indicato, le regole di questo gruppo di regole esaminano tutte le richieste inviate dai client a questi due endpoint. Per configurare e implementare questo gruppo di regole, consulta la guida all'indirizzo. Prevenzione delle frodi nella creazione di account con AWS WAF Fraud Control, creazione di account, prevenzione delle frodi (ACFP)

Nota

Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consulta AWS WAF Prezzi.

Questo gruppo di regole fa parte delle protezioni intelligenti di mitigazione delle minacce di AWS WAF Per informazioni, consulta Implementazione della mitigazione intelligente delle minacce in AWS WAF.

Per contenere i costi e avere la certezza di gestire il traffico web come desideri, utilizza questo gruppo di regole in conformità alle indicazioni riportate in. Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF

Questo gruppo di regole non è disponibile per l'uso con i pool di utenti di Amazon Cognito. Non puoi associare un Web ACL che utilizza questo gruppo di regole a un pool di utenti e non puoi aggiungere questo gruppo di regole a un Web ACL già associato a un pool di utenti.

Etichette aggiunte da questo gruppo di regole

Questo gruppo di regole gestito aggiunge etichette alle richieste Web che valuta, che sono disponibili per le regole che seguono questo gruppo di regole nel Web. ACL AWS WAF registra anche le etichette in base ai CloudWatch parametri di Amazon. Per informazioni generali sulle etichette e sui parametri delle etichette, consulta Utilizzo delle etichette nelle richieste Web e. Metriche e dimensioni delle etichette

Etichette con token

Questo gruppo di regole utilizza AWS WAF gestione dei token per ispezionare ed etichettare le richieste Web in base allo stato delle relative AWS WAF gettoni. AWS WAF utilizza token per il monitoraggio e la verifica della sessione del cliente.

Per informazioni sui token e sulla gestione dei token, vedere. Utilizzo dei token nelle richieste Web in AWS WAF

Per informazioni sui componenti dell'etichetta descritti qui, vedereSintassi delle etichette e requisiti di denominazione in AWS WAF.

Etichetta della sessione del client

L'etichetta awswaf:managed:token:id:identifier contiene un identificatore univoco che AWS WAF la gestione dei token utilizza per identificare la sessione client. L'identificatore può cambiare se il client acquisisce un nuovo token, ad esempio dopo aver scartato il token che stava utilizzando.

Nota

AWS WAF non riporta le CloudWatch metriche di Amazon per questa etichetta.

Etichette di stato dei token: etichetta i prefissi dello spazio dei nomi

Le etichette di stato dei token riportano lo stato del token e della sfida e le CAPTCHA informazioni in esso contenute.

Ogni etichetta di stato del token inizia con uno dei seguenti prefissi dello spazio dei nomi:

  • awswaf:managed:token:— Utilizzata per riportare lo stato generale del token e per riportare lo stato delle informazioni sulla sfida del token.

  • awswaf:managed:captcha:— Utilizzato per riportare lo stato delle CAPTCHA informazioni del token.

Etichette di stato dei token: nomi delle etichette

Dopo il prefisso, il resto dell'etichetta fornisce informazioni dettagliate sullo stato del token:

  • accepted— Il token di richiesta è presente e contiene quanto segue:

    • Una sfida o una CAPTCHA soluzione valida.

    • Una sfida o CAPTCHA un timestamp non scaduto.

    • Una specifica di dominio valida per il Web. ACL

    Esempio: l'etichetta awswaf:managed:token:accepted indica che il token delle richieste Web ha una soluzione di sfida valida, un timestamp della sfida non scaduto e un dominio valido.

  • rejected— Il token di richiesta è presente ma non soddisfa i criteri di accettazione.

    Oltre all'etichetta rifiutata, la gestione dei token aggiunge uno spazio dei nomi e un nome personalizzati per indicare il motivo.

    • rejected:not_solved— Al token manca la sfida o CAPTCHA la soluzione.

    • rejected:expired— La sfida o il CAPTCHA timestamp del token sono scaduti, in base ai tempi di immunità dei token configurati sul tuo sito webACL.

    • rejected:domain_mismatch— Il dominio del token non corrisponde alla configurazione del dominio token ACL del tuo sito web.

    • rejected:invalid – AWS WAF non è riuscito a leggere il token indicato.

    Esempio: awswaf:managed:captcha:rejected le etichette awswaf:managed:captcha:rejected:expired indicano che la richiesta è stata rifiutata perché il CAPTCHA timestamp nel token ha superato il tempo di immunità del CAPTCHA token configurato nel Web. ACL

  • absent— La richiesta non ha il token o il gestore del token non è riuscito a leggerlo.

    Esempio: l'etichetta awswaf:managed:captcha:absent indica che la richiesta non ha il token.

ACFPetichette

Questo gruppo di regole genera etichette con il prefisso dello spazio dei nomi awswaf:managed:aws:acfp: seguito dallo spazio dei nomi e dal nome dell'etichetta personalizzati. Il gruppo di regole potrebbe aggiungere più di un'etichetta a una richiesta.

È possibile recuperare tutte le etichette per un gruppo di regole tramite una chiamataDescribeManagedRuleGroup. API Le etichette sono elencate nella AvailableLabels proprietà nella risposta.

Elenco delle regole di prevenzione delle frodi per la creazione di account

Questa sezione elenca le ACFP regole AWSManagedRulesACFPRuleSet e le etichette che le regole del gruppo di regole aggiungono alle richieste web.

Nota

Le informazioni che pubblichiamo per le regole nel AWS I gruppi di regole di Managed Rules hanno lo scopo di fornire informazioni sufficienti per utilizzare le regole, senza fornire informazioni che i malintenzionati potrebbero utilizzare per aggirare le regole. Se hai bisogno di più informazioni di quelle che trovi in questa documentazione, contatta il AWS Support Centro.

Tutte le regole di questo gruppo di regole richiedono un token di richiesta Web, ad eccezione delle prime due UnsupportedCognitoIDP eAllRequests. Per una descrizione delle informazioni fornite dal token, vedereAWS WAF caratteristiche del token.

Salvo dove diversamente indicato, le regole di questo gruppo di regole esaminano tutte le richieste che i client inviano ai percorsi delle pagine di registrazione e creazione dell'account forniti nella configurazione del gruppo di regole. Per informazioni sulla configurazione di questo gruppo di regole, vedere. Prevenzione delle frodi nella creazione di account con AWS WAF Fraud Control, creazione di account, prevenzione delle frodi (ACFP)

Nome regola Descrizione ed etichetta
UnsupportedCognitoIDP

Esamina il traffico web diretto a un pool di utenti di Amazon Cognito. ACFPnon è disponibile per l'uso con i pool di utenti di Amazon Cognito e questa regola aiuta a garantire che le altre ACFP regole del gruppo di regole non vengano utilizzate per valutare il traffico del pool di utenti.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:unsupported:cognito_idp e awswaf:managed:aws:acfp:UnsupportedCognitoIDP

AllRequests

Applica l'azione della regola alle richieste che accedono al percorso della pagina di registrazione. Il percorso della pagina di registrazione viene configurato quando si configura il gruppo di regole.

Per impostazione predefinita, questa regola applica il Challenge alle richieste. Applicando questa azione, la regola assicura che il client acquisisca un token di sfida prima che qualsiasi richiesta venga valutata dal resto delle regole del gruppo di regole.

Assicurati che gli utenti finali carichino il percorso della pagina di registrazione prima di inviare una richiesta di creazione dell'account.

I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione client SDKs e mediante le azioni delle regole CAPTCHA e Challenge. Per un'acquisizione di token più efficiente, consigliamo vivamente di utilizzare l'integrazione dell'applicazioneSDKs. Per ulteriori informazioni, consulta Utilizzo delle integrazioni di applicazioni client con AWS WAF.

Azione delle regole: Challenge

Etichette: nessuna

RiskScoreHigh

Verifica la presenza di richieste di creazione di account con indirizzi IP o altri fattori considerati altamente sospetti. Questa valutazione si basa in genere su più fattori che contribuiscono, come è possibile vedere nelle risk_score etichette che il gruppo di regole aggiunge alla richiesta.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:risk_score:high e awswaf:managed:aws:acfp:RiskScoreHigh

È inoltre possibile applicare la regola medium o assegnare low dei punteggi di rischio alla richiesta.

Se AWS WAF non riesce a valutare il punteggio di rischio per la richiesta web, la regola aggiunge l'etichetta awswaf:managed:aws:acfp:risk_score:evaluation_failed

Inoltre, la regola aggiunge etichette con lo spazio dei nomi awswaf:managed:aws:acfp:risk_score:contributor: che includono lo stato di valutazione del punteggio di rischio e i risultati relativi a specifici fattori che contribuiscono al punteggio di rischio, come le valutazioni della reputazione IP e delle credenziali rubate.

SignalCredentialCompromised

Cerca nel database delle credenziali rubate le credenziali inviate nella richiesta di creazione dell'account.

Questa regola garantisce che i nuovi clienti inizializzino i propri account con un livello di sicurezza positivo.

Nota

Puoi aggiungere una risposta di blocco personalizzata per descrivere il problema all'utente finale e dirgli come procedere. Per informazioni, consultare Esempio ACFP: risposta personalizzata per credenziali compromesse.

Azione relativa alla regola: Block

Etichette: awswaf:managed:aws:acfp:signal:credential_compromised e awswaf:managed:aws:acfp:SignalCredentialCompromised

Il gruppo di regole applica la seguente etichetta correlata, ma non interviene su di essa, poiché non tutte le richieste di creazione dell'account avranno credenziali: awswaf:managed:aws:acfp:signal:missing_credential

SignalClientHumanInteractivityAbsentLow

Controlla il token della richiesta di creazione dell'account alla ricerca di dati che indichino un'interattività umana anomala con l'applicazione. L'interattività umana viene rilevata attraverso interazioni come i movimenti del mouse e la pressione dei tasti. Se la pagina ha un HTML modulo, l'interattività umana include le interazioni con il modulo.

Nota

Questa regola esamina solo le richieste relative al percorso di creazione dell'account e viene valutata solo se hai implementato l'integrazione dell'applicazione. SDKs Le SDK implementazioni acquisiscono passivamente l'interattività umana e archiviano le informazioni nel token di richiesta. Per ulteriori informazioni, consulta AWS WAF caratteristiche del token e Utilizzo delle integrazioni di applicazioni client con AWS WAF.

Azione delle regole: CAPTCHA

Etichette: nessuna. La regola determina una corrispondenza in base a diversi fattori, quindi non esiste un'etichetta individuale valida per ogni possibile scenario di incontro.

Il gruppo di regole può applicare una o più delle seguenti etichette alle richieste:

awswaf:managed:aws:acfp:signal:client:human_interactivity:low|medium|high

awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow|Medium|High

awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data

awswaf:managed:aws:acfp:signal:form_detected.

AutomatedBrowser

Verifica la presenza di indicatori che indicano che il browser del client potrebbe essere automatizzato.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:signal:automated_browser e awswaf:managed:aws:acfp:AutomatedBrowser

BrowserInconsistency

Ispeziona il token della richiesta alla ricerca di dati di interrogazione del browser non coerenti. Per ulteriori informazioni, consulta AWS WAF caratteristiche del token.

Azione della regola: CAPTCHA

Etichette: awswaf:managed:aws:acfp:signal:browser_inconsistency e awswaf:managed:aws:acfp:BrowserInconsistency

VolumetricIpHigh

Verifica la presenza di elevati volumi di richieste di creazione di account inviate da singoli indirizzi IP. Un volume elevato è costituito da più di 20 richieste in una finestra di 10 minuti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Per un volume elevato, alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione relativa alle regole: CAPTCHA

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high e awswaf:managed:aws:acfp:VolumetricIpHigh

La regola applica le seguenti etichette alle richieste con volumi medi (più di 15 richieste per finestra di 10 minuti) e volumi bassi (più di 10 richieste per finestra di 10 minuti), ma non interviene su di esse: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium eawswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low.

VolumetricSessionHigh

Verifica la presenza di volumi elevati di richieste di creazione di account inviate da singole sessioni client. Un volume elevato è costituito da più di 10 richieste in una finestra di 30 minuti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high e awswaf:managed:aws:acfp:VolumetricSessionHigh

Il gruppo di regole applica le seguenti etichette alle richieste con volumi medi (più di 5 richieste per finestra di 30 minuti) e volumi bassi (più di 1 richiesta per finestra di 30 minuti), ma non interviene su di esse: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium eawswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low.

AttributeUsernameTraversalHigh

Verifica la presenza di un tasso elevato di richieste di creazione di account da una singola sessione client che utilizza nomi utente diversi. La soglia per una valutazione elevata è superiore a 10 richieste in 30 minuti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high e awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh

Il gruppo di regole applica le seguenti etichette alle richieste con volumi medi (più di 5 richieste per finestra di 30 minuti) e volumi bassi (più di 1 richiesta per finestra di 30 minuti) di richieste di attraversamento del nome utente, ma non interviene su di esse: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium e. awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low

VolumetricPhoneNumberHigh

Verifica la presenza di volumi elevati di richieste di creazione di account che utilizzano lo stesso numero di telefono. La soglia per una valutazione elevata è superiore a 10 richieste in 30 minuti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high e awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh

Il gruppo di regole applica le seguenti etichette alle richieste con volumi medi (più di 5 richieste per finestra di 30 minuti) e volumi bassi (più di 1 richiesta per finestra di 30 minuti), ma non interviene su di esse: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium eawswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low.

VolumetricAddressHigh

Verifica la presenza di volumi elevati di richieste di creazione di account che utilizzano lo stesso indirizzo fisico. La soglia per una valutazione elevata è superiore a 100 richieste per finestra di 30 minuti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:address:high e awswaf:managed:aws:acfp:VolumetricAddressHigh

VolumetricAddressLow

Verifica la presenza di volumi bassi e medi di richieste di creazione di account che utilizzano lo stesso indirizzo fisico. La soglia per una valutazione media è superiore a 50 richieste per finestra di 30 minuti, mentre per una valutazione bassa è superiore a 10 richieste per finestra di 30 minuti.

La regola applica l'azione per volumi medi o bassi.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: CAPTCHA

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:address:low|medium e awswaf:managed:aws:acfp:VolumetricAddressLow|Medium

VolumetricIPSuccessfulResponse

Verifica la presenza di un volume elevato di richieste di creazione di account riuscite per un singolo indirizzo IP. Questa regola aggrega le risposte di successo provenienti dalla risorsa protetta alle richieste di creazione di account. La soglia per una valutazione elevata è superiore a 10 richieste per finestra di 10 minuti.

Questa regola aiuta a proteggersi dai tentativi di creazione di account in blocco. Ha una soglia inferiore rispetto alla regolaVolumetricIpHigh, che conta solo le richieste.

Se hai configurato il gruppo di regole per ispezionare il corpo o JSON i componenti della risposta, AWS WAF può ispezionare i primi 65.536 byte (64 KB) di questi tipi di componenti per individuare gli indicatori di successo o di fallimento.

Questa regola applica l'azione e l'etichettatura della regola alle nuove richieste Web provenienti da un indirizzo IP, in base alle risposte di successo e di errore della risorsa protetta ai recenti tentativi di accesso dallo stesso indirizzo IP. Quando configuri il gruppo di regole, definisci come contare i successi e gli insuccessi.

Nota

AWS WAF valuta questa regola solo nel web ACLs che protegge le CloudFront distribuzioni Amazon.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. È possibile che il client invii più tentativi di creazione di account riusciti rispetto a quelli consentiti prima che la regola inizi a corrispondere nei tentativi successivi.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high e awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse

Il gruppo di regole applica anche le seguenti etichette correlate alle richieste, senza alcuna azione associata. Tutti i conteggi si riferiscono a una finestra di 10 minuti. awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:mediumper più di 5 richieste riuscite, awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low per più di 1 richiesta riuscita, awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high per più di 10 richieste non riuscite, awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium per più di 5 richieste non riuscite e awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low per più di 1 richiesta non riuscita.

VolumetricSessionSuccessfulResponse

Verifica la presenza di un basso volume di risposte riuscite provenienti dalla risorsa protetta alle richieste di creazione di account inviate da una singola sessione client. Questo aiuta a proteggersi dai tentativi di creazione di account in blocco. La soglia per una valutazione bassa è superiore a 1 richiesta per finestra di 30 minuti.

Questo aiuta a proteggersi dai tentativi di creazione di account in blocco. Questa regola utilizza una soglia inferiore rispetto alla regolaVolumetricSessionHigh, che tiene traccia solo delle richieste.

Se hai configurato il gruppo di regole per ispezionare il corpo o JSON i componenti della risposta, AWS WAF può ispezionare i primi 65.536 byte (64 KB) di questi tipi di componenti per individuare gli indicatori di successo o di fallimento.

Questa regola applica l'azione e l'etichettatura della regola alle nuove richieste Web provenienti da una sessione client, in base alle risposte di successo e di errore della risorsa protetta ai recenti tentativi di accesso dalla stessa sessione client. Quando configuri il gruppo di regole, definisci come contare i successi e gli insuccessi.

Nota

AWS WAF valuta questa regola solo nel web ACLs che protegge le CloudFront distribuzioni Amazon.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. È possibile che il client invii più tentativi falliti di creazione di account rispetto a quelli consentiti prima che la regola inizi a corrispondere nei tentativi successivi.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low e awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse

Il gruppo di regole applica anche le seguenti etichette correlate alle richieste. Tutti i conteggi si riferiscono a una finestra di 30 minuti. awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:highper più di 10 richieste riuscite, awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium per più di 5 richieste riuscite, awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high per più di 10 richieste non riuscite, awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium per più di 5 richieste non riuscite e awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low per più di 1 richiesta non riuscita.

VolumetricSessionTokenReuseIp

Esamina le richieste di creazione di account per l'uso di un singolo token tra più di 5 indirizzi IP distinti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: Block

Etichette: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip e awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp