AWS WAF Gruppo di regole per la prevenzione delle acquisizioni di conti Fraud Control (ATP) - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Utilizzo di questo gruppo di regoleEtichette aggiunte da questo gruppo di regoleElenco delle regole

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS WAF Gruppo di regole per la prevenzione delle acquisizioni di conti Fraud Control (ATP)

Questa sezione spiega cosa fa il gruppo di regole gestito per la prevenzione dell'acquisizione dell'account AWS WAF Fraud Control (ATP).

VendorName:AWS, Nome:AWSManagedRulesATPRuleSet,WCU: 50

Nota

Questa documentazione riguarda la versione statica più recente di questo gruppo di regole gestito. Riportiamo le modifiche alla versione nel registro delle modifiche all'indirizzo. AWS Registro delle modifiche di Managed Rules Per informazioni su altre versioni, usa il API comando. DescribeManagedRuleGroup

Le informazioni che pubblichiamo per le regole nei gruppi di regole AWS Managed Rules hanno lo scopo di fornirti ciò di cui hai bisogno per utilizzare le regole senza fornire ai malintenzionati ciò di cui hanno bisogno per aggirarle.

Se hai bisogno di più informazioni di quelle che trovi qui, contatta il AWS Support Centro.

Il gruppo di regole gestito per la prevenzione dell'acquisizione dell'account AWS WAF Fraud Control (ATP) etichetta e gestisce le richieste che potrebbero far parte di tentativi malevoli di acquisizione di account. Il gruppo di regole esegue questa operazione esaminando i tentativi di accesso che i client inviano all'endpoint di accesso dell'applicazione.

  • Richiedi l'ispezione: ti ATP offre visibilità e controllo sui tentativi di accesso anomali e sui tentativi di accesso che utilizzano credenziali rubate, per prevenire acquisizioni di account che potrebbero portare ad attività fraudolente. ATPverifica le combinazioni di e-mail e password confrontandole con il database delle credenziali rubate, che viene aggiornato regolarmente man mano che vengono rilevate nuove credenziali trapelate sul dark web. ATPaggrega i dati per indirizzo IP e sessione client, per rilevare e bloccare i client che inviano troppe richieste di natura sospetta.

  • Ispezione delle risposte: per CloudFront le distribuzioni, oltre a controllare le richieste di accesso in entrata, il gruppo di ATP regole controlla le risposte dell'applicazione ai tentativi di accesso, per tenere traccia delle percentuali di successo e di fallimento. Utilizzando queste informazioni, è ATP possibile bloccare temporaneamente le sessioni client o gli indirizzi IP con troppi errori di accesso. AWS WAF esegue l'ispezione della risposta in modo asincrono, in modo da non aumentare la latenza del traffico web.

Considerazioni sull'utilizzo di questo gruppo di regole

Questo gruppo di regole richiede una configurazione specifica. Per configurare e implementare questo gruppo di regole, consulta la guida all'indirizzoAWS WAF Fraud Control e prevenzione dell'acquisizione di account () ATP.

Questo gruppo di regole fa parte delle protezioni intelligenti per la mitigazione delle minacce di. AWS WAF Per informazioni, consultare Mitigazione intelligente delle minacce in AWS WAF.

Nota

Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare AWS WAF Prezzi.

Per contenere i costi e avere la certezza di gestire il traffico web come preferisci, utilizza questo gruppo di regole in conformità alle indicazioni riportate inLe migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF.

Questo gruppo di regole non è disponibile per l'uso con i pool di utenti di Amazon Cognito. Non puoi associare un Web ACL che utilizza questo gruppo di regole a un pool di utenti e non puoi aggiungere questo gruppo di regole a un Web ACL già associato a un pool di utenti.

Etichette aggiunte da questo gruppo di regole

Questo gruppo di regole gestito aggiunge etichette alle richieste Web che valuta, che sono disponibili per le regole che seguono questo gruppo di regole nel Web. ACL AWS WAF registra anche le etichette in base ai CloudWatch parametri di Amazon. Per informazioni generali sulle etichette e sui parametri delle etichette, consulta Etichettatura delle richieste Web e. Metriche e dimensioni delle etichette

Etichette con token

Questo gruppo di regole utilizza la gestione dei AWS WAF token per ispezionare ed etichettare le richieste Web in base allo stato dei relativi AWS WAF token. AWS WAF utilizza i token per il monitoraggio e la verifica delle sessioni dei clienti.

Per informazioni sui token e sulla gestione dei token, vedere. Uso dei token nella mitigazione AWS WAF intelligente delle minacce

Per informazioni sui componenti dell'etichetta descritti qui, vedereSintassi delle etichette e requisiti di denominazione in AWS WAF.

Etichetta della sessione del client

L'etichetta awswaf:managed:token:id:identifier contiene un identificatore univoco utilizzato dalla gestione dei AWS WAF token per identificare la sessione client. L'identificatore può cambiare se il client acquisisce un nuovo token, ad esempio dopo aver scartato il token che stava utilizzando.

Nota

AWS WAF non riporta le CloudWatch metriche di Amazon per questa etichetta.

Etichetta con impronta digitale del browser

L'etichetta awswaf:managed:token:fingerprint:fingerprint-identifier contiene un robusto identificatore di impronte digitali del browser che la gestione dei AWS WAF token calcola a partire da vari segnali del browser del client. Questo identificatore rimane lo stesso in caso di più tentativi di acquisizione di token. L'identificatore di impronte digitali non è univoco per un singolo client.

Nota

AWS WAF non riporta le CloudWatch metriche di Amazon per questa etichetta.

Etichette di stato dei token: etichetta i prefissi dello spazio dei nomi

Le etichette di stato dei token riportano lo stato del token e della sfida e le CAPTCHA informazioni in esso contenute.

Ogni etichetta di stato del token inizia con uno dei seguenti prefissi dello spazio dei nomi:

  • awswaf:managed:token:— Utilizzata per riportare lo stato generale del token e per riportare lo stato delle informazioni sulla sfida del token.

  • awswaf:managed:captcha:— Utilizzato per riportare lo stato delle CAPTCHA informazioni del token.

Etichette di stato dei token: nomi delle etichette

Dopo il prefisso, il resto dell'etichetta fornisce informazioni dettagliate sullo stato del token:

  • accepted— Il token di richiesta è presente e contiene quanto segue:

    • Una sfida o una CAPTCHA soluzione valida.

    • Una sfida o CAPTCHA un timestamp non scaduto.

    • Una specifica di dominio valida per il Web. ACL

    Esempio: l'etichetta awswaf:managed:token:accepted indica che il token delle richieste Web ha una soluzione di sfida valida, un timestamp della sfida non scaduto e un dominio valido.

  • rejected— Il token di richiesta è presente ma non soddisfa i criteri di accettazione.

    Oltre all'etichetta rifiutata, la gestione dei token aggiunge uno spazio dei nomi e un nome personalizzati per indicare il motivo.

    • rejected:not_solved— Al token manca la sfida o CAPTCHA la soluzione.

    • rejected:expired— La sfida o il CAPTCHA timestamp del token sono scaduti, in base ai tempi di immunità dei token configurati sul WebACL.

    • rejected:domain_mismatch— Il dominio del token non corrisponde alla configurazione del dominio token ACL del tuo sito web.

    • rejected:invalid— non è AWS WAF riuscito a leggere il token indicato.

    Esempio: awswaf:managed:captcha:rejected le etichette awswaf:managed:captcha:rejected:expired indicano che la richiesta è stata rifiutata perché il CAPTCHA timestamp nel token ha superato il tempo di immunità del CAPTCHA token configurato nel Web. ACL

  • absent— La richiesta non ha il token o il gestore del token non è riuscito a leggerlo.

    Esempio: l'etichetta awswaf:managed:captcha:absent indica che la richiesta non ha il token.

ATPetichette

Il gruppo di regole ATP gestito genera etichette con il prefisso dello spazio dei nomi awswaf:managed:aws:atp: seguito dallo spazio dei nomi e dal nome dell'etichetta personalizzati.

Il gruppo di regole può aggiungere una delle seguenti etichette oltre alle etichette indicate nell'elenco delle regole:

  • awswaf:managed:aws:atp:signal:credential_compromised— Indica che le credenziali inviate nella richiesta si trovano nel database delle credenziali rubate.

  • awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— Disponibile solo per le CloudFront distribuzioni protette di Amazon. Indica che una sessione client ha inviato più richieste utilizzando un'impronta digitale sospettaTLS.

  • awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— Indica l'uso di un singolo token tra più di 5 indirizzi IP distinti. Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che l'etichetta venga applicata.

È possibile recuperare tutte le etichette per un gruppo di regole tramite una chiamataDescribeManagedRuleGroup. API Le etichette sono elencate nella AvailableLabels proprietà nella risposta.

Elenco delle regole di prevenzione dell'acquisizione di account

Questa sezione elenca le ATP regole AWSManagedRulesATPRuleSet e le etichette che le regole del gruppo di regole aggiungono alle richieste web.

Nota

Questa documentazione riguarda la versione statica più recente di questo gruppo di regole gestito. Riportiamo le modifiche alla versione nel registro delle modifiche all'indirizzo. AWS Registro delle modifiche di Managed Rules Per informazioni su altre versioni, usa il API comando. DescribeManagedRuleGroup

Le informazioni che pubblichiamo per le regole nei gruppi di regole AWS Managed Rules hanno lo scopo di fornirti ciò di cui hai bisogno per utilizzare le regole senza fornire ai malintenzionati ciò di cui hanno bisogno per aggirarle.

Se hai bisogno di più informazioni di quelle che trovi qui, contatta il AWS Support Centro.

Nome regola Descrizione ed etichetta
UnsupportedCognitoIDP

Esamina il traffico web diretto a un pool di utenti di Amazon Cognito. ATPnon è disponibile per l'uso con i pool di utenti di Amazon Cognito e questa regola aiuta a garantire che le altre ATP regole del gruppo di regole non vengano utilizzate per valutare il traffico del pool di utenti.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:unsupported:cognito_idp e awswaf:managed:aws:atp:UnsupportedCognitoIDP

VolumetricIpHigh

Verifica la presenza di elevati volumi di richieste inviate da singoli indirizzi IP. Un volume elevato è costituito da più di 20 richieste in una finestra di 10 minuti.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Per un volume elevato, alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione relativa alle regole: Block

Etichette: awswaf:managed:aws:atp:aggregate:volumetric:ip:high e awswaf:managed:aws:atp:VolumetricIpHigh

Il gruppo di regole applica le seguenti etichette alle richieste con volumi medi (più di 15 richieste per finestra di 10 minuti) e volumi bassi (più di 10 richieste per finestra di 10 minuti), ma non interviene su di esse: awswaf:managed:aws:atp:aggregate:volumetric:ip:medium eawswaf:managed:aws:atp:aggregate:volumetric:ip:low.
VolumetricSession

Verifica la presenza di volumi elevati di richieste inviate da singole sessioni client. La soglia è superiore a 20 richieste per finestra di 30 minuti.

Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUso dei token nella mitigazione AWS WAF intelligente delle minacce.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. Alcune richieste potrebbero superare il limite prima che venga applicata l'azione della regola.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:aggregate:volumetric:session e awswaf:managed:aws:atp:VolumetricSession

AttributeCompromisedCredentials

Verifica la presenza di più richieste provenienti dalla stessa sessione client che utilizzano credenziali rubate.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials e awswaf:managed:aws:atp:AttributeCompromisedCredentials

AttributeUsernameTraversal

Verifica la presenza di più richieste dalla stessa sessione client che utilizzano l'attraversamento del nome utente.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:aggregate:attribute:username_traversal e awswaf:managed:aws:atp:AttributeUsernameTraversal

AttributePasswordTraversal

Verifica la presenza di più richieste con lo stesso nome utente che utilizzano l'incrocio delle password.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:aggregate:attribute:password_traversal e awswaf:managed:aws:atp:AttributePasswordTraversal

AttributeLongSession

Verifica la presenza di più richieste provenienti dalla stessa sessione client che utilizzano sessioni di lunga durata. La soglia è superiore a 6 ore di traffico con almeno una richiesta di accesso ogni 30 minuti.

Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUso dei token nella mitigazione AWS WAF intelligente delle minacce.

Azione sulle regole: Block

Etichette: awswaf:managed:aws:atp:aggregate:attribute:long_session e awswaf:managed:aws:atp:AttributeLongSession

TokenRejected

Controlla le richieste con token che vengono rifiutate dalla gestione dei AWS WAF token.

Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUso dei token nella mitigazione AWS WAF intelligente delle minacce.

Azione sulle regole: Block

Etichette: nessuna. Per verificare la presenza di token rifiutati, utilizza una regola di corrispondenza delle etichette da applicare sull'etichetta:awswaf:managed:token:rejected.

SignalMissingCredential

Verifica la presenza di richieste con credenziali prive del nome utente o della password.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:signal:missing_credential e awswaf:managed:aws:atp:SignalMissingCredential

VolumetricIpFailedLoginResponseHigh

Verifica la presenza di indirizzi IP che recentemente sono stati all'origine di un tasso troppo elevato di tentativi di accesso non riusciti. Un volume elevato è costituito da più di 10 richieste di accesso non riuscite da un indirizzo IP in una finestra di 10 minuti.

Se hai configurato il gruppo di regole per ispezionare il corpo o JSON i componenti della risposta, AWS WAF puoi ispezionare i primi 65.536 byte (64 KB) di questi tipi di componenti per individuare gli indicatori di successo o di fallimento.

Questa regola applica l'azione e l'etichettatura della regola alle nuove richieste Web provenienti da un indirizzo IP, in base alle risposte di successo e di fallimento della risorsa protetta ai recenti tentativi di accesso dallo stesso indirizzo IP. Quando configuri il gruppo di regole, definisci come contare i successi e gli insuccessi.

Nota

AWS WAF valuta questa regola solo nel web ACLs che protegge le CloudFront distribuzioni Amazon.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. È possibile che il client invii un numero di tentativi di accesso non riuscito superiore a quello consentito prima che la regola inizi a corrispondere nei tentativi successivi.

Azione della regola: Block

Etichette: awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high e awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh

Il gruppo di regole applica anche le seguenti etichette correlate alle richieste, senza alcuna azione associata. Tutti i conteggi si riferiscono a una finestra di 10 minuti. awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:mediumper più di 5 richieste non riuscite, awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low per più di 1 richiesta non riuscita, awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high per più di 10 richieste riuscite, awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium per più di 5 richieste riuscite e awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low per più di 1 richiesta riuscita.

VolumetricSessionFailedLoginResponseHigh

Esamina le sessioni client che di recente sono state all'origine di una frequenza troppo elevata di tentativi di accesso falliti. Un volume elevato è costituito da più di 10 richieste di accesso non riuscite da una sessione client in una finestra di 30 minuti.

Se hai configurato il gruppo di regole per ispezionare il corpo o JSON i componenti della risposta, AWS WAF puoi ispezionare i primi 65.536 byte (64 KB) di questi tipi di componenti per individuare gli indicatori di successo o di fallimento.

Questa regola applica l'azione e l'etichettatura della regola alle nuove richieste Web da una sessione client, in base alle risposte di successo e di errore della risorsa protetta ai recenti tentativi di accesso dalla stessa sessione client. Quando configuri il gruppo di regole, definisci come contare i successi e gli insuccessi.

Nota

AWS WAF valuta questa regola solo nel web ACLs che protegge le CloudFront distribuzioni Amazon.

Nota

Le soglie applicate da questa regola possono variare leggermente a causa della latenza. È possibile che il client invii un numero di tentativi di accesso non riuscito superiore a quello consentito prima che la regola inizi a corrispondere nei tentativi successivi.

Questa ispezione si applica solo quando la richiesta web ha un token. I token vengono aggiunti alle richieste mediante l'integrazione dell'applicazione SDKs e le azioni delle regole CAPTCHA e Challenge. Per ulteriori informazioni, vedereUso dei token nella mitigazione AWS WAF intelligente delle minacce.

Azione sulle regole: Block

Etichette: awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high e awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh

Il gruppo di regole applica anche le seguenti etichette correlate alle richieste, senza alcuna azione associata. Tutti i conteggi si riferiscono a una finestra di 30 minuti. awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:mediumper più di 5 richieste non riuscite, awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low per più di 1 richiesta non riuscita, awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high per più di 10 richieste riuscite, awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium per più di 5 richieste riuscite e awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low per più di 1 richiesta riuscita.