AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 규칙 그룹 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced

AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 규칙 그룹

이 섹션에서는 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 관리형 규칙 그룹의 기능에 대해 설명합니다.

VendorName: AWS, Name: AWSManagedRulesACFPRuleSet, WCU: 50

AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 관리형 규칙 그룹은 사기 계정 생성 시도의 일부일 수 있는 요청에 레이블을 지정하여 관리합니다. 이 규칙 그룹은 클라이언트가 애플리케이션의 등록 및 계정 생성 엔드포인트로 보내는 계정 생성 요청을 검사하여 이 작업을 수행합니다.

ACFP 규칙 그룹은 계정 생성 시도를 다양한 방식으로 검사하여 사용자가 잠재적으로 악의적인 상호 작용을 파악하고 제어할 수 있도록 합니다. 규칙 그룹은 요청 토큰을 사용하여 클라이언트 브라우저에 대한 정보와 계정 생성 요청 생성 시 사용자 상호 작용 수준에 대한 정보를 수집합니다. 규칙 그룹은 IP 주소 및 클라이언트 세션별로 요청을 집계하고 실제 주소 및 전화 번호와 같은 제공된 계정 정보별로 집계하여 대량 계정 생성 시도를 탐지하고 관리합니다. 또한 규칙 그룹은 손상된 자격 증명을 사용한 새 계정의 생성을 탐지하고 차단하므로 애플리케이션과 새 사용자의 보안 상태를 보호하는 데 도움이 됩니다.

이 규칙 그룹 사용 시 고려 사항

이 규칙 그룹에는 애플리케이션의 계정 등록 및 계정 생성 경로 사양을 포함하는 사용자 지정 구성이 필요합니다. 별도로 언급되는 경우를 제외하고, 이 규칙 그룹의 규칙은 클라이언트가 이 두 엔드포인트로 보내는 모든 요청을 검사합니다. 이 규칙 그룹을 구성하고 구현하려면 AWS WAF Fraud Control 계정 생성 사기 방지(ACFP)를 통한 계정 생성 사기 방지의 지침을 참조하세요.

참고

이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금을 참조하세요.

이 규칙 그룹은 AWS WAF에 지능형 위협 완화 보호의 일부로 포함됩니다. 자세한 내용은 AWS WAF에서 지능형 위협 완화 구현 섹션을 참조하세요.

지속적으로 비용을 절감하고 웹 트래픽이 필요에 맞게 관리되도록 하려면 AWS WAF의 지능형 위협 완화 모범 사례의 지침에 따라 이 규칙 그룹을 사용하십시오.

이 규칙 그룹은 Amazon Cognito 사용자 풀과 함께 사용할 수 없습니다. 이 규칙 그룹을 사용하는 웹 ACL을 사용자 풀과 연결할 수 없으며, 이미 사용자 풀과 연결된 웹 ACL에 이 규칙 그룹을 추가할 수 없습니다.

이 규칙 그룹에서 추가한 레이블

이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가하는데, 이 레이블은 웹 ACL에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF는 Amazon CloudWatch 지표에도 레이블을 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청에 레이블 사용레이블 지표 및 차원 섹션을 참조하세요.

토큰 레이블

이 규칙 그룹은 AWS WAF 토큰 관리를 사용하여 AWS WAF 토큰 상태에 따라 웹 요청을 검사하고 레이블을 지정합니다. AWS WAF는 토큰을 사용하여 클라이언트 세션을 추적하고 확인합니다.

토큰 및 토큰 관리에 대한 자세한 내용은 AWS WAF의 웹 요청에 토큰 사용를 참조하세요.

여기에 설명된 레이블 구성 요소에 대한 자세한 내용은 AWS WAF의 레이블 구문 및 이름 지정 요구 사항를 참조하세요.

클라이언트 세션 레이블

레이블 awswaf:managed:token:id:identifier에는 AWS WAF 토큰 관리가 클라이언트 세션을 식별하는 데 사용하는 고유 식별자가 들어 있습니다. 클라이언트가 새 토큰을 획득하는 경우(예: 사용하고 있던 토큰을 폐기한 후) 식별자가 변경될 수 있습니다.

참고

AWS WAF은(는) 이 레이블에 대한 Amazon CloudWatch 지표를 보고하지 않습니다.

토큰 상태 레이블: 레이블 네임스페이스 접두사

토큰 상태 레이블은 토큰 및 챌린지 상태와 토큰에 포함된 CAPTCHA 정보를 보고합니다.

각 토큰 상태 레이블은 다음 네임스페이스 접두사 중 하나로 시작합니다.

  • awswaf:managed:token: – 토큰의 일반 상태를 보고하고 토큰의 챌린지 정보 상태를 보고하는 데 사용됩니다.

  • awswaf:managed:captcha: – 토큰의 CAPTCHA 정보 상태를 보고하는 데 사용됩니다.

토큰 상태 레이블: 레이블 이름

접두사 뒤에 오는 라벨의 나머지 부분은 자세한 토큰 상태 정보를 제공합니다.

  • accepted – 요청 토큰이 존재하며 다음을 포함합니다.

    • 유효한 챌린지 또는 CAPTCHA 솔루션.

    • 만료되지 않은 챌린지 또는 CAPTCHA 타임스탬프.

    • 웹 ACL에 대해 유효한 도메인 사양입니다.

    예: 레이블 awswaf:managed:token:accepted은(는) 웹 요청의 토큰에 유효한 인증 확인 솔루션, 만료되지 않은 챌린지 타임스탬프 및 유효한 도메인이 있음을 나타냅니다.

  • rejected – 요청 토큰이 존재하지만 수락 기준을 충족하지 않습니다.

    거부된 레이블과 함께 토큰 관리는 사용자 지정 레이블 네임스페이스 및 이름을 추가하여 이유를 나타냅니다.

    • rejected:not_solved – 토큰에 챌린지 또는 CAPTCHA 솔루션이 없습니다.

    • rejected:expired – 웹 ACL의 구성된 토큰 면역 시간에 따라 토큰의 챌린지 또는 CAPTCHA 타임스탬프가 만료되었습니다.

    • rejected:domain_mismatch – 토큰의 도메인이 웹 ACL의 토큰 도메인 구성과 일치하지 않습니다.

    • rejected:invalid – AWS WAF이(가) 표시된 토큰을 읽을 수 없습니다.

    예: 레이블 awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired은(는) 토큰의 CAPTCHA 타임스탬프가 웹 ACL에 구성된 CAPTCHA 토큰 면역 시간을 초과했기 때문에 요청이 거부되었음을 나타냅니다.

  • absent – 요청에 토큰이 없거나 토큰 관리자가 토큰을 읽을 수 없습니다.

    예: 레이블 awswaf:managed:captcha:absent는 요청에 토큰이 없음을 나타냅니다.

ACFP 레이블

이 규칙 그룹은 네임스페이스 접두사 awswaf:managed:aws:acfp: 다음에 사용자 지정 네임스페이스와 레이블 이름이 이어지는 레이블을 생성합니다. 이 규칙 그룹은 요청 하나에 둘 이상의 레이블을 추가할 수도 있습니다.

DescribeManagedRuleGroup를 호출하여 API를 통해 규칙 그룹의 모든 레이블을 검색할 수 있습니다. 레이블은 응답의 AvailableLabels 속성에 나열됩니다.

계정 생성 사기 방지 규칙 목록

이 섹션에는 AWSManagedRulesACFPRuleSet의 ACFP 규칙과 규칙 그룹의 규칙이 웹 요청에 추가하는 레이블이 나열되어 있습니다.

참고

AWS 관리형 규칙 그룹의 규칙에 대해 게시되는 정보는 규칙을 사용하는 데 필요한 충분한 정보를 제공하는 동시에 악의적인 공격자가 규칙을 회피하는 데 사용할 수 있는 정보는 제공하지 않기 위한 것입니다. 이 설명서의 내용 외에 더 많은 정보가 필요한 경우 AWS Support 센터에 문의하십시오.

이 규칙 그룹의 모든 규칙에는 처음 두 UnsupportedCognitoIDPAllRequests의 경우를 제외하고는 웹 요청 토큰이 필요합니다. 토큰이 제공하는 정보에 대한 설명은 AWS WAF 토큰 특성 섹션을 참조하세요.

별도로 언급된 경우를 제외하고, 이 규칙 그룹의 규칙은 클라이언트가 규칙 그룹 구성에 제공되는 계정 등록 및 계정 생성 페이지 경로로 보내는 모든 요청을 검사합니다. 이 규칙 그룹의 구성에 대한 자세한 내용은 AWS WAF Fraud Control 계정 생성 사기 방지(ACFP)를 통한 계정 생성 사기 방지 섹션을 참조하세요.

규칙 이름 설명 및 레이블
UnsupportedCognitoIDP

Amazon Cognito 사용자 풀로 이동하는 웹 트래픽을 검사합니다. ACFP는 Amazon Cognito 사용자 풀과 함께 사용할 수 없으므로, 이 규칙은 다른 ACFP 규칙 그룹 규칙이 사용자 풀 트래픽을 평가하는 데 사용되지 않도록 하는 데 도움이 됩니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:unsupported:cognito_idpawswaf:managed:aws:acfp:UnsupportedCognitoIDP

AllRequests

등록 페이지 경로에 액세스하는 요청에 규칙 작업을 적용합니다. 규칙 그룹을 구성할 때 등록 페이지 경로를 구성합니다.

기본적으로 이 규칙은 요청에 Challenge를 적용합니다. 이 작업의 적용으로 규칙은 규칙 그룹의 나머지 규칙에서 요청을 평가하기 전에 클라이언트가 챌린지 토큰을 획득하도록 합니다.

최종 사용자가 계정 생성 요청을 제출하기 전에 등록 페이지 경로를 로드하도록 해야 합니다.

토큰은 클라이언트 애플리케이션 통합 SDK와 규칙 작업 CAPTCHA 및 Challenge에 의해 요청에 추가됩니다. 토큰을 가장 효율적으로 획득하려면 애플리케이션 통합 SDK를 사용하는 것이 좋습니다. 자세한 내용은 클라이언트 애플리케이션과 AWS WAF 통합 사용 섹션을 참조하세요.

규칙 작업: Challenge

레이블: 없음

RiskScoreHigh

계정 생성 요청이 매우 의심스러운 것으로 간주되는 IP 주소 또는 기타 요인을 포함하는지 검사합니다. 이 평가는 일반적으로 여러 기여 요인을 기반으로 하며, 이러한 요인은 규칙 그룹이 요청에 추가하는 risk_score 레이블에서 확인할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:risk_score:highawswaf:managed:aws:acfp:RiskScoreHigh

이 규칙은 요청에 medium 또는 low 위험 점수 레이블을 적용할 수도 있습니다.

AWS WAF에서 웹 요청의 위험 점수 평가에 실패하면 이 규칙은 레이블 awswaf:managed:aws:acfp:risk_score:evaluation_failed 를 추가합니다.

또한 이 규칙은 네임스페이스가 awswaf:managed:aws:acfp:risk_score:contributor:인 레이블을 추가하는데, 이 레이블에는 IP 신뢰도 및 도용된 보안 인증 정보 평가와 같은 특정 위험 점수 참여자에 대한 위험 점수 평가 상태 및 결과가 포함됩니다.

SignalCredentialCompromised

도용된 보안 인증 정보 데이터베이스에서 계정 생성 요청에 제출된 보안 인증 정보를 검색합니다.

이 규칙을 사용하면 신규 클라이언트가 확실한 보안 태세를 갖춘 상태에서 자신들의 계정을 초기화할 수 있습니다.

참고

사용자 지정 차단 응답을 추가하여 최종 사용자에게 문제를 설명하고 진행 방법을 알려줄 수 있습니다. 자세한 내용은 ACFP 예제: 손상된 보안 인증 정보에 대한 사용자 지정 응답 섹션을 참조하세요.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:signal:credential_compromisedawswaf:managed:aws:acfp:SignalCredentialCompromised

규칙 그룹은 다음과 같은 관련 레이블을 적용하지만 계정 생성 시 모든 요청에 awswaf:managed:aws:acfp:signal:missing_credential 보안 인증 정보가 있는 것은 아니기 때문에 이러한 레이블에 대해 아무런 작업도 수행하지 않습니다.

SignalClientHumanInteractivityAbsentLow

계정 생성 요청 토큰에서 애플리케이션과 사용자의 비정상적인 상호 작용을 나타내는 데이터가 있는지 검사합니다. 사용자 상호 작용은 마우스 동작 및 키 누름과 같은 상호 작용을 통해 탐지됩니다. 페이지에 HTML 양식이 있는 경우 사용자 상호 작용에는 양식과의 상호 작용이 포함됩니다.

참고

이 규칙은 계정 생성 경로에 대한 요청만 검사하며 애플리케이션 통합 SDK를 구현한 경우에만 평가됩니다. SDK 구현은 사용자 상호 작용을 수동적으로 캡처하여 요청 토큰에 정보를 저장합니다. 자세한 내용은 AWS WAF 토큰 특성클라이언트 애플리케이션과 AWS WAF 통합 사용 섹션을 참조하세요.

규칙 작업: CAPTCHA

레이블: 없음. 이 규칙은 다양한 요인을 기반으로 일치 항목을 결정하므로 가능한 모든 일치 시나리오에 적용되는 개별 레이블은 없습니다.

규칙 그룹은 다음 레이블 중 하나 이상을 요청에 적용할 수 있습니다.

awswaf:managed:aws:acfp:signal:client:human_interactivity:low|medium|high

awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow|Medium|High

awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data

awswaf:managed:aws:acfp:signal:form_detected.

AutomatedBrowser

클라이언트 브라우저가 자동화될 수 있음을 나타내는 표시자가 있는지 검사합니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:signal:automated_browserawswaf:managed:aws:acfp:AutomatedBrowser

BrowserInconsistency

요청 토큰에 일치하지 않는 브라우저 질문 데이터가 있는지 검사합니다. 자세한 내용은 AWS WAF 토큰 특성 섹션을 참조하세요.

규칙 작업: CAPTCHA

레이블: awswaf:managed:aws:acfp:signal:browser_inconsistencyawswaf:managed:aws:acfp:BrowserInconsistency

VolumetricIpHigh

개별 IP 주소에서 대용량의 계정 생성 요청이 전송되었는지 검사합니다. 대량이란 10분의 시간 동안 20개가 넘는 요청을 의미합니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 대량의 경우 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: CAPTCHA

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:highawswaf:managed:aws:acfp:VolumetricIpHigh

이 규칙은 중간 용량(10분 기간당 요청 15개 초과) 및 소량(10분 기간당 요청 10개 초과) 요청에 다음 레이블을 적용하지만, awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:mediumawswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low에 대해 아무런 작업도 수행하지 않습니다.

VolumetricSessionHigh

개별 클라이언트 세션에서 대량의 계정 생성 요청이 전송되었는지 검사합니다. 대량이란 30분의 시간 동안 10개가 넘는 요청을 의미합니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:highawswaf:managed:aws:acfp:VolumetricSessionHigh

이 규칙 그룹은 중간 용량(30분 기간당 요청 5개 초과) 및 소량(30분 기간당 요청 1개 초과) 요청에 다음 레이블을 적용하지만, awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:mediumawswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low에 대해 아무런 작업도 수행하지 않습니다.

AttributeUsernameTraversalHigh

단일 클라이언트 세션에서 다양한 사용자 이름을 사용하는 계정 생성 요청의 비율이 높은지 검사합니다. 30분 동안 요청 수가 10개가 넘으면 높음으로 평가됩니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:highawswaf:managed:aws:acfp:AttributeUsernameTraversalHigh

이 규칙 그룹은 사용자 이름 탐색 요청의 중간 용량(30분 기간당 요청 5개 초과) 및 소량(30분 기간당 요청 1개 초과) 요청에 다음 레이블을 적용하지만, awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:mediumawswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low에 대해 아무런 작업도 수행하지 않습니다.

VolumetricPhoneNumberHigh

동일한 전화번호를 사용하는 계정 생성 요청이 많은지 검사합니다. 30분 동안 요청 수가 10개가 넘으면 높음으로 평가됩니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:highawswaf:managed:aws:acfp:VolumetricPhoneNumberHigh

이 규칙 그룹은 중간 용량(30분 기간당 요청 5개 초과) 및 소량(30분 기간당 요청 1개 초과) 요청에 다음 레이블을 적용하지만, awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:mediumawswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low에 대해 아무런 작업도 수행하지 않습니다.

VolumetricAddressHigh

동일한 실제 주소를 사용하는 계정 생성 요청이 많은지 검사합니다. 30분 동안 요청 수가 100개가 넘으면 높음으로 평가됩니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:address:highawswaf:managed:aws:acfp:VolumetricAddressHigh

VolumetricAddressLow

소량 및 중간 용량의 계정 생성 요청에서 동일한 물리적 주소가 사용되는지 검사합니다. 30분 동안 요청 수가 50개를 초과하면 중간 용량으로 평가되고 30분 동안 요청 수가 10개를 초과하면 소량으로 평가됩니다.

이 규칙은 중간 용량 또는 소량에 모두 작업을 적용합니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: CAPTCHA

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:address:low|mediumawswaf:managed:aws:acfp:VolumetricAddressLow|Medium

VolumetricIPSuccessfulResponse

단일 IP 주소에 대한 성공적인 계정 생성 요청이 많은지 검사합니다. 이 규칙은 계정 생성 요청에 대한 보호된 리소스의 성공 응답을 집계합니다. 10분 동안 요청 수가 10개가 넘으면 높음으로 평가됩니다.

이 규칙은 대량 계정 생성 시도를 방지하는 데 도움이 됩니다. 이 규칙은 요청만 계산하는 VolumetricIpHigh 규칙보다 임계값이 낮습니다.

응답 본문이나 JSON 구성 요소를 검사하도록 규칙 그룹을 구성한 경우 AWS WAF는 이러한 구성 요소 유형의 처음 65,536바이트 (64KB)에서 성공 또는 실패 표시자를 검사할 수 있습니다.

이 규칙은 동일한 IP 주소에서 발생한 최근 로그인 시도에 대한 보호된 리소스의 성공 및 실패 응답을 기반으로 IP 주소의 새 웹 요청에 규칙 작업 및 레이블링을 적용합니다. 규칙 그룹을 구성할 때 성공과 실패를 계산하는 방법을 정의합니다.

참고

AWS WAF는 Amazon CloudFront 배포를 보호하는 웹 ACL에서만 이 규칙을 평가합니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 클라이언트는 규칙이 후속 시도에서 매칭을 시작하기 전에 허용되는 횟수보다 더 많은 성공 계정 생성 시도 횟수를 전송할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:highawswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse

또한 규칙 그룹은 어떠한 연결된 작업도 없이 다음과 같은 관련 레이블을 요청에 적용합니다. 모든 개수는 10분 기간 기준입니다. 성공 요청이 5개 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium, 성공 요청이 1개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low, 실패 요청이 10개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high, 실패 요청이 5개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium, 그리고 실패 요청이 1개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low입니다.

VolumetricSessionSuccessfulResponse

단일 클라이언트 세션에서 전송되는 계정 생성 요청에 대해 보호된 리소스의 성공 응답이 적은지 검사합니다. 이는 대량 계정 생성 시도를 방지하는 데 도움이 됩니다. 30분 기간당 요청 수가 1개가 넘으면 낮음으로 평가됩니다.

이는 대량 계정 생성 시도를 방지하는 데 도움이 됩니다. 이 규칙은 요청만 추적하는 VolumetricSessionHigh 규칙보다 낮은 임계값을 사용합니다.

응답 본문이나 JSON 구성 요소를 검사하도록 규칙 그룹을 구성한 경우 AWS WAF는 이러한 구성 요소 유형의 처음 65,536바이트 (64KB)에서 성공 또는 실패 표시자를 검사할 수 있습니다.

이 규칙은 동일한 클라이언트 세션에서 발생한 최근 로그인 시도에 대한 보호된 리소스의 성공 및 실패 응답을 기반으로 클라이언트 세션의 새 웹 요청에 규칙 작업 및 레이블링을 적용합니다. 규칙 그룹을 구성할 때 성공과 실패를 계산하는 방법을 정의합니다.

참고

AWS WAF는 Amazon CloudFront 배포를 보호하는 웹 ACL에서만 이 규칙을 평가합니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 클라이언트는 규칙이 후속 시도에서 매칭을 시작하기 전에 허용되는 횟수보다 더 많은 실패 계정 생성 시도 횟수를 전송할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:lowawswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse

또한 규칙 그룹은 다음과 같은 관련 레이블을 요청에 적용합니다. 모든 개수는 30분 기간 기준입니다. 성공 요청이 10개 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high, 성공 요청이 5개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium, 실패 요청이 10개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high, 실패 요청이 5개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium, 그리고 실패 요청이 1개가 넘는 경우 awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low입니다.

VolumetricSessionTokenReuseIp

5개가 넘는 고유 IP 주소에서 단일 토큰이 사용되는 계정 생성 요청이 있는지 검사합니다.

참고

이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다.

규칙 작업: Block

레이블: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ipawswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp