기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS WAF 사기 방지 계정 탈취 방지 (ATP) 규칙 그룹
이 섹션에서는 다음 사항에 대해 설명합니다. AWS WAF 사기 방지 계정 탈취 방지 (ATP) 관리 규칙 그룹의 역할.
VendorName:AWS, 이름:AWSManagedRulesATPRuleSet
더 AWS WAF Fraud Control 계정 탈취 방지 (ATP) 는 악의적인 계정 탈취 시도의 일부일 수 있는 요청을 규칙 그룹에 레이블링하고 관리합니다. 규칙 그룹은 클라이언트가 애플리케이션의 로그인 엔드포인트로 보내는 로그인 시도를 검사하여 이 작업을 수행합니다.
요청 검사 — ATP 도난당한 자격 증명을 사용하는 비정상적인 로그인 시도 및 로그인 시도를 파악하고 제어할 수 있어 사기 행위로 이어질 수 있는 계정 탈취를 방지할 수 있습니다. ATP도난당한 자격 증명 데이터베이스에서 이메일과 암호 조합을 검사합니다. 이 데이터베이스는 다크 웹에서 유출된 새 자격 증명이 발견되면 정기적으로 업데이트됩니다. ATPIP 주소 및 클라이언트 세션별로 데이터를 집계하여 의심스러운 요청을 너무 많이 보내는 클라이언트를 탐지하고 차단합니다.
응답 검사 — CloudFront 배포의 경우 ATP 규칙 그룹은 들어오는 로그인 요청을 검사하는 것 외에도 로그인 시도에 대한 애플리케이션의 응답을 검사하여 성공률과 실패율을 추적합니다. 이 정보를 사용하면 로그인 실패가 너무 많은 클라이언트 세션 또는 IP 주소를 일시적으로 ATP 차단할 수 있습니다. AWS WAF 응답 검사를 비동기적으로 수행하므로 웹 트래픽의 지연 시간이 증가하지 않습니다.
이 규칙 그룹 사용 시 고려할 사항
이 규칙 그룹에는 특정 구성이 필요합니다. 이 규칙 그룹을 구성하고 구현하려면 를 통한 계정 도용 방지 AWS WAF 사기 방지 계정 탈취 방지 () ATP의 지침을 참조하세요.
이 규칙 그룹은 미국의 지능형 위협 완화 보호에 속합니다. AWS WAF자세한 정보는 지능형 위협 완화 구현 AWS WAF 단원을 참조하십시오.
참고
이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 단원을 참조하세요.AWS WAF 가격 책정.
지속적으로 비용을 절감하고 웹 트래픽이 필요에 맞게 관리되도록 하려면 지능형 위협 완화 모범 사례 AWS WAF의 지침에 따라 이 규칙 그룹을 사용하십시오.
이 규칙 그룹은 Amazon Cognito 사용자 풀과 함께 사용할 수 없습니다. 이 규칙 그룹을 사용하는 ACL 웹을 사용자 풀과 연결할 수 없으며 이미 사용자 풀과 연결된 ACL 웹에 이 규칙 그룹을 추가할 수 없습니다.
이 규칙 그룹에서 추가한 레이블
이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가합니다. 이 레이블은 ACL 웹에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF 또한 레이블을 Amazon CloudWatch 메트릭에 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 웹 요청에 라벨 사용 및 레이블 지표 및 차원 섹션을 참조하세요.
토큰 레이블
이 규칙 그룹은 다음을 사용합니다. AWS WAF 토큰 관리를 통해 웹 요청의 상태에 따라 웹 요청을 검사하고 레이블을 지정합니다. AWS WAF 토큰. AWS WAF 클라이언트 세션 추적 및 검증을 위해 토큰을 사용합니다.
토큰 및 토큰 관리에 대한 자세한 내용은 웹 요청에 토큰 사용 AWS WAF을(를) 참조하십시오.
여기에 설명된 레이블 구성 요소에 대한 자세한 내용은 의 레이블 구문 및 이름 지정 요구 사항 AWS WAF을(를) 참조하십시오.
클라이언트 세션 레이블
awswaf:managed:token:id:라벨에는 다음과 같은 고유 식별자가 들어 있습니다. AWS WAF 토큰 관리는 클라이언트 세션을 식별하는 데 사용합니다. 클라이언트가 새 토큰을 획득하는 경우(예: 사용하고 있던 토큰을 폐기한 후) 식별자가 변경될 수 있습니다.identifier
참고
AWS WAF 이 라벨에 대한 Amazon CloudWatch 메트릭을 보고하지 않습니다.
토큰 상태 레이블: 레이블 네임스페이스 접두사
토큰 상태 라벨은 토큰의 상태와 챌린지 및 토큰에 포함된 CAPTCHA 정보를 보고합니다.
각 토큰 상태 레이블은 다음 네임스페이스 접두사 중 하나로 시작합니다.
awswaf:managed:token:– 토큰의 일반 상태를 보고하고 토큰의 챌린지 정보 상태를 보고하는 데 사용됩니다.awswaf:managed:captcha:— 토큰 CAPTCHA 정보의 상태를 보고하는 데 사용됩니다.
토큰 상태 레이블: 레이블 이름
접두사 뒤에 오는 라벨의 나머지 부분은 자세한 토큰 상태 정보를 제공합니다.
accepted– 요청 토큰이 존재하며 다음을 포함합니다.타당한 당면 과제 또는 CAPTCHA 해결책.
만료되지 않은 챌린지 또는 타임스탬프 CAPTCHA
웹에 유효한 도메인 사양. ACL
예: 레이블
awswaf:managed:token:accepted은(는) 웹 요청의 토큰에 유효한 인증 확인 솔루션, 만료되지 않은 챌린지 타임스탬프 및 유효한 도메인이 있음을 나타냅니다.-
rejected– 요청 토큰이 존재하지만 수락 기준을 충족하지 않습니다.거부된 레이블과 함께 토큰 관리는 사용자 지정 레이블 네임스페이스 및 이름을 추가하여 이유를 나타냅니다.
rejected:not_solved— 토큰에 당면 과제나 CAPTCHA 해결책이 없습니다.rejected:expired— 웹에 구성된 토큰 면역 시간에 따라 ACL 토큰의 챌린지 또는 CAPTCHA 타임스탬프가 만료되었습니다.rejected:domain_mismatch— 토큰 도메인이 ACL 웹의 토큰 도메인 구성과 일치하지 않습니다.rejected:invalid– AWS WAF 표시된 토큰을 읽을 수 없습니다.
예:
awswaf:managed:captcha:rejected레이블은 토큰의 CAPTCHA 타임스탬프가 ACL 웹에 구성된 CAPTCHA 토큰 면역 시간을 초과했기 때문에 요청이awswaf:managed:captcha:rejected:expired거부되었음을 나타냅니다. -
absent– 요청에 토큰이 없거나 토큰 관리자가 토큰을 읽을 수 없습니다.예: 레이블
awswaf:managed:captcha:absent은(는) 요청에 토큰이 없음을 나타냅니다.
ATP라벨
ATP관리형 규칙 그룹은 네임스페이스 접두사 awswaf:managed:aws:atp: 다음에 사용자 지정 네임스페이스와 레이블 이름을 포함하는 레이블을 생성합니다.
규칙 그룹은 규칙 목록에 나와 있는 레이블 외에도 다음 레이블 중 하나를 추가할 수 있습니다.
-
awswaf:managed:aws:atp:signal:credential_compromised- 요청에서 제출된 보안 인증 정보가 도용된 보안 인증 정보 데이터베이스에 있음을 나타냅니다. -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 보호 대상 Amazon CloudFront 배포에만 사용할 수 있습니다. 클라이언트 세션에서 의심스러운 TLS 지문을 사용한 요청을 여러 번 보냈음을 나타냅니다. -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip- 단일 토큰이 5개 이상의 고유 IP 주소에서 사용되었음을 나타냅니다. 이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 레이블이 적용되기 전에 몇 개의 요청이 제한을 초과할 수 있습니다.
호출을 DescribeManagedRuleGroup 통해 규칙 그룹의 모든 레이블을 검색할 수 있습니다. API 레이블은 응답의 AvailableLabels 속성에 나열됩니다.
계정 탈취 방지 규칙 목록
이 섹션에는 ATP 규칙 그룹의 AWSManagedRulesATPRuleSet 규칙과 해당 규칙 그룹의 규칙이 웹 요청에 추가하는 레이블이 나열되어 있습니다.
참고
규칙에 대해 게시한 정보는 다음 사이트에 게시됩니다. AWS 관리형 규칙 규칙 그룹은 규칙을 사용하기에 충분한 정보를 제공하는 동시에 악의적인 공격자가 규칙을 우회하는 데 사용할 수 있는 정보는 제공하지 않기 위한 것입니다. 이 설명서에 있는 것보다 더 많은 정보가 필요한 경우 다음 연락처로 문의하십시오. AWS Support 센터
| 규칙 이름 | 설명 및 레이블 |
|---|---|
UnsupportedCognitoIDP |
Amazon Cognito 사용자 풀로 이동하는 웹 트래픽을 검사합니다. ATPAmazon Cognito 사용자 풀에서는 사용할 수 없으며, 이 ATP 규칙은 다른 규칙 그룹 규칙이 사용자 풀 트래픽을 평가하는 데 사용되지 않도록 하는 데 도움이 됩니다. 규칙 조치: Block 레이블: |
VolumetricIpHigh |
개별 IP 주소에서 대용량의 요청이 전송되었는지 검사합니다. 대량이란 10분의 시간 동안 20개가 넘는 요청을 의미합니다. 참고이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 대량의 경우 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다. 규칙 조치: Block 레이블: 규칙 그룹은 중간 볼륨 (10분당 요청 15개 초과) 및 저용량 (10분당 요청 10개 초과) 의 요청에 다음 레이블을 적용하지만 이에 대해서는 아무런 조치도 취하지 않습니다 |
VolumetricSession |
개별 클라이언트 세션에서 대용량의 요청이 전송되었는지 검사합니다. 30분 동안 요청 수가 20개를 초과하는 것이 임계값입니다. 이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 애플리케이션 통합 SDKs 및 규칙 작업에 의해 요청에 토큰이 추가됩니다.CAPTCHA 그리고 Challenge. 자세한 내용은 을 참조하십시오웹 요청에 토큰 사용 AWS WAF. 참고이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다. 규칙 조치: Block 레이블: |
AttributeCompromisedCredentials |
동일한 클라이언트 세션의 여러 요청에서 도용된 보안 인증 정보가 사용되는지 검사합니다. 규칙 조치: Block 레이블: |
AttributeUsernameTraversal |
사용자 이름 순회를 사용하는 동일한 클라이언트 세션에서 여러 요청이 있는지 검사합니다. 규칙 조치: Block 레이블: |
AttributePasswordTraversal |
비밀번호 탐색을 사용하는 동일한 사용자 이름을 사용하는 여러 요청이 있는지 검사합니다. 규칙 조치: Block 레이블: |
AttributeLongSession |
오래 지속되는 세션을 사용하는 동일한 클라이언트 세션에서 여러 요청이 있는지 검사합니다. 임계값은 30분에 한 번 이상의 로그인 요청이 있는 6시간 이상의 트래픽입니다. 이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 애플리케이션 통합 SDKs 및 규칙 작업에 의해 요청에 토큰이 추가됩니다.CAPTCHA 그리고 Challenge. 자세한 내용은 을 참조하십시오웹 요청에 토큰 사용 AWS WAF. 규칙 조치: Block 레이블: |
TokenRejected |
에서 거부한 토큰이 포함된 요청을 검사합니다. AWS WAF 토큰 관리. 이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 애플리케이션 통합 SDKs 및 규칙 작업에 의해 요청에 토큰이 추가됩니다.CAPTCHA 그리고 Challenge. 자세한 내용은 을 참조하십시오웹 요청에 토큰 사용 AWS WAF. 규칙 조치: Block 라벨: 없음. 거부된 토큰이 있는지 확인하려면 라벨 매칭 규칙을 사용하여 라벨에 매칭하십시오 |
SignalMissingCredential |
사용자 이름 또는 암호가 누락된 보안 인증 정보를 포함하는 요청이 있는지 검사합니다. 규칙 조치: Block 레이블: |
VolumetricIpFailedLoginResponseHigh |
최근에 로그인 시도 실패율이 너무 높은 IP 주소가 있는지 검사합니다. 대용량이란 10분의 시간 동안 한 IP 주소에서 10개가 넘는 로그인 요청 실패가 있음을 의미합니다. 응답 본문 또는 JSON 구성 요소를 검사하도록 규칙 그룹을 구성한 경우 AWS WAF 이러한 구성 요소 유형의 처음 65,536바이트 (64KB) 에서 성공 또는 실패 지표를 검사할 수 있습니다. 이 규칙은 동일한 IP 주소에서 발생한 최근 로그인 시도에 대한 보호된 리소스의 성공 및 실패 응답을 기반으로 IP 주소의 새 웹 요청에 규칙 작업 및 레이블링을 적용합니다. 규칙 그룹을 구성할 때 성공과 실패를 계산하는 방법을 정의합니다. 참고AWS WAF Amazon CloudFront 배포를 ACLs 보호하는 웹에서만 이 규칙을 평가합니다. 참고이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 클라이언트는 규칙이 후속 시도에서 매칭을 시작하기 전에 허용되는 횟수보다 더 많은 실패 로그인 시도 횟수를 전송할 수 있습니다. 규칙 조치: Block 레이블: 또한 규칙 그룹은 어떠한 연결된 작업도 없이 다음과 같은 관련 레이블을 요청에 적용합니다. 모든 개수는 10분 기간 기준입니다. 실패 요청이 5개 넘는 경우 |
VolumetricSessionFailedLoginResponseHigh |
최근에 로그인 시도 실패율이 너무 높은 클라이언트 세션이 있는지 검사합니다. 대용량이란 30분의 시간 동안 한 클라이언트 세션에서 10개가 넘는 로그인 요청 실패가 있음을 의미합니다. 응답 본문 또는 JSON 구성 요소를 검사하도록 규칙 그룹을 구성한 경우 AWS WAF 이러한 구성 요소 유형의 처음 65,536바이트 (64KB) 에서 성공 또는 실패 지표를 검사할 수 있습니다. 이 규칙은 동일한 클라이언트 세션에서 발생한 최근 로그인 시도에 대한 보호된 리소스의 성공 및 실패 응답을 기반으로 클라이언트 세션의 새 웹 요청에 규칙 작업 및 레이블링을 적용합니다. 규칙 그룹을 구성할 때 성공과 실패를 계산하는 방법을 정의합니다. 참고AWS WAF Amazon CloudFront 배포를 ACLs 보호하는 웹에서만 이 규칙을 평가합니다. 참고이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 클라이언트는 규칙이 후속 시도에서 매칭을 시작하기 전에 허용되는 횟수보다 더 많은 실패 로그인 시도 횟수를 전송할 수 있습니다. 이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 애플리케이션 통합 SDKs 및 규칙 작업에 의해 요청에 토큰이 추가됩니다.CAPTCHA 그리고 Challenge. 자세한 내용은 을 참조하십시오웹 요청에 토큰 사용 AWS WAF. 규칙 조치: Block 레이블: 또한 규칙 그룹은 어떠한 연결된 작업도 없이 다음과 같은 관련 레이블을 요청에 적용합니다. 모든 개수는 30분 기간 기준입니다. 실패 요청이 5개 넘는 경우 |
