Usando este grupo de regras Rótulos adicionados por esse grupo de regras Lista de regras

Grupo de regras de prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control

Esta seção explica o que o grupo de regras gerenciadas de prevenção contra apropriação de contas (ATP) Fraud Control do AWS WAF faz.

VendorName: AWS, Nome: AWSManagedRulesATPRuleSet, WCU: 50

O grupo de regras de prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control rotula e gerencia solicitações que podem fazer parte de tentativas maliciosas de apropriação de contas. O grupo de regras faz isso inspecionando as tentativas de login que os clientes enviam para o endpoint de login do seu aplicativo.

Inspeção de solicitações: o ATP oferece visibilidade e controle sobre tentativas de login anômalas e tentativas de login que usam credenciais roubadas, para evitar apropriações de contas que possam levar a atividades fraudulentas. O ATP verifica as combinações de e-mail e senha em seu banco de dados de credenciais roubadas, que é atualizado regularmente à medida que novas credenciais vazadas são encontradas na dark web. O ATP agrega dados por endereço IP e sessão do cliente, para detectar e bloquear clientes que enviam muitas solicitações de natureza suspeita.
Inspeção de respostas: para distribuições do CloudFront, além de inspecionar as solicitações de login recebidas, o grupo de regras do ATP inspeciona as respostas do seu aplicativo às tentativas de login para acompanhar as taxas de sucesso e falha. Usando essas informações, o ATP pode bloquear temporariamente sessões de clientes ou endereços IP que tenham muitas falhas de login. O AWS WAF executa a inspeção de resposta de forma assíncrona, para que isso não aumente a latência no tráfego da web.

Considerações sobre o uso deste grupo de regras

Esse grupo de regras exige uma configuração específica. Para configurar e implementar esse grupo de regras, consulte a orientação em Como prevenir a apropriação de contas com a prevenção contra apropriação de contas (ATP) Fraud Control do AWS WAF.

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para ter mais informações, consulte Como implementar a mitigação inteligente de ameaças no AWS WAF.

nota

Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF.

Esse grupo de regras não está disponível para uso com grupos de usuários do Amazon Cognito. Você não pode associar uma web ACL que usa esse grupo de regras a um grupo de usuários e não pode adicionar esse grupo de regras a uma web ACL que já esteja associada a um grupo de usuários.

Rótulos adicionados por esse grupo de regras

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras na sua web ACL. O AWS WAF também registra os rótulos nas métricas do Amazon CloudWatch. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Como usar rótulos em solicitações da Web e Métricas e dimensões do rótulo.

rótulos de token

Esse grupo de regras usa o gerenciamento de tokens do AWS WAF para inspecionar e rotular solicitações da web de acordo com o status de seus tokens do AWS WAF. O AWS WAF usa tokens para acompanhamento e verificação da sessão do cliente.

Para obter informações sobre os tokens e sobre o gerenciamento de token, consulte Como usar tokens em solicitações da Web no AWS WAF.

Para obter informações sobre os componentes do rótulo descritos aqui, consulte Requisitos de sintaxe de rótulos e nomenclatura no AWS WAF.

Rótulo de sessão do cliente

O rótulo awswaf:managed:token:id:identifier contém um identificador exclusivo que o gerenciamento de token do AWS WAF usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando.

nota

O AWS WAF não relata métricas do Amazon CloudWatch para esse rótulo.

Rótulos de status do token: prefixos de namespace para os rótulos

Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém.

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace:

awswaf:managed:token:: usado para relatar o status geral do token e para informar o status das informações de desafio do token.
awswaf:managed:captcha:: usado para relatar o status das informações de CAPTCHA do token.

Rótulos de status do token: nomes de rótulos

Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token:

accepted: o token de solicitação está presente e contém o seguinte:
- Uma solução de desafio ou de CAPTCHA válida.
- Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
- Uma especificação de domínio válida para a ACL da Web.
Exemplo: o rótulo awswaf:managed:token:accepted indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
rejected: o token de solicitação está presente, mas não atende aos critérios de aceitação.

Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo.
- rejected:not_solved: a solução de desafio ou de CAPTCHA está ausente no token.
- rejected:expired: o carimbo de data/hora de desafio ou de CAPTCHA expirou no token, de acordo com os tempos de imunidade de token configurados pela sua ACL da Web.
- rejected:domain_mismatch: o domínio do token não corresponde à configuração de domínio do token da sua ACL da Web.
- rejected:invalid: o AWS WAF não conseguiu realizar a leitura do token indicado.
Exemplo: os rótulos awswaf:managed:captcha:rejected e awswaf:managed:captcha:rejected:expired indicam que a solicitação foi rejeitada porque o carimbo de data/hora de CAPTCHA no token excedeu o tempo de imunidade para o token de CAPTCHA configurado na ACL da Web.
absent: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele.

Exemplo: o rótulo awswaf:managed:captcha:absent indica que a solicitação não tem o token.

rótulos do ATP

O grupo de regras gerenciadas do ATP gera rótulos com o awswaf:managed:aws:atp: do prefixo do namespace seguido pelo namespace personalizado e pelo nome do rótulo.

O grupo de regras pode adicionar qualquer um dos rótulos a seguir, além dos rótulos indicados na lista de regras:

awswaf:managed:aws:atp:signal:credential_compromised: indica que as credenciais enviadas na solicitação estão no banco de dados de credenciais roubadas.
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint: disponível somente para distribuições protegidas do Amazon CloudFront. Indica que uma sessão do cliente enviou várias solicitações que usaram uma impressão digital TLS suspeita.
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip: indica o uso de um único token entre mais de 5 endereços IP distintos. Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que o rótulo seja aplicado.

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando DescribeManagedRuleGroup. Os rótulos estão listados na propriedade AvailableLabels na resposta.

Lista de regras de prevenção contra apropriação de contas

Esta seção lista as regras de ATP em AWSManagedRulesATPRuleSet e os rótulos que as regras do grupo de regras adicionam às solicitações da Web.

nota

As informações que publicamos sobre as regras nos grupos de regras das regras gerenciadas da AWS têm como objetivo fornecer informações suficientes para você usar as regras, sem fornecer informações que pessoas mal-intencionadas possam usar para contorná-las. Se precisar de mais informações do que as encontradas nesta documentação, entre em contato com o AWS Support Center.

Nome da regra	Descrição e rótulo
`UnsupportedCognitoIDP`	Inspeciona o tráfego da web que vai para um grupo de usuários do Amazon Cognito. O ATP não está disponível para uso com grupos de usuários do Amazon Cognito, e essa regra ajuda a garantir que as outras regras do grupo de regras do ATP não sejam usadas para avaliar o tráfego de grupos de usuários. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:unsupported:cognito_idp` e `awswaf:managed:aws:atp:UnsupportedCognitoIDP`
`VolumetricIpHigh`	Inspeciona grandes volumes de solicitações de criação de contas enviadas de endereços IP individuais. Um volume alto é de mais de 20 solicitações em uma janela de 10 minutos. nota Os limites aplicados por essa regra podem variar um pouco devido à latência. Para o alto volume, algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` e `awswaf:managed:aws:atp:VolumetricIpHigh` O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 15 solicitações por janela de 10 minutos) e volumes baixos (mais de 10 solicitações por janela de 10 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` e `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`.
`VolumetricSession`	Inspeciona grandes volumes de solicitações de criação de contas enviadas de sessões de clientes individuais. O limite é de mais de 20 solicitações em 30 minutos. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pelos SDKs de integração do aplicativo e pelas ações de regra CAPTCHA e Challenge. Para ter mais informações, consulte Como usar tokens em solicitações da Web no AWS WAF. nota Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada. Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:session` e `awswaf:managed:aws:atp:VolumetricSession`
`AttributeCompromisedCredentials`	Inspeciona várias solicitações da mesma sessão do cliente que usam credenciais roubadas. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` e `awswaf:managed:aws:atp:AttributeCompromisedCredentials`
`AttributeUsernameTraversal`	Inspeciona várias solicitações da mesma sessão do cliente que usam traversal de nome de usuário. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` e `awswaf:managed:aws:atp:AttributeUsernameTraversal`
`AttributePasswordTraversal`	Inspeciona várias solicitações com o mesmo nome do usuário que usam traversal de senha. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` e `awswaf:managed:aws:atp:AttributePasswordTraversal`
`AttributeLongSession`	Inspeciona várias solicitações da mesma sessão do cliente que usam solicitações de longa duração. O limite é de mais de 6 horas de tráfego com pelo menos uma solicitação de login a cada 30 minutos. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pelos SDKs de integração do aplicativo e pelas ações de regra CAPTCHA e Challenge. Para ter mais informações, consulte Como usar tokens em solicitações da Web no AWS WAF. Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:long_session` e `awswaf:managed:aws:atp:AttributeLongSession`
`TokenRejected`	Inspeciona solicitações com tokens que foram rejeitados pelo gerenciamento de tokens do AWS WAF. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pelos SDKs de integração do aplicativo e pelas ações de regra CAPTCHA e Challenge. Para ter mais informações, consulte Como usar tokens em solicitações da Web no AWS WAF. Ação de regra: Block Rótulos: nenhum. Para verificar se o token foi rejeitado, use uma regra de correspondência de rótulo para corresponder ao rótulo: `awswaf:managed:token:rejected`.
`SignalMissingCredential`	Inspeciona solicitações com credenciais sem o nome de usuário ou a senha. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:signal:missing_credential` e `awswaf:managed:aws:atp:SignalMissingCredential`
`VolumetricIpFailedLoginResponseHigh`	Inspeciona endereços IP que recentemente foram a fonte de uma taxa muito alta de tentativas de login malsucedidas. Um volume alto é de mais de 10 solicitações de login mal sucedidas de um endereço IP em uma janela de 10 minutos. Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, o AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha. Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login do mesmo endereço IP. Você define como contar os sucessos e as falhas ao configurar o grupo de regras. nota O AWS WAF avalia essa regra somente em web ACLsque protegem as distribuições do Amazon CloudFront. nota Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de login do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` e `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para mais de 5 solicitações malsucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para mais de 1 solicitação malsucedida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para mais de 5 solicitações bem-sucedidas e `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para mais de 1 solicitação bem-sucedida.
`VolumetricSessionFailedLoginResponseHigh`	Inspeciona sessões de clientes que recentemente foram a fonte de uma taxa muito alta de tentativas de login malsucedidas. Um volume alto é mais de 10 solicitações de login malsucedidas de uma sessão de cliente em uma janela de 30 minutos. Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, o AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha. Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login da mesma sessão de cliente. Você define como contar os sucessos e as falhas ao configurar o grupo de regras. nota O AWS WAF avalia essa regra somente em web ACLsque protegem as distribuições do Amazon CloudFront. nota Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de login do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pelos SDKs de integração do aplicativo e pelas ações de regra CAPTCHA e Challenge. Para ter mais informações, consulte Como usar tokens em solicitações da Web no AWS WAF. Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` e `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para mais de 5 solicitações malsucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para mais de 1 solicitação malsucedida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para mais de 5 solicitações bem-sucedidas e `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para mais de 1 solicitação bem-sucedida.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Grupo de regras de prevenção contra fraude na criação de contas

Grupo de regras do Controle de Bots