Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL
Esta seção explica como adicionar e configurar o grupo de regras AWSManagedRulesACFPRuleSet
.
Para configurar o grupo de regras gerenciadas do ACFP para reconhecer atividades fraudulentas de criação de conta em seu tráfego da web, você fornece informações sobre como os clientes acessam sua página de registro e enviam solicitações de criação de conta para seu aplicativo. Para distribuições protegidas do Amazon CloudFront, você também fornece informações sobre como seu aplicativo responde às solicitações de criação de conta. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas.
Para obter a descrição do grupo de regras e a lista de regras, consulte Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control .
nota
O banco de dados de credenciais roubadas do ACFP contém apenas nomes de usuário em formato de e-mail.
Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas à sua web ACL, consulte Como adicionar um grupo de regras gerenciadas a uma web ACL por meio do console.
Siga as práticas recomendadas
Use o grupo de regras do ACFP de acordo com as práticas recomendadas em Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF.
Para usar o grupo de regras AWSManagedRulesACFPRuleSet
em sua web ACL
-
Adicione o grupo de regras gerenciadas da AWS,
AWSManagedRulesACFPRuleSet
à sua web ACL e Edite as configurações do grupo de regras antes de salvar.nota
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF
. No painel Configuração de grupo de regras, forneça as informações que o grupo de regras do ACFP usa para inspecionar as solicitações de criação de conta.
-
Em Usar expressão regular em caminhos, ative essa opção se quiser que o AWS WAF realize a correspondência de expressões regulares para suas especificações de caminho de página de registro e criação de conta.
O AWS WAF suporta a sintaxe padrão usada pelo
libpcre
da biblioteca PCRE com algumas exceções. A biblioteca está documentada em PCRE: Expressões regulares compatíveis com Perl. Para ter informações sobre a AWS WAF, consulte Sintaxe de expressões regulares compatíveis no AWS WAF. -
Em Caminho da página de registro, forneça o caminho do endpoint da página de registro para seu aplicativo. Esta página deve aceitar solicitações
GET
de texto/html. O grupo de regras inspeciona somente solicitaçõesGET
de HTTP de texto/html para o endpoint da página de registro especificada.nota
A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador
(?-i)
, que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra/
.Por exemplo, para o URL
https://example.com/web/registration
, é possível fornecer a especificação de caminho da string/web/registration
. Os caminhos da página de registro que começam com o caminho fornecido por você são considerados uma correspondência. Por exemplo,/web/registration
corresponde aos caminhos de registro/web/registration
,/web/registration/
,/web/registrationPage
e/web/registration/thisPage
, mas não corresponde ao caminho/home/web/registration
ou/website/registration
.nota
Certifique-se de que seus usuários finais carreguem a página de registro antes de enviarem uma solicitação de criação de conta. Isso ajuda a garantir que as solicitações de criação de conta enviadas pelo cliente incluam tokens válidos.
-
Para Caminho de criação da conta, forneça o URI em seu site que aceita o preenchimento de novos detalhes de usuário. Este URI deve aceitar solicitações
POST
.nota
A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador
(?-i)
, que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra/
.Por exemplo, para o URL
https://example.com/web/newaccount
, é possível fornecer a especificação de caminho da string/web/newaccount
. Os caminhos de criação da conta que começam com o caminho fornecido são considerados correspondentes. Por exemplo,/web/newaccount
corresponde aos caminhos de criação de conta/web/newaccount
,/web/newaccount/
,/web/newaccountPage
e/web/newaccount/thisPage
, mas não corresponde ao caminho/home/web/newaccount
ou/website/newaccount
. -
Em Inspeção de solicitações, especifique como seu aplicativo aceita tentativas de criação de conta fornecendo o tipo de carga da solicitação e os nomes dos campos no corpo da solicitação em que o nome de usuário, a senha e outros detalhes de criação de conta são fornecidos.
nota
Para os campos de endereço principal e número de telefone, forneça os campos na ordem em que aparecem na carga da solicitação.
Sua especificação dos nomes dos campos depende do tipo de carga.
-
Tipo de carga JSON:Especifique os nomes dos campos na sintaxe JSON do ponteiro. Para saber mais sobre a sintaxe de apontador JOSN, consulte a documentação do Internet Engineering Task Force (IETF) JavaScript Object Notation (JSON) Pointer
. Por exemplo, para o exemplo de carga JSON a seguir, a especificação do campo de nome de usuário é
/signupform/username
e as especificações do campo de endereço principal são/signupform/addrp1
,/signupform/addrp2
e/signupform/addrp3
.{ "signupform": { "username": "THE_USERNAME", "password": "THE_PASSWORD", "addrp1": "PRIMARY_ADDRESS_LINE_1", "addrp2": "PRIMARY_ADDRESS_LINE_2", "addrp3": "PRIMARY_ADDRESS_LINE_3", "phonepcode": "PRIMARY_PHONE_CODE", "phonepnumber": "PRIMARY_PHONE_NUMBER" } }
-
Tipo de carga FORM_ENCODED:Use os nomes dos formulários em HTML.
Por exemplo, para um formulário HTML com elementos de entrada de usuário e senha chamados
username1
epassword1
, a especificação do campo do nome de usuário éusername1
e a especificação do campo da senha épassword1
.
-
-
Se você estiver protegendo as distribuições do Amazon CloudFront,em Inspeção de resposta, especifique como seu aplicativo indica sucesso ou falha em suas respostas às tentativas de criação de conta.
nota
A inspeção de resposta do ACFP está disponível somente em web ACLsque protegem as distribuições do CloudFront.
Especifique um único componente na resposta de criação da conta que você deseja que o ACFP inspecione. Para os tipos de componentes Corpo e JSON, o AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) do componente.
Forneça seus critérios de inspeção para o tipo de componente, conforme indicado pela interface. Você deve fornecer critérios de sucesso e falha para inspecionar no componente.
Por exemplo, digamos que seu aplicativo indique o status de uma tentativa de criação de conta no código de status da resposta e use
200 OK
para sucesso e403 Forbidden
ou401 Unauthorized
para falha. Você definiria o Tipo de componente de inspeção de resposta como Código de status e, na caixa de texto Sucesso, inseriria200
e, na caixa de texto Falha, inseriria401
na primeira linha e403
na segunda.O grupo de regras do ACFP conta somente as respostas que correspondem aos seus critérios de inspeção de sucesso ou falha. As regras do grupo de regras atuam nos clientes quando eles têm uma taxa de sucesso muito alta entre as respostas contadas, a fim de mitigar as tentativas de criação de contas em massa. Para um comportamento preciso de acordo com as regras do grupo de regras, forneça informações completas sobre tentativas bem-sucedidas e malsucedidas de criação de conta.
Para ver as regras que inspecionam as respostas de criação de contas, procure
VolumetricIPSuccessfulResponse
eVolumetricSessionSuccessfulResponse
na lista de regras em Grupo de regras de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control .
-
-
Forneça qualquer configuração adicional desejada para o grupo de regras.
Você pode limitar ainda mais o escopo das solicitações que o grupo de regras inspeciona adicionando uma instrução de redução de escopo à instrução do grupo de regras gerenciadas. Por exemplo, você pode inspecionar somente solicitações com um argumento de consulta ou cookie específico. O grupo de regras inspecionará somente as solicitações que corresponderem aos critérios em sua instrução de redução de escopo e que foram enviadas para os caminhos de registro e de criação de conta que você especificou na configuração do grupo de regras. Para informações sobre instruções de redução de escopo, consulte Como usar instruções de escopo reduzido no AWS WAF.
-
Salve suas alterações na web ACL.
Antes de implantar sua implementação de ACFP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação.