Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL

Para configurar o grupo de regras gerenciadas do ACFP para reconhecer atividades fraudulentas de criação de conta em seu tráfego da web, você fornece informações sobre como os clientes acessam sua página de registro e enviam solicitações de criação de conta para seu aplicativo. Para CloudFront distribuições protegidas da Amazon, você também fornece informações sobre como seu aplicativo responde às solicitações de criação de contas. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas.

Para obter a descrição do grupo de regras e a lista de regras, consulte AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes.

nota

O banco de dados de credenciais roubadas do ACFP contém apenas nomes de usuário em formato de e-mail.

Essa orientação é destinada a usuários que geralmente sabem como criar e gerenciar :web ACLs, regras e grupos de regras do AWS WAF . Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas à sua web ACL, consulte Como adicionar um grupo de regras gerenciadas a uma web ACL por meio do console.

Siga as práticas recomendadas

Use o grupo de regras do ACFP de acordo com as práticas recomendadas em Práticas recomendadas para mitigação de ameaças inteligentes.

Para usar o grupo de regras AWSManagedRulesACFPRuleSet em sua web ACL

  1. Adicione o grupo de regras AWS gerenciadas AWSManagedRulesACFPRuleSet à sua ACL da web e edite as configurações do grupo de regras antes de salvar.

    nota

    Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

  2. No painel Configuração de grupo de regras, forneça as informações que o grupo de regras do ACFP usa para inspecionar as solicitações de criação de conta.

    1. Em Usar expressão regular em caminhos, ative essa opção se quiser realizar AWS WAF a correspondência de expressões regulares para suas especificações de caminho de página de registro e criação de conta.

      AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, libpcre com algumas exceções. A biblioteca está documentada em PCRE: Expressões regulares compatíveis com Perl. Para obter informações sobre AWS WAF suporte, consulteCorrespondência de padrões de expressão regular em AWS WAF.

    2. Em Caminho da página de registro, forneça o caminho do endpoint da página de registro para seu aplicativo. Esta página deve aceitar solicitações GET de texto/html. O grupo de regras inspeciona somente solicitações GET de HTTP de texto/html para o endpoint da página de registro especificada.

      nota

      A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador (?-i), que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra /.

      Por exemplo, para o URL https://example.com/web/registration, é possível fornecer a especificação de caminho da string /web/registration. Os caminhos da página de registro que começam com o caminho fornecido por você são considerados uma correspondência. Por exemplo, /web/registration corresponde aos caminhos de registro /web/registration, /web/registration/, /web/registrationPage e /web/registration/thisPage, mas não corresponde ao caminho /home/web/registration ou /website/registration.

      nota

      Certifique-se de que seus usuários finais carreguem a página de registro antes de enviarem uma solicitação de criação de conta. Isso ajuda a garantir que as solicitações de criação de conta enviadas pelo cliente incluam tokens válidos.

    3. Para Caminho de criação da conta, forneça o URI em seu site que aceita o preenchimento de novos detalhes de usuário. Este URI deve aceitar solicitações POST.

      nota

      A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador (?-i), que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra /.

      Por exemplo, para o URL https://example.com/web/newaccount, é possível fornecer a especificação de caminho da string /web/newaccount. Os caminhos de criação da conta que começam com o caminho fornecido são considerados correspondentes. Por exemplo, /web/newaccount corresponde aos caminhos de criação de conta /web/newaccount, /web/newaccount/, /web/newaccountPage e /web/newaccount/thisPage, mas não corresponde ao caminho /home/web/newaccount ou /website/newaccount.

    4. Em Inspeção de solicitações, especifique como seu aplicativo aceita tentativas de criação de conta fornecendo o tipo de carga da solicitação e os nomes dos campos no corpo da solicitação em que o nome de usuário, a senha e outros detalhes de criação de conta são fornecidos.

      nota

      Para os campos de endereço principal e número de telefone, forneça os campos na ordem em que aparecem na carga da solicitação.

      Sua especificação dos nomes dos campos depende do tipo de carga.

      • Tipo de carga JSON:Especifique os nomes dos campos na sintaxe JSON do ponteiro. Para obter informações sobre a sintaxe do JSON Pointer, consulte a documentação do Internet Engineering Task Force (IETF) JavaScriptObject Notation (JSON) Pointer.

        Por exemplo, para o exemplo de carga JSON a seguir, a especificação do campo de nome de usuário é /signupform/username e as especificações do campo de endereço principal são /signupform/addrp1, /signupform/addrp2 e /signupform/addrp3.

        {
    "signupform": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD",
        "addrp1": "PRIMARY_ADDRESS_LINE_1",
        "addrp2": "PRIMARY_ADDRESS_LINE_2",
        "addrp3": "PRIMARY_ADDRESS_LINE_3",
        "phonepcode": "PRIMARY_PHONE_CODE",
        "phonepnumber": "PRIMARY_PHONE_NUMBER"
    }
}

      • Tipo de carga FORM_ENCODED:Use os nomes dos formulários em HTML.

        Por exemplo, para um formulário HTML com elementos de entrada de usuário e senha chamados username1 e password1, a especificação do campo do nome de usuário é username1 e a especificação do campo da senha é password1.

    5. Se você estiver protegendo CloudFront as distribuições da Amazon, em Inspeção de respostas, especifique como seu aplicativo indica sucesso ou falha em suas respostas às tentativas de criação de conta.

      nota

      A inspeção de resposta do ACFP está disponível somente em ACLs da web que protegem distribuições. CloudFront

      Especifique um único componente na resposta de criação da conta que você deseja que o ACFP inspecione. Para os tipos de componentes Body e JSON, é AWS WAF possível inspecionar os primeiros 65.536 bytes (64 KB) do componente.

      Forneça seus critérios de inspeção para o tipo de componente, conforme indicado pela interface. Você deve fornecer critérios de sucesso e falha para inspecionar no componente.

      Por exemplo, digamos que seu aplicativo indique o status de uma tentativa de criação de conta no código de status da resposta e use 200 OK para sucesso e 403 Forbidden ou 401 Unauthorized para falha. Você definiria o Tipo de componente de inspeção de resposta como Código de status e, na caixa de texto Sucesso, inseriria 200 e, na caixa de texto Falha, inseriria 401 na primeira linha e 403 na segunda.

      O grupo de regras do ACFP conta somente as respostas que correspondem aos seus critérios de inspeção de sucesso ou falha. As regras do grupo de regras atuam nos clientes quando eles têm uma taxa de sucesso muito alta entre as respostas contadas, a fim de mitigar as tentativas de criação de contas em massa. Para um comportamento preciso de acordo com as regras do grupo de regras, forneça informações completas sobre tentativas bem-sucedidas e malsucedidas de criação de conta.

      Para ver as regras que inspecionam as respostas de criação de contas, procure VolumetricIPSuccessfulResponse e VolumetricSessionSuccessfulResponse na lista de regras em AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes.

  3. Forneça qualquer configuração adicional desejada para o grupo de regras.

    Você pode limitar ainda mais o escopo das solicitações que o grupo de regras inspeciona adicionando uma instrução de redução de escopo à instrução do grupo de regras gerenciadas. Por exemplo, você pode inspecionar somente solicitações com um argumento de consulta ou cookie específico. O grupo de regras inspecionará somente as solicitações que corresponderem aos critérios em sua instrução de redução de escopo e que foram enviadas para os caminhos de registro e de criação de conta que você especificou na configuração do grupo de regras. Para informações sobre instruções de redução de escopo, consulte Instruções de redução de escopo.

  4. Salve suas alterações na web ACL.

Antes de implantar sua implementação de ACFP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação.