AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）規則組

本節解釋了什麼 AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）託管規則組可以。

VendorName名稱:AWS, 名稱:AWSManagedRulesACFPRuleSet,WCU: 50

所以此 AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）託管規則組標籤和管理可能是欺詐帳戶創建嘗試的一部分的請求。規則群組會檢查用戶端傳送至應用程式註冊和帳號建立端點的帳號建立要求來達成此目的。

ACFP規則群組會以各種方式檢查帳戶建立嘗試，讓您能夠看到並控制潛在的惡意互動。規則群組使用要求 Token 來收集用戶端瀏覽器的相關資訊，以及建立帳戶建立要求時人工互動程度的相關資訊。規則群組會依據 IP 位址和用戶端工作階段彙總要求，並依據提供的帳戶資訊 (例如實體位址和電話號碼) 彙總，藉此偵測並管理大量帳戶建立嘗試。此外，規則群組會偵測並封鎖使用已遭入侵的認證建立新帳戶，這有助於保護應用程式和新使用者的安全狀態。

使用此規則群組的注意事項

此規則群組需要自訂組態，其中包括應用程式帳戶註冊和帳戶建立路徑的規格。除非另有說明，此規則群組中的規則會檢查用戶端傳送至這兩個端點的所有要求。若要設定和實作此規則群組，請參閱中的指引防止帳戶創建欺詐 AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）。

注意

使用此受管規則群組時，會向您收取額外費用。如需詳細資訊，請參閱 AWS WAF 定價。

此規則群組是中智慧型威脅緩和防護措施的一部分 AWS WAF如需相關資訊，請參閱實作智慧型威脅防護功能 AWS WAF。

為了降低成本並確保您正在管理您的網絡流量，請根據指導使用此規則組智慧型威脅緩解的最佳做法 AWS WAF。

此規則群組無法與 Amazon Cognito 使用者集區搭配使用。您無法將使用此規則群組ACL的網頁與使用者集區建立關聯，也無法將此規則群組新增至已與使用者集區關聯的網頁ACL。

此規則群組新增的標籤

此受管規則群組會將標籤新增至其評估的 Web 要求，這些要求適用於在 Web 中此規則群組之後執行的規則ACL。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊，請參閱在網頁要求上使用標籤和標示量度和維度。

令牌標籤

此規則群組使用 AWS WAF 令牌管理，根據 Web 請求的狀態檢查和標記 Web 請求 AWS WAF 令牌。 AWS WAF 使用令牌進行客戶端會話跟踪和驗證。

如需有關權杖和權杖管理的資訊，請參閱在網絡請求上使用令牌 AWS WAF。

如需此處所描述的標示元件的資訊，請參閱標籤語法和命名要求 AWS WAF。

客戶端會話標籤

標籤awswaf:managed:token:id:identifier包含唯一識別碼， AWS WAF 權杖管理用來識別用戶端工作階段。如果客戶端獲取新令牌，則標識符可能會更改，例如在丟棄正在使用的令牌之後。

注意

AWS WAF 不報告此標籤的 Amazon CloudWatch 指標。

令牌狀態標籤：標籤命名空間前綴

權杖狀態標籤會報告權杖的狀態、挑戰及其包含的CAPTCHA資訊。

每個令牌狀態標籤都以下列命名空間前綴之一開始：

awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。
awswaf:managed:captcha:— 用於報告令牌CAPTCHA信息的狀態。

權杖狀態標籤：標籤名稱

在前綴之後，標籤的其餘部分提供了詳細的令牌狀態信息：

accepted-請求令牌存在並包含以下內容：
- 一個有效的挑戰或CAPTCHA解決方案。
- 未過期的挑戰或CAPTCHA時間戳記。
- 適用於網路的網域規格ACL。
示例：該標籤awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案，未過期的挑戰時間戳和有效的域。
rejected— 請求令牌存在，但不符合驗收標準。

隨著拒絕的標籤，令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。
- rejected:not_solved— 令牌缺少挑戰或CAPTCHA解決方案.
- rejected:expired— 根據您網絡配置的令牌免疫時間，令牌ACL的挑戰或時CAPTCHA間戳已過期。
- rejected:domain_mismatch— 令牌的域與您的網絡ACL的令牌域配置不匹配。
- rejected:invalid – AWS WAF 無法讀取指示的令牌。
示例：標籤awswaf:managed:captcha:rejected並awswaf:managed:captcha:rejected:expired指示請求被拒絕，因為令牌中的時間CAPTCHA戳已超過 Web 中配置的CAPTCHA令牌免疫時間ACL。
absent-請求沒有令牌或令牌管理器無法讀取它。

示例：標籤awswaf:managed:captcha:absent表示請求沒有令牌。

ACFP標籤

此規則群組會產生具有命名空間前置詞的標籤，awswaf:managed:aws:acfp:後面接著自訂命名空間和標籤名稱。規則群組可能會在要求中新增多個標籤。

您可以透過呼叫API來擷取規則群組的所有標籤DescribeManagedRuleGroup。標示會在回應中列示在AvailableLabels性質中。

帳戶創建欺詐預防規則列表

本節列出中的ACFP規則以AWSManagedRulesACFPRuleSet及規則群組規則新增至 Web 要求的標籤。

注意

我們針對中的規則發布的信息 AWS Managed Rules 規則群組旨在為您提供足夠的資訊來使用規則，同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊比您在本文件中找到的更多資訊，請聯絡 AWS Support 中心。

此規則群組中的所有規則都需要 Web 要求權杖，前兩個UnsupportedCognitoIDP和除外AllRequests。如需 Token 提供之資訊的說明，請參閱AWS WAF 令牌特徵。

除非另有說明，此規則群組中的規則會檢查用戶端傳送至您在規則群組設定中提供的帳戶註冊和帳戶建立頁面路徑的所有要求。如需有關配置此規則群組的資訊，請參閱防止帳戶創建欺詐 AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）。

規則名稱	說明和標籤
`UnsupportedCognitoIDP`	檢查進入 Amazon Cognito 使用者集區的網路流量。ACFP不適用於 Amazon Cognito 使用者集區，此規則有助於確保不使用其他規ACFP則群組規則來評估使用者集區流量。規則動作：Block 標籤：`awswaf:managed:aws:acfp:unsupported:cognito_idp`和 `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`
`AllRequests`	將規則動作套用至存取註冊頁面路徑的要求。您可以在設定規則群組時設定註冊頁面路徑。依預設，此規則會套用 Challenge 到請求。透過套用此動作，規則可確保用戶端在規則群組中的其餘規則評估任何要求之前，先取得挑戰權杖。請確定您的使用者在提交帳戶建立要求之前載入註冊頁面路徑。客戶端應用程序集成SDKs和規則操作將令牌添加到請求中 CAPTCHA 以及 Challenge。為了獲得最有效的令牌獲取，我們強烈建議您使用應用程序集成SDKs。如需詳細資訊，請參閱使用用戶端應用程式整合 AWS WAF。規則動作：Challenge 標籤：無
`RiskScoreHigh`	檢查具有 IP 地址或其他被認為是高度可疑因素的帳戶創建請求。此評估通常以多個促成因素為基礎，您可以在規則群組新增至要求的`risk_score`標籤中看到這些因素。規則動作：Block 標籤：`awswaf:managed:aws:acfp:risk_score:high`和 `awswaf:managed:aws:acfp:RiskScoreHigh` 該規則也可能對請求套用`medium`或`low`風險評分標籤。 If AWS WAF 無法成功評估 Web 請求的風險分數，規則會新增標籤 `awswaf:managed:aws:acfp:risk_score:evaluation_failed` 此外，該規則還會新增包含命名空間的標籤`awswaf:managed:aws:acfp:risk_score:contributor:`，其中包括風險評分評估狀態，以及特定風險評分貢獻者的結果，例如 IP 信譽和失竊的認證評估。
`SignalCredentialCompromised`	在失竊的認證資料庫中搜尋帳戶建立要求中提交的認證。此規則可確保新用戶端以正面的安全狀況初始化其帳戶。注意您可以新增自訂封鎖回應，向使用者描述問題，並告訴他們如何繼續。如需相關資訊，請參閱 ACFP 範例：對遭到入侵認證的自訂回應。規則動作：Block 標籤：`awswaf:managed:aws:acfp:signal:credential_compromised`和 `awswaf:managed:aws:acfp:SignalCredentialCompromised` 規則群組會套用下列相關標籤，但不會對其採取任何動作，因為並非所有建立帳戶中的要求都會有認證：`awswaf:managed:aws:acfp:signal:missing_credential`
`SignalClientHumanInteractivityAbsentLow`	檢查帳戶創建請求的令牌，以獲取指示與應用程序異常人為交互的數據。通過諸如鼠標移動和按鍵之類的交互來檢測人的交互性。如果頁面具有HTML表單，則人類互動性會包含與表單的互動。注意此規則只會檢查對帳戶建立路徑的要求，而且只有在您已實作應用程式整合SDKs時才會進行評估。SDK實現被動捕獲人類交互性並將信息存儲在請求令牌中。如需詳細資訊，請參閱 AWS WAF 令牌特徵和使用用戶端應用程式整合 AWS WAF。規則動作：CAPTCHA 標籤：無。規則會根據不同的因素決定相符項目，因此沒有適用於每個可能的比對案例的個別標籤。規則群組可將下列一或多個標籤套用至要求： `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High` `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data` `awswaf:managed:aws:acfp:signal:form_detected`.
`AutomatedBrowser`	檢查用戶端瀏覽器可能會自動化的指標。規則動作：Block 標籤：`awswaf:managed:aws:acfp:signal:automated_browser`和 `awswaf:managed:aws:acfp:AutomatedBrowser`
`BrowserInconsistency`	檢查請求的令牌是否存在不一致的瀏覽器審訊數據。如需詳細資訊，請參閱AWS WAF 令牌特徵。規則動作：CAPTCHA 標籤：`awswaf:managed:aws:acfp:signal:browser_inconsistency`和 `awswaf:managed:aws:acfp:BrowserInconsistency`
`VolumetricIpHigh`	檢查從個別 IP 位址傳送的大量帳戶建立要求。在 10 分鐘的視窗中，高容量超過 20 個請求。注意此規則套用的臨界值可能會因延遲而略有不同。對於大量，在套用規則動作之前，一些要求可能會超出限制。規則動作：CAPTCHA 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high`和 `awswaf:managed:aws:acfp:VolumetricIpHigh` 此規則會將下列標籤套用至具有中等磁碟區 (每 10 分鐘視窗超過 15 個請求) 和低磁碟區 (每 10 分鐘時段超過 10 個請求) 的請求，但不會對這些請求採取任何動作：`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium`和`awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`。
`VolumetricSessionHigh`	檢查從單個客戶端會話發送的大量帳戶創建請求。在 30 分鐘的視窗中，高容量超過 10 個請求。注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前，有些要求可能會超過限制。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high`和 `awswaf:managed:aws:acfp:VolumetricSessionHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘視窗超過 5 個請求) 和低磁碟區 (每 30 分鐘時段超過 1 個請求) 的請求，但不對這些請求採取任何動作：`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium`和`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`。
`AttributeUsernameTraversalHigh`	檢查使用不同使用者名稱的單一用戶端工作階段中，是否有高速的帳戶建立要求。高評估的臨界值在 30 分鐘內超過 10 個請求。注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前，有些要求可能會超過限制。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high`和 `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh` 規則群組會將下列標籤套用至使用者名稱遊覽要求的中等磁碟區 (每 30 分鐘視窗超過 5 個請求) 和低磁碟區 (每 30 分鐘視窗超過 1 個請求) 的請求，但不會對這些請求採取任何動作：`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium`和。`awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`
`VolumetricPhoneNumberHigh`	檢查使用相同電話號碼的大量帳戶建立要求。高評估的臨界值在 30 分鐘內超過 10 個請求。注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前，有些要求可能會超過限制。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high`和 `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` 規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘視窗超過 5 個請求) 和低磁碟區 (每 30 分鐘時段超過 1 個請求) 的請求，但不對這些請求採取任何動作：`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium`和`awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`。
`VolumetricAddressHigh`	檢查使用相同實體位址的大量帳戶建立要求。高評估的臨界值為每 30 分鐘視窗 100 個以上的要求。注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前，有些要求可能會超過限制。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:address:high`和 `awswaf:managed:aws:acfp:VolumetricAddressHigh`
`VolumetricAddressLow`	檢查使用相同實體位址的中低量帳戶建立請求。中評估的臨界值為每 30 分鐘時段超過 50 個要求，而低評估的臨界值則為每 30 分鐘視窗 10 個以上的要求。此規則會針對中或低磁碟區套用動作。注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前，有些要求可能會超過限制。規則動作：CAPTCHA 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium`和 `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`
`VolumetricIPSuccessfulResponse`	檢查單一 IP 位址是否有大量成功建立帳戶的要求。此規則會將受保護資源的成功回應彙總至帳號建立請求。高評估的臨界值為每 10 分鐘視窗 10 個以上的要求。此規則有助於防止批次建立帳號嘗試。它的閾值低於規則的閾值`VolumetricIpHigh`，該規則僅計算請求。如果您已將規則群組設定為檢查回應主體或JSON元件， AWS WAF 可以檢查這些元件類型的前 65,536 位元組 (64 KB)，以取得成功或失敗指示器。此規則會根據受保護資源對來自同一 IP 位址的最近登入嘗試的成功和失敗回應，將規則動作和標籤套用至來自 IP 位址的新 Web 請求。您可以定義設定規則群組時計算成功與失敗項目的方式。注意 AWS WAF 僅在保護 Amazon CloudFront 分發的網路ACLs中評估此規則。注意此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送的成功帳號建立嘗試次數超過規則在後續嘗試開始比對之前允許的要多。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high`和 `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse` 規則群組也會將下列相關標籤套用至要求，而不需要任何關聯的動作。所有計數均為 10 分鐘的窗口。 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`針對 5 個以上的成功要求、`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` 1 個以上的成功要求、`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high`超過 10 個失敗的要求、`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium`超過 5 個失敗的要求，以及 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` 1 個以上的失敗要求。
`VolumetricSessionSuccessfulResponse`	檢查從受保護的資源到從單一用戶端工作階段傳送的帳號建立請求的少量成功回應。這有助於防止批次建立帳戶嘗試。低評估的臨界值為每 30 分鐘視窗 1 個以上的要求。這有助於防止批次建立帳戶嘗試。此規則使用的臨界值低於規`VolumetricSessionHigh`則 (僅追蹤要求)。如果您已將規則群組設定為檢查回應主體或JSON元件， AWS WAF 可以檢查這些元件類型的前 65,536 位元組 (64 KB)，以取得成功或失敗指示器。此規則會根據受保護資源對來自相同用戶端工作階段最近登入嘗試的成功和失敗回應，將規則動作和標籤套用至來自用戶端工作階段的新 Web 要求。您可以定義設定規則群組時計算成功與失敗項目的方式。注意 AWS WAF 僅在保護 Amazon CloudFront 分發的網路ACLs中評估此規則。注意此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送的帳號建立失敗嘗試次數超過規則在後續嘗試開始比對之前允許的數量。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low`和 `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse` 規則群組也會將下列相關標籤套用至要求。所有計數均為 30 分鐘的窗口。 `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`針對 10 個以上的成功要`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium`求、超過 5 個成功要求、`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` 10 個以上的失敗要求、`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium`超過 5 個失敗的要求，以及 `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` 1 個以上的失敗要求。
`VolumetricSessionTokenReuseIp`	檢查帳戶創建請求是否在 5 個以上不同的 IP 地址中使用單個令牌。注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前，有些要求可能會超過限制。規則動作：Block 標籤：`awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip`和 `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

IP 評價規則群組

帳戶接管預防規則群組