AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組

本節說明 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組的功能。

VendorName:AWS,Name:AWSManagedRulesACFPRuleSet,WCU:50

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

AWS WAF Fraud Control 帳戶建立詐騙預防 (ACFP) 受管規則群組標籤,並管理可能是詐騙帳戶建立嘗試一部分的請求。規則群組會透過檢查用戶端傳送到您應用程式註冊和帳戶建立端點的帳戶建立請求來執行此操作。

ACFP 規則群組會以各種方式檢查帳戶建立嘗試,讓您掌握和控制潛在的惡意互動。規則群組使用請求字符來收集有關用戶端瀏覽器和建立帳戶建立請求時人類互動程度的資訊。規則群組會偵測和管理大量帳戶建立嘗試,方法是依 IP 地址和用戶端工作階段彙總請求,以及依提供的帳戶資訊彙總,例如實體地址和電話號碼。此外,規則群組會使用已遭入侵的登入資料來偵測和封鎖新帳戶的建立,這有助於保護應用程式和新使用者的安全狀態。

使用此規則群組的考量事項

此規則群組需要自訂組態,其中包含應用程式帳戶註冊和帳戶建立路徑的規格。除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至這兩個端點的所有請求。若要設定和實作此規則群組,請參閱 中的指引AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)

注意

當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱 AWS WAF 定價

此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱 中的智慧型威脅緩解 AWS WAF

若要降低成本,並確保您隨心所欲地管理 Web 流量,請根據 中的指引使用此規則群組中的智慧型威脅緩解最佳實務 AWS WAF

此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的 Web ACL 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區建立關聯的 Web ACL。

此規則群組新增的標籤

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web ACL 中在此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

權杖標籤

此規則群組使用 AWS WAF 權杖管理,根據其 AWS WAF 權杖的狀態檢查和標記 Web 請求。 AWS WAF 使用權杖進行用戶端工作階段追蹤和驗證。

如需權杖和權杖管理的相關資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符

如需此處所述標籤元件的詳細資訊,請參閱 中的標籤語法和命名要求 AWS WAF

用戶端工作階段標籤

標籤awswaf:managed:token:id:identifier包含唯一的識別符,權 AWS WAF 杖管理用來識別用戶端工作階段。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。

注意

AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。

瀏覽器指紋標籤

標籤awswaf:managed:token:fingerprint:fingerprint-identifier包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。

注意

AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。

權杖狀態標籤:標籤命名空間字首

字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。

每個字符狀態標籤都以下列其中一個命名空間字首開頭:

  • awswaf:managed:token: – 用於報告字符的一般狀態,以及報告字符挑戰資訊的狀態。

  • awswaf:managed:captcha: – 用於報告字符的 CAPTCHA 資訊狀態。

字符狀態標籤:標籤名稱

在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:

  • accepted – 請求權杖存在且包含下列項目:

    • 有效的挑戰或 CAPTCHA 解決方案。

    • 未過期的挑戰或 CAPTCHA 時間戳記。

    • 適用於 Web ACL 的網域規格。

    範例:標籤awswaf:managed:token:accepted指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記和有效的網域。

  • rejected – 請求字符存在,但不符合接受條件。

    除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。

    • rejected:not_solved – 字符缺少挑戰或 CAPTCHA 解決方案。

    • rejected:expired – 權杖的挑戰或 CAPTCHA 時間戳記已過期,這取決於您 Web ACL 設定的權杖抗擾性時間。

    • rejected:domain_mismatch – 權杖的網域與您 Web ACL 權杖網域組態的網域不相符。

    • rejected:invalid – AWS WAF 無法讀取指定的字符。

    範例:標籤awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired 一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過 Web ACL 中設定的 CAPTCHA 字符免疫時間。

  • absent – 請求沒有字符或字符管理員無法讀取。

    範例:標籤awswaf:managed:captcha:absent指出請求沒有字符。

ACFP 標籤

此規則群組會產生名稱空間字首為 的標籤,awswaf:managed:aws:acfp:後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。

您可以呼叫 ,透過 API 擷取規則群組的所有標籤DescribeManagedRuleGroup。標籤會列在回應的 AvailableLabels 屬性中。

帳戶建立詐騙預防規則清單

本節列出 中的 ACFP 規則,AWSManagedRulesACFPRuleSet以及規則群組規則新增至 Web 請求的標籤。

此規則群組中的所有規則都需要 Web 請求字符,前兩個 UnsupportedCognitoIDP和 除外AllRequests。如需權杖提供的資訊說明,請參閱 AWS WAF 字符特性

除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至您在規則群組組態中提供的帳戶註冊和帳戶建立頁面路徑的所有請求。如需設定此規則群組的詳細資訊,請參閱 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)

注意

本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的資訊。

如果您需要超過此處的詳細資訊,請聯絡 AWS 支援 中心

規則名稱 描述和標籤
UnsupportedCognitoIDP

檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ACFP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保其他 ACFP 規則群組規則不會用於評估使用者集區流量。

規則動作:Block

標籤: awswaf:managed:aws:acfp:unsupported:cognito_idpawswaf:managed:aws:acfp:UnsupportedCognitoIDP

AllRequests

將規則動作套用至存取註冊頁面路徑的請求。您在設定規則群組時設定註冊頁面路徑。

根據預設,此規則會將 Challenge 套用至請求。透過套用此動作,規則可確保用戶端在規則群組中的其餘規則評估任何請求之前,先取得挑戰字符。

確保您的最終使用者在提交帳戶建立請求之前載入註冊頁面路徑。

權杖會由用戶端應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。為了取得最有效率的權杖,強烈建議您使用應用程式整合SDKs。如需詳細資訊,請參閱中的用戶端應用程式整合 AWS WAF

規則動作:Challenge

標籤:無

RiskScoreHigh

檢查具有 IP 地址或其他被視為高度可疑因素的帳戶建立請求。此評估通常基於多個促成因素,您可以在規則群組新增至請求的risk_score標籤中看到這些因素。

規則動作:Block

標籤: awswaf:managed:aws:acfp:risk_score:highawswaf:managed:aws:acfp:RiskScoreHigh

此規則也可能套用 mediumlow風險分數標籤至請求。

如果 AWS WAF 無法成功評估 Web 請求的風險分數,則規則會新增標籤 awswaf:managed:aws:acfp:risk_score:evaluation_failed

此外,規則會新增包含風險分數評估狀態awswaf:managed:aws:acfp:risk_score:contributor:的命名空間標籤,以及特定風險分數貢獻者的結果,例如 IP 評價和遭竊的登入資料評估。

SignalCredentialCompromised

搜尋遭竊的登入資料資料庫,尋找在帳戶建立請求中提交的登入資料。

此規則可確保新用戶端以正面的安全狀態初始化其帳戶。

注意

您可以新增自訂封鎖回應,向最終使用者描述問題,並告知他們如何繼續。如需相關資訊,請參閱 ACFP 範例:針對遭入侵的登入資料自訂回應

規則動作:Block

標籤: awswaf:managed:aws:acfp:signal:credential_compromisedawswaf:managed:aws:acfp:SignalCredentialCompromised

規則群組會套用下列相關標籤,但不會對其採取任何動作,因為並非所有帳戶建立中的請求都會有登入資料: awswaf:managed:aws:acfp:signal:missing_credential

SignalClientHumanInteractivityAbsentLow

檢查帳戶建立請求的權杖,是否有資料指出與應用程式有異常的人際互動。人類互動是透過滑鼠動作和按鍵等互動來偵測。如果頁面具有 HTML 表單,則人工互動包括與表單的互動。

注意

此規則只會檢查帳戶建立路徑的請求,而且只有在您已實作應用程式整合 SDKs 時才會評估。開發套件實作會被動擷取人類互動,並將資訊存放在請求字符中。如需詳細資訊,請參閱 AWS WAF 字符特性中的用戶端應用程式整合 AWS WAF

規則動作:CAPTCHA

標籤:無。此規則會根據不同的因素來決定配對,因此沒有適用於每個可能配對案例的個別標籤。

規則群組可以將下列一或多個標籤套用至請求:

awswaf:managed:aws:acfp:signal:client:human_interactivity:low|medium|high

awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow|Medium|High

awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data

awswaf:managed:aws:acfp:signal:form_detected.

AutomatedBrowser

檢查用戶端瀏覽器是否可能自動化的指標。

規則動作:Block

標籤: awswaf:managed:aws:acfp:signal:automated_browserawswaf:managed:aws:acfp:AutomatedBrowser

BrowserInconsistency

檢查請求的字符是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱AWS WAF 字符特性

規則動作:CAPTCHA

標籤: awswaf:managed:aws:acfp:signal:browser_inconsistencyawswaf:managed:aws:acfp:BrowserInconsistency

VolumetricIpHigh

檢查從個別 IP 地址傳送的大量帳戶建立請求。在 10 分鐘的時段內,高磁碟區超過 20 個請求。

注意

此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:CAPTCHA

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:highawswaf:managed:aws:acfp:VolumetricIpHigh

此規則會將下列標籤套用至具有中磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不會對這些請求採取任何動作: awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:mediumawswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low

VolumetricSessionHigh

檢查從個別用戶端工作階段傳送的大量帳戶建立請求。在 30 分鐘的時段內,大量超過 10 個請求。

注意

此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:highawswaf:managed:aws:acfp:VolumetricSessionHigh

規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘超過 5 個請求) 和低磁碟區 (每 30 分鐘超過 1 個請求) 的請求,但不對其採取任何動作: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:mediumawswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low

AttributeUsernameTraversalHigh

檢查來自使用不同使用者名稱之單一用戶端工作階段的帳戶建立請求率是否高。高評估的閾值是 30 分鐘內超過 10 個請求。

注意

此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:highawswaf:managed:aws:acfp:AttributeUsernameTraversalHigh

規則群組會將下列標籤套用至使用者名稱周遊請求的中等磁碟區 (每 30 分鐘超過 5 個請求) 和低磁碟區 (每 30 分鐘超過 1 個請求) 的請求,但不會對它們採取任何動作: awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:mediumawswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low

VolumetricPhoneNumberHigh

檢查是否有大量使用相同電話號碼的帳戶建立請求。高評估的閾值是 30 分鐘內超過 10 個請求。

注意

此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:highawswaf:managed:aws:acfp:VolumetricPhoneNumberHigh

規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘超過 5 個請求) 和低磁碟區 (每 30 分鐘超過 1 個請求) 的請求,但不會對這些請求採取任何動作: awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:mediumawswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low

VolumetricAddressHigh

檢查是否有大量使用相同實體地址的帳戶建立請求。高評估的閾值是每個 30 分鐘時段超過 100 個請求。

注意

此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:address:highawswaf:managed:aws:acfp:VolumetricAddressHigh

VolumetricAddressLow

檢查使用相同實體地址的低和中量帳戶建立請求。中型評估的閾值是每個 30 分鐘時段超過 50 個請求,而低度評估則是每個 30 分鐘時段超過 10 個請求。

此規則會將 動作套用至中或低磁碟區。

注意

此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:CAPTCHA

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:address:low|mediumawswaf:managed:aws:acfp:VolumetricAddressLow|Medium

VolumetricIPSuccessfulResponse

檢查單一 IP 地址是否有大量的成功帳戶建立請求。此規則會將受保護資源的成功回應彙總到帳戶建立請求。高評估的閾值是每個 10 分鐘時段超過 10 個請求。

此規則有助於防止大量帳戶建立嘗試。其閾值低於規則 VolumetricIpHigh,僅計算請求。

如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。

此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以定義在設定規則群組時,如何計算成功和失敗。

注意

AWS WAF 只會在保護 Amazon CloudFront 分佈ACLs 中評估此規則。

注意

此規則套用的閾值可能因延遲而略有不同。用戶端可能會傳送比規則開始比對後續嘗試之前允許的更成功的帳戶建立嘗試。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:highawswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse

規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium對於 5 個以上的成功請求,awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low對於 1 個以上的成功請求,awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high對於 10 個以上的失敗請求,awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium對於 5 個以上的失敗請求,以及對於 1 個awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low以上的失敗請求。

VolumetricSessionSuccessfulResponse

檢查從受保護資源到從單一用戶端工作階段傳送的帳戶建立請求的成功回應數量是否少。這有助於防止大量帳戶建立嘗試。低評估的閾值是每 30 分鐘的時段超過 1 個請求。

這有助於防止大量帳戶建立嘗試。此規則使用的閾值低於規則 VolumetricSessionHigh,只會追蹤請求。

如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。

此規則會根據來自受保護資源的成功和失敗回應,以及來自相同用戶端工作階段的最新登入嘗試,將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以定義在設定規則群組時,如何計算成功和失敗。

注意

AWS WAF 只會在保護 Amazon CloudFront 分佈ACLs 中評估此規則。

注意

此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的帳戶建立嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:lowawswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse

規則群組也會將下列相關標籤套用至請求。所有計數都適用於 30 分鐘的時段。awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high對於超過 10 個成功的請求,awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium對於超過 5 個成功的請求,awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high對於超過 10 個失敗的請求,awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium對於超過 5 個失敗的請求,以及對於超過 1 個失敗awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low的請求,都是如此。

VolumetricSessionTokenReuseIp

檢查帳戶建立請求,以便在超過 5 個不同的 IP 地址中使用單一字符。

注意

此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。

規則動作:Block

標籤: awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ipawswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp