本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組
VendorName:AWS, 名稱:AWSManagedRulesATPRuleSet
AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組會標記並管理可能是惡意帳戶接管嘗試一部分的要求。規則群組會檢查用戶端傳送到應用程式登入端點的登入嘗試來達成此目的。
請求檢查 — ATP 使您可以查看和控制異常登錄嘗試和使用被盜憑據的登錄嘗試,以防止可能導致欺詐活動的帳戶被盜。ATP 會根據其被盜的憑證資料庫檢查電子郵件和密碼組合,該資料庫會在黑暗的網路上發現新的洩漏憑證時定期更新。ATP 會依據 IP 位址和用戶端工作階段彙總資料,以偵測並封鎖傳送太多可疑要求的用戶端。
回應檢查 — 對於 CloudFront 分配,除了檢查內送登入請求之外,可承諾量規則群組還會檢查應用模組對登入嘗試的回應,以追蹤成功率與失敗率。使用此資訊,ATP 可以暫時封鎖發生過多登入失敗的用戶端工作階段或 IP 位址。 AWS WAF 異步執行響應檢查,因此這不會增加 Web 流量的延遲。
使用此規則群組的注意事項
此規則群組需要特定的組態。若要設定和實作此規則群組,請參閱中的指引AWS WAF 防止欺詐控制帳戶接管(ATP)。
此規則群組是中智慧型威脅緩和防護措施的一部分。 AWS WAF如需相關資訊,請參閱AWS WAF 智慧型威脅緩解。
注意
使用此受管規則群組時,會向您收取額外費用。如需詳細資訊,請參閱 AWS WAF 定價
為了降低成本並確保您正在管理您的網絡流量,請根據指導使用此規則組智慧型威脅緩解的最佳做法。
此規則群組無法與 Amazon Cognito 使用者集區搭配使用。您無法將使用此規則群組的 Web ACL 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區關聯的 Web ACL。
此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 要求,這些要求適用於在 Web ACL 中此規則群組之後執行的規則。 AWS WAF 還將標籤記錄到 Amazon CloudWatch 指標。如需有關標籤和標籤量度的一般資訊,請參閱網頁要求上的標籤和標示量度和維度。
令牌標籤
此規則群組使用 AWS WAF 權杖管理,根據其權杖的狀態檢查和標 AWS WAF 記 Web 要求。 AWS WAF 使用令牌進行客戶端會話跟踪和驗證。
如需有關權杖和權杖管理的資訊,請參閱AWS WAF 網絡請求令牌。
如需此處所描述的標示元件的資訊,請參閱AWS WAF 標籤語法和命名需求。
客戶端會話標籤
標籤awswaf:managed:token:id:包含 AWS WAF 權杖管理用來識別用戶端工作階段的唯一識別碼。如果客戶端獲取新令牌,則標識符可能會更改,例如在丟棄正在使用的令牌之後。identifier
注意
AWS WAF 不報告此標籤的 Amazon CloudWatch 指標。
令牌狀態標籤:標籤命名空間前綴
令牌狀態標籤報告令牌的狀態,以及其包含的挑戰和 CAPTCHA 信息。
每個令牌狀態標籤都以下列命名空間前綴之一開始:
awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。awswaf:managed:captcha:— 用於報告令牌的驗證碼信息的狀態。
權杖狀態標籤:標籤名稱
在前綴之後,標籤的其餘部分提供了詳細的令牌狀態信息:
accepted-請求令牌存在並包含以下內容:有效的挑戰或驗證碼解決方案。
未過期的挑戰或驗證碼時間戳記。
對網頁 ACL 有效的網域規格。
示例:該標籤
awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案,未過期的挑戰時間戳和有效的域。-
rejected— 請求令牌存在,但不符合驗收標準。隨著拒絕的標籤,令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。
rejected:not_solved— 令牌缺少挑戰或驗證碼解決方案。rejected:expired— 根據您的 Web ACL 配置的令牌免疫時間,令牌的挑戰或 CAPTCHA 時間戳已過期。rejected:domain_mismatch— 令牌的域與 Web ACL 的令牌域配置不匹配。rejected:invalid— AWS WAF 無法讀取指示的令牌。
範例:標籤
awswaf:managed:captcha:rejected並awswaf:managed:captcha:rejected:expired指出要求遭拒絕,因為權杖中的 CAPTCHA 時間戳記已超過 Web ACL 中設定的 CAPTCHA 權杖免疫時間。 -
absent-請求沒有令牌或令牌管理器無法讀取它。示例:標籤
awswaf:managed:captcha:absent表示請求沒有令牌。
可承諾量標
可承諾量管理規則群組會產生具有命名空間前置詞的標籤,awswaf:managed:aws:atp:後面接著自訂命名空間和標籤名稱
除了規則清單中註明的標籤之外,規則群組可能會新增下列任何標籤:
-
awswaf:managed:aws:atp:signal:credential_compromised— 指出要求中提交的認證位於遭竊的認證資料庫中。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 僅適用於受保護的 Amazon CloudFront 分發。指出用戶端工作階段已傳送多個使用可疑 TLS 指紋的要求。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— 指示在 5 個以上的不同 IP 位址中使用單一權杖。此規則套用的臨界值可能會因延遲而略有不同。在套用標籤之前,一些要求可能會使其超出限制。
您可以透過呼叫 API 擷取規則群組的所有標籤DescribeManagedRuleGroup。標示會在回應中列示在AvailableLabels性質中。
帳戶接管防止規則清單
本節列出中的可承諾量規則,以AWSManagedRulesATPRuleSet及規則群組規則新增至 Web 請求的標籤。
注意
我們針對 AWS Managed Rules 規則群組中的規則發佈的資訊旨在為您提供足夠的資訊來使用規則,同時不提供不良行為者可用來規避規則的資訊。如果您需要的資訊超過本文件中的資訊,請聯絡中AWS Support 心
| 規則名稱 | 說明和標籤 |
|---|---|
UnsupportedCognitoIDP |
檢查進入 Amazon Cognito 使用者集區的網路流量。ATP 無法與 Amazon Cognito 使用者集區搭配使用,此規則有助於確保不使用其他 ATP 規則群組規則來評估使用者集區流量。 規則動作:Block 標籤: |
VolumetricIpHigh |
檢查從個別 IP 位址傳送的大量要求。在 10 分鐘的視窗中,高容量超過 20 個請求。 注意此規則套用的臨界值可能會因延遲而略有不同。對於大量,在套用規則動作之前,一些要求可能會超出限制。 規則動作:Block 標籤: 規則群組會將下列標籤套用至具有中等磁碟區 (每 10 分鐘時段超過 15 個請求) 和低磁碟區 (每 10 分鐘時段超過 10 個請求) 的請求,但不對這些請求採取任何動作: |
VolumetricSession |
檢查從個別用戶端工作階段傳送的大量要求。臨界值為每 30 分鐘視窗 20 個以上的請求。 此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF 網絡請求令牌。 注意此規則套用的臨界值可能會因延遲而略有不同。在套用規則動作之前,有些要求可能會超過限制。 規則動作:Block 標籤: |
AttributeCompromisedCredentials |
檢查來自使用失竊認證的相同用戶端工作階段的多個要求。 規則動作:Block 標籤: |
AttributeUsernameTraversal |
檢查來自使用使用者名遍歷的相同用戶端工作階段的多個要求。 規則動作:Block 標籤: |
AttributePasswordTraversal |
檢查具有使用密碼遍歷的相同使用者名稱的多個請求。 規則動作:Block 標籤: |
AttributeLongSession |
檢查來自使用長期工作階段的相同用戶端工作階段的多個要求。臨界值是超過 6 小時的流量,每 30 分鐘至少有一個登入要求。 此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF 網絡請求令牌。 規則動作:Block 標籤: |
TokenRejected |
檢查具有 AWS WAF 令牌管理拒絕的令牌的請求。 此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF 網絡請求令牌。 規則動作:Block 標籤:無。若要檢查拒絕的權杖,請使用標籤比對規則在標籤上進行比對: |
SignalMissingCredential |
檢查缺少使用者名稱或密碼的認證的要求。 規則動作:Block 標籤: |
VolumetricIpFailedLoginResponseHigh |
檢查最近成為登入嘗試失敗率過高的來源的 IP 位址。在 10 分鐘的時間內,高磁碟區是來自 IP 位址的 10 個以上失敗登入要求。 如果您已將規則群組設定為檢查回應主體或 JSON 元件,則 AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB),以取得成功或失敗指示器。 此規則會根據受保護資源對來自同一 IP 位址的最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自 IP 位址的新 Web 請求。您可以定義設定規則群組時計算成功與失敗項目的方式。 注意AWS WAF 只會在保護 Amazon CloudFront 分發的網路 ACL 中評估此規則。 注意此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送失敗的登入嘗試次數超過規則在後續嘗試開始比對之前允許的數量。 規則動作:Block 標籤: 規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 10 分鐘的窗口。 |
VolumetricSessionFailedLoginResponseHigh |
檢查最近是否有登入嘗試失敗率過高的用戶端工作階段。在 30 分鐘的時間內,高磁碟區是來自用戶端工作階段的 10 個以上失敗登入要求。 如果您已將規則群組設定為檢查回應主體或 JSON 元件,則 AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB),以取得成功或失敗指示器。 此規則會根據受保護資源對來自相同用戶端工作階段最近登入嘗試的成功和失敗回應,將規則動作和標籤套用至來自用戶端工作階段的新 Web 要求。您可以定義設定規則群組時計算成功與失敗項目的方式。 注意AWS WAF 只會在保護 Amazon CloudFront 分發的網路 ACL 中評估此規則。 注意此規則套用的臨界值可能會因延遲而略有不同。用戶端可能傳送失敗的登入嘗試次數超過規則在後續嘗試開始比對之前允許的數量。 此檢查僅適用於 Web 請求具有令牌時。Token 會由應用程式整合 SDK 和規則動作CAPTCHA與Challenge新增至要求。如需詳細資訊,請參閱 AWS WAF 網絡請求令牌。 規則動作:Block 標籤: 規則群組也會將下列相關標籤套用至要求,而不需要任何關聯的動作。所有計數均為 30 分鐘的窗口。 |
