本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組
本節說明 AWS WAF Fraud Control 帳戶接管預防 (ATP) 受管規則群組的功能。
VendorName:AWS,名稱:AWSManagedRulesATPRuleSet
注意
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API命令DescribeManagedRuleGroup。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。
如果您需要超過此處的詳細資訊,請聯絡 AWS Support 中心
AWS WAF Fraud Control 帳戶接管預防 (ATP) 受管規則群組標籤和管理可能屬於惡意帳戶接管嘗試一部分的請求。規則群組會透過檢查用戶端傳送到您應用程式的登入端點的登入嘗試來執行此操作。
請求檢查 – ATP 可讓您查看和控制使用遭竊登入資料的異常登入嘗試和登入嘗試,以防止帳戶接管可能導致詐騙活動。 會針對其遭竊的登入資料資料庫ATP檢查電子郵件和密碼組合,該資料庫會在暗網發現新的洩漏登入資料時定期更新。 會依 IP 地址和用戶端工作階段ATP彙整資料,以偵測和封鎖傳送過多可疑請求的用戶端。
回應檢查 – 對於 CloudFront 分佈,除了檢查傳入的登入請求之外,ATP規則群組還會檢查應用程式對登入嘗試的回應,以追蹤成功和失敗率。使用此資訊, ATP可以暫時封鎖登入失敗次數過多的用戶端工作階段或 IP 地址。 會以非同步方式 AWS WAF 執行回應檢查,因此這不會增加 Web 流量的延遲。
使用此規則群組的考量事項
此規則群組需要特定組態。若要設定和實作此規則群組,請參閱 中的指引AWS WAF 詐騙控制帳戶接管預防 (ATP)。
此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱 中的智慧威脅緩解 AWS WAF。
注意
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱 AWS WAF 定價
若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組智慧型威脅緩解的最佳做法 AWS WAF。
此規則群組無法與 Amazon Cognito 使用者集區搭配使用。您無法將使用此規則群組ACL的 Web 與使用者集區建立關聯,也無法將此規則群組新增至ACL已與使用者集區建立關聯的 Web。
此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供 Web 中在此規則群組之後執行的規則使用ACL。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤和 標示量度和維度。
權杖標籤
此規則群組使用 AWS WAF 權杖管理,根據其 AWS WAF 權杖的狀態來檢查和標記 Web 請求。 AWS WAF 使用權杖進行用戶端工作階段追蹤和驗證。
如需權杖和權杖管理的資訊,請參閱 用於 AWS WAF 智慧威脅緩解的字符。
如需此處所述標籤元件的詳細資訊,請參閱 標籤語法和命名要求 AWS WAF。
用戶端工作階段標籤
標籤awswaf:managed:token:id:包含權 AWS WAF 杖管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。identifier
注意
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
瀏覽器指紋標籤
標籤awswaf:managed:token:fingerprint:包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多次字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。fingerprint-identifier
注意
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
字符狀態標籤:標籤命名空間字首
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和CAPTCHA資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
awswaf:managed:token:– 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。awswaf:managed:captcha:– 用來報告字符CAPTCHA資訊的狀態。
字符狀態標籤:標籤名稱
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
accepted– 請求權杖存在且包含下列項目:有效的挑戰或CAPTCHA解決方案。
未過期的挑戰或CAPTCHA時間戳記。
適用於 Web 的網域規格ACL。
範例:標籤
awswaf:managed:token:accepted指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記和有效的網域。-
rejected– 請求字符存在,但不符合接受條件。除了拒絕的標籤之外,權杖管理還會新增自訂標籤命名空間和名稱,以指出原因。
rejected:not_solved– 字符缺少挑戰或CAPTCHA解決方案。rejected:expired– 權杖的挑戰或CAPTCHA時間戳記已過期,根據您 Web ACL設定的權杖抗擾性時間。rejected:domain_mismatch– 字符的網域與您 Web ACL的字符網域組態不相符。rejected:invalid– AWS WAF 無法讀取指定的字符。
範例:標籤
awswaf:managed:captcha:rejected和awswaf:managed:captcha:rejected:expired指出請求已被拒絕,因為字符中的CAPTCHA時間戳記已超過 Web 中設定的CAPTCHA字符豁免時間ACL。 -
absent– 請求沒有權杖,或權杖管理員無法讀取。範例:標籤
awswaf:managed:captcha:absent指出請求沒有字符。
ATP 標籤
ATP 受管規則群組會產生名稱空間字首為 的標籤,awswaf:managed:aws:atp:後面接著自訂命名空間和標籤名稱。
除了規則清單中記下的標籤之外,規則群組還可能會新增下列任何標籤:
-
awswaf:managed:aws:atp:signal:credential_compromised– 表示在請求中提交的登入資料位於遭竊的登入資料資料庫中。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint– 僅適用於受保護的 Amazon CloudFront 分佈。表示用戶端工作階段已傳送多個使用可疑TLS指紋的請求。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip– 表示在超過 5 個不同的 IP 地址中使用單一字符。此規則套用的閾值可能因延遲而略有不同。在套用標籤之前,有些請求可能會使其超過限制。
您可以透過呼叫 API來擷取規則群組的所有標籤DescribeManagedRuleGroup。這些標籤會列在回應的 AvailableLabels 屬性中。
帳戶接管預防規則清單
本節列出 中的ATP規則,AWSManagedRulesATPRuleSet以及規則群組規則新增至 Web 請求的標籤。
注意
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的相關資訊,請使用 API命令DescribeManagedRuleGroup。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的資訊,而不會給予不法份子規避規則所需的內容。
如果您需要超過此處的詳細資訊,請聯絡 AWS Support 中心
| 規則名稱 | 描述和標籤 |
|---|---|
UnsupportedCognitoIDP |
檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。 ATP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保不會使用其他ATP規則群組規則來評估使用者集區流量。 規則動作:Block 標籤: |
VolumetricIpHigh |
檢查從個別 IP 地址傳送的大量請求。在 10 分鐘的時段內,高磁碟區超過 20 個請求。 注意此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: 規則群組會將下列標籤套用至具有中等磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不會對它們採取任何動作: |
VolumetricSession |
檢查從個別用戶端工作階段傳送的大量請求。閾值是每個 30 分鐘時段超過 20 個請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會藉由應用程式整合SDKs和規則動作新增至請求 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱 用於 AWS WAF 智慧威脅緩解的字符。 注意此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。 規則動作:Block 標籤: |
AttributeCompromisedCredentials |
檢查來自使用遭竊憑證之相同用戶端工作階段的多個請求。 規則動作:Block 標籤: |
AttributeUsernameTraversal |
檢查來自使用使用者名稱周遊之相同用戶端工作階段的多個請求。 規則動作:Block 標籤: |
AttributePasswordTraversal |
檢查是否有多個使用密碼周遊的使用者名稱相同的請求。 規則動作:Block 標籤: |
AttributeLongSession |
檢查來自使用持久工作階段之相同用戶端工作階段的多個請求。閾值是超過 6 小時的流量,每 30 分鐘至少有一個登入請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會藉由應用程式整合SDKs和規則動作新增至請求 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱 用於 AWS WAF 智慧威脅緩解的字符。 規則動作:Block 標籤: |
TokenRejected |
檢查是否有權杖管理拒絕的權 AWS WAF 杖請求。 此檢查僅適用於 Web 請求具有字符的情況。權杖會藉由應用程式整合SDKs和規則動作新增至請求 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱 用於 AWS WAF 智慧威脅緩解的字符。 規則動作:Block 標籤:無。若要檢查權杖是否遭拒,請使用標籤比對規則來比對標籤: |
SignalMissingCredential |
檢查是否有憑證缺少使用者名稱或密碼的請求。 規則動作:Block 標籤: |
VolumetricIpFailedLoginResponseHigh |
檢查最近登入嘗試失敗率太高的 IP 地址。大量超過 10 個來自 IP 地址的失敗登入請求,在 10 分鐘的時段。 如果您已設定規則群組來檢查回應內文或JSON元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您會定義在設定規則群組時如何計算成功和失敗。 注意AWS WAF 只會在保護 Amazon CloudFront 分佈ACLs的 Web 中評估此規則。 注意此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試中開始比對之前允許的次數。 規則動作:Block 標籤: 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。 |
VolumetricSessionFailedLoginResponseHigh |
檢查最近登入嘗試失敗率太高的用戶端工作階段。在 30 分鐘的時段內,來自用戶端工作階段的高磁碟區超過 10 個失敗的登入請求。 如果您已設定規則群組來檢查回應內文或JSON元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。 此規則會根據來自受保護資源的成功和失敗回應,套用規則動作和標籤到來自相同用戶端工作階段的最新登入嘗試。您會定義在設定規則群組時如何計算成功和失敗。 注意AWS WAF 只會在保護 Amazon CloudFront 分佈ACLs的 Web 中評估此規則。 注意此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試中開始比對之前允許的次數。 此檢查僅適用於 Web 請求具有字符的情況。權杖會藉由應用程式整合SDKs和規則動作新增至請求 CAPTCHA 以及 Challenge。 如需詳細資訊,請參閱 用於 AWS WAF 智慧威脅緩解的字符。 規則動作:Block 標籤: 規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 30 分鐘的時段。 |
