本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WAF 防欺诈控制账户盗用 (ATP) 规则组
VendorName:AWS,名称:AWSManagedRulesATPRuleSet
F Amazon WAF raud Control 账户盗用预防 (ATP) 管理的规则组标记并管理可能属于恶意账户接管尝试的请求。规则组通过检查客户端发送到应用程序登录端点的登录尝试来实现此目的。
请求检查 – ATP 允许您查看和控制异常登录尝试和使用被盗凭证的登录尝试,以防止可能导致欺诈活动的账户盗用。ATP 根据被盗凭证数据库检查电子邮件和密码组合,当在暗网上发现新的泄露凭证时,会定期更新。ATP 按 IP 地址和客户端会话汇总数据,以检测和阻止发送过多可疑请求的客户端。
响应检查-对于 CloudFront 分配,除了检查传入的登录请求外,ATP 规则组还会检查您的应用程序对登录尝试的响应,以跟踪成功率和失败率。利用这些信息,ATP 可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。 Amazon WAF 会异步执行响应检查,因此不会增加 Web流量的延迟。
使用此规则组的注意事项
此规则组需要特定配置。如需配置和实施此规则组,请参阅 Amazon WAF 防欺诈控制账户接管 (ATP) 中的指导。
此规则组是 Amazon WAF中智能威胁缓解保护的一部分。有关信息,请参阅 Amazon WAF 智能威胁缓解。
注意
使用此托管规则组时,您需要额外付费。有关更多信息,请参阅Amazon WAF 定价
为了降低成本并确保您可以根据需要管理 Web 流量,请按照 智能威胁缓解的最佳实践 中的指导使用此规则组。
此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组的 Web ACL 与用户群体相关联,也无法将此规则组添加到已与用户群体关联的 Web ACL 中。
此规则组添加的标签
此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在 Web ACL 中在此规则组之后运行的规则。 Amazon WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 Web 请求上的标签 和 标签指标和维度。
令牌标签
该规则组使用 Amazon WAF 令牌管理根据令牌的状态检查和标 Amazon WAF 记 Web 请求。 Amazon WAF 使用令牌进行客户端会话跟踪和验证。
有关令牌和令牌管理的信息,请参阅 Amazon WAF 网络请求令牌。
有关此处描述的标签组件的信息,请参阅 Amazon WAF 标签语法和命名要求。
客户端会话标签
该标签awswaf:managed:token:id:包含一个唯一标识符, Amazon WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。identifier
注意
Amazon WAF 不报告该标签的 Amazon CloudWatch 指标。
令牌状态标签:标签命名空间前缀
令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
awswaf:managed:token:– 用于报告令牌的一般状态以及令牌的质询信息的状态。awswaf:managed:captcha:– 用于报告令牌的 CAPTCHA 信息的状态。
令牌状态标签:标签名称
在前缀之后,标签的其余部分提供详细的令牌状态信息:
accepted– 请求令牌存在且包含以下内容:有效的质询或 CAPTCHA 解决方案。
未过期的质询或 CAPTCHA 时间戳。
对 Web ACL 有效的域规范。
示例:标签
awswaf:managed:token:accepted表明 Web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。-
rejected– 请求令牌存在但不符合接受标准。除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
rejected:not_solved– 令牌缺少质询或 CAPTCHA 解决方案。rejected:expired– 根据您的 Web ACL 配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。rejected:domain_mismatch– 令牌的域与您的 Web ACL 的令牌域配置不匹配。rejected:invalid— Amazon WAF 无法读取指示的标记。
示例:标签
awswaf:managed:captcha:rejected和awswaf:managed:captcha:rejected:expired表示请求被拒绝,因为令牌中的 CAPTCHA 时间戳已超过 Web ACL 中配置的 CAPTCHA 令牌免疫时间。 -
absent– 请求没有令牌,或者令牌管理器无法读取它。示例:标签
awswaf:managed:captcha:absent表示请求没有令牌。
ATP 标签
ATP 托管规则组生成带有命名空间前缀 awswaf:managed:aws:atp: 的标签,后接自定义命名空间和标签名称。
除了规则列表中注明的标签外,规则组还可以添加以下任何标签:
-
awswaf:managed:aws:atp:signal:credential_compromised– 表示在请求中提交的凭证位于被盗凭证数据库中。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 仅适用于受保护的 Amazon CloudFront 分配。表示客户端会话发送了多个使用可疑 TLS 指纹的请求。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip– 表示有 5 个以上不同的 IP 地址使用同一令牌。由于延迟,此规则适用的阈值可能略有不同。在应用标签之前,一些请求可能会超出限制。
您可以通过调用 DescribeManagedRuleGroup 从 API 检索一个规则组的所有标签。标签列在响应的 AvailableLabels 属性中。
账户盗用防护规则列表
此部分列出了 AWSManagedRulesATPRuleSet 中的 ATP 规则以及规则组的规则添加到 Web 请求的标签。
注意
我们为 Amazon 托管规则组中的规则发布的信息旨在为您提供使用规则所需的足够信息,同时不提供不良行为者可能用来规避规则的信息。如果您需要本文档以外的信息,请联系 Amazon Web Services Support 中心
| Rule name(规则名称) | 描述和标签 |
|---|---|
UnsupportedCognitoIDP |
检查流向 Amazon Cognito 用户群体的 Web 流量。ATP 不可用于 Amazon Cognito 用户群体,此规则有助于确保不使用其他 ATP 规则组规则来评估用户群体流量。 规则操作:Block 标签: |
VolumetricIpHigh |
检查从各个 IP 地址发送的高流量请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 注意由于延迟,此规则适用的阈值可能略有不同。对于高流量,在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签: 规则组将以下标签应用于中等容量(每 10 分钟窗口超过 15 个请求)和低容量(每 10 分钟窗口超过 10 个请求)的请求,但不对它们采取任何操作: |
VolumetricSession |
检查来自各个客户端会话的高流量请求。其阈值为每 30 分钟窗口内超过 20 个请求。 仅当 Web 请求具有令牌时,此检查才适用。令牌由应用程序集成软件开发工具包以及规则操作 CAPTCHA 和 Challenge 添加到请求中。有关更多信息,请参阅 Amazon WAF 网络请求令牌。 注意由于延迟,此规则适用的阈值可能略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签: |
AttributeCompromisedCredentials |
检查来自同一个客户端会话的多个使用被盗凭证的请求。 规则操作:Block 标签: |
AttributeUsernameTraversal |
检查来自同一个客户端会话的多个使用用户名遍历的请求。 规则操作:Block 标签: |
AttributePasswordTraversal |
检查使用相同用户名且使用密码遍历的多个请求。 规则操作:Block 标签: |
AttributeLongSession |
检查来自同一个客户端会话的多个使用长时间对话的请求。阈值为超过 6 小时的流量,且每 30 分钟至少有一个登录请求。 仅当 Web 请求具有令牌时,此检查才适用。令牌由应用程序集成软件开发工具包以及规则操作 CAPTCHA 和 Challenge 添加到请求中。有关更多信息,请参阅 Amazon WAF 网络请求令牌。 规则操作:Block 标签: |
TokenRejected |
检查是否有令牌管理部门拒绝的带有令 Amazon WAF 牌的请求。 仅当 Web 请求具有令牌时,此检查才适用。令牌由应用程序集成软件开发工具包以及规则操作 CAPTCHA 和 Challenge 添加到请求中。有关更多信息,请参阅 Amazon WAF 网络请求令牌。 规则操作:Block 标签:无。要检查令牌是否被拒绝,请使用标签匹配规则在标签上进行匹配: |
SignalMissingCredential |
检查是否存在缺少用户名或密码的凭证的请求。 规则操作:Block 标签: |
VolumetricIpFailedLoginResponseHigh |
检查最近是否存在导致登录尝试失败率过高的 IP 地址。高流量是指在 10 分钟窗口内来自某个 IP 地址的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 Amazon WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 注意Amazon WAF 仅在保护 Ama CloudFront zon 分销的 Web ACL 中评估此规则。 注意由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 规则操作:Block 标签: 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 10 分钟窗口。 |
VolumetricSessionFailedLoginResponseHigh |
检查最近是否存在导致登录尝试失败率过高的客户端会话。高流量是指在 30 分钟窗口内来自某个客户端会话的登录请求失败超过 10 个。 如果您已将规则组配置为检查响应正文或 JSON 组件,则 Amazon WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。 此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应,将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败。 注意Amazon WAF 仅在保护 Ama CloudFront zon 分销的 Web ACL 中评估此规则。 注意由于延迟,此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前,客户端发送登录失败尝试的次数可能会超过允许的次数。 仅当 Web 请求具有令牌时,此检查才适用。令牌由应用程序集成软件开发工具包以及规则操作 CAPTCHA 和 Challenge 添加到请求中。有关更多信息,请参阅 Amazon WAF 网络请求令牌。 规则操作:Block 标签: 该规则组还将以下相关标签应用于请求,但没有任何关联操作。所有计数均适用 30 分钟窗口。 |