本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WAF欺诈控制账户盗用 (ATP) 规则组
VendorName:AWS,名称:AWSManagedRulesATPRuleSet
该Amazon WAF欺诈控制帐户接管预防 (ATP) 托管规则组标记和管理可能属于恶意帐户接管尝试一部分的请求。规则组通过检查客户端发送到您的应用程序的登录端点的登录尝试来实现此目的。
请求检查— ATP 使您可以查看和控制异常登录尝试和使用被盗凭证的登录尝试,以防止可能导致欺诈活动的账户接管。ATP 会根据其被盗的凭证数据库检查电子邮件和密码组合,该数据库会在暗网上发现新的泄露凭证时定期更新。ATP 通过 IP 地址和客户端会话聚合数据,以检测和阻止发送过多可疑请求的客户端。
响应检查— 对于CloudFront分发,除了检查传入的登录请求外,ATP 规则组还会检查您的应用程序对登录尝试的响应,以跟踪成功率和失败率。利用这些信息,ATP 可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。Amazon WAF异步执行响应检查,因此这不会增加 Web 流量的延迟。
使用此规则组
此规则组需要特定的配置。要配置和实现此规则组,请参阅以下指南Amazon WAF防欺诈控制账户盗用 (ATP)。
此规则组是中的智能威胁缓解保护的一部分Amazon WAF。有关信息,请参阅 Amazon WAF智能威胁缓解。
注意
使用此托管规则组时,您需要支付额外费用。有关更多信息,请参阅 Amazon WAF 定价
为了降低成本并确保按自己的意愿管理网络流量,请按照以下指南使用此规则组智能威胁缓解的最佳实践。
此规则组不可用于 Amazon Cognito 用户池。您无法将使用此规则组的 Web ACL 与用户池相关联,也无法将此规则组添加到已与用户池关联的 Web ACL 中。
此规则组不提供版本控制或 SNS 更新通知。
代币标签
此规则组使用Amazon WAF代币管理可根据网络请求的状态检查和标记 Web 请求Amazon WAF代币。Amazon WAF使用令牌进行客户端会话跟踪和验证。
Amazon WAF在检查 Web 请求的令牌和质询时间戳时应用以下标签之一。Amazon WAF不添加有关 CAPTCHA 时间戳状态的标签。
-
awswaf:managed:token:accepted— 请求令牌存在且挑战时间戳未过期。 -
awswaf:managed:token:rejected— 请求令牌存在但要么已损坏,要么挑战时间戳已过期。 -
awswaf:managed:token:absent— 请求没有令牌。
有关更多信息,请参阅Amazon WAF网络请求令牌:
ATP 标签
ATP 托管规则组生成带有命名空间前缀的标签awswaf:managed:aws:atp:其次是自定义命名空间和标签名称。
除了规则列表中注明的标签外,规则组可能会添加以下任何标签:
-
awswaf:managed:aws:atp:signal:credential_compromised— 表示在请求中提交的凭证位于被盗的凭证数据库中。 -
awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint— 仅适用于受保护的亚马逊CloudFront分布。表示客户端会话发送了多个使用可疑 TLS 指纹的请求。 -
awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip— 表示在超过 5 个不同的 IP 地址中使用单个标记。由于延迟,此规则适用的阈值可能会略有不同。在应用标签之前,一些请求可能会超过限制。
您可以通过调用 API 来检索规则组的所有标签DescribeManagedRuleGroup。标签列在AvailableLabels响应中的属性。
账户盗用防范规则清单
下表列出了中的 ATP 规则AWSManagedRulesATPRuleSet以及规则组添加到 Web 请求的标签。
注意
我们针对中的规则发布的信息Amazon托管规则组旨在为您提供足够的信息以使用规则,同时不提供不良行为者可以用来规避规则的信息。如果您需要的信息比本文档中提供的更多信息,请联系Amazon Web Services Support中心
| Rule name(规则名称) | 描述和标签 |
|---|---|
UnsupportedCognitoIDP |
检查流向亚马逊 Cognito 用户池的网络流量。ATP 不可用于 Amazon Cognito 用户池,此规则有助于确保其他 ATP 规则组规则不用于评估用户池流量。 规则操作:Block 标签: |
VolumetricIpHigh |
检查是否有来自单个 IP 地址的大量请求。高容量是指在 10 分钟窗口内超过 20 个请求。 注意由于延迟,此规则适用的阈值可能会略有不同。对于高容量,在应用规则操作之前,一些请求可能会超过限制。 规则操作:Block 标签: 规则组将以下标签应用于中等容量(每 10 分钟窗口 16-20 个请求)和低容量(每 10 分钟窗口 11-15 个请求)的请求,但不对它们采取任何操作: |
VolumetricSession |
检查是否有来自单个客户端会话的大量请求。 此检查仅在 Web 请求有令牌时适用。令牌由应用程序集成 SDK 和规则操作添加到请求中CAPTCHA和Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 注意由于延迟,此规则适用的阈值可能会略有不同。在应用规则操作之前,一些请求可能会超过限制。 规则操作:Block 标签: |
AttributeCompromisedCredentials |
检查来自同一客户端会话的多个使用被盗凭据的请求。 规则操作:Block 标签: |
AttributeUsernameTraversal |
检查来自同一客户端会话的多个使用用户名遍历的请求。 规则操作:Block 标签: |
AttributePasswordTraversal |
检查来自同一客户端会话的多个使用密码遍历的请求。 规则操作:Block 标签: |
AttributeLongSession |
检查来自同一客户端会话的多个使用长时间会话的请求。 此检查仅在 Web 请求有令牌时适用。令牌由应用程序集成 SDK 和规则操作添加到请求中CAPTCHA和Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 规则操作:Block 标签: |
TokenRejected |
检查带有令牌的请求是否被拒绝Amazon WAF代币管理。 此检查仅在 Web 请求有令牌时适用。令牌由应用程序集成 SDK 和规则操作添加到请求中CAPTCHA和Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 规则操作:Block 标签:无。要检查令牌是否被拒绝,请使用标签匹配规则在标签上进行匹配: |
SignalMissingCredential |
检查带有缺少用户名或密码的凭据的请求。 规则操作:Block 标签: |
VolumetricIpFailedLoginResponseHigh |
检查最近登录尝试失败率过高的 IP 地址。如果您已将规则组配置为检查响应正文或 JSON 组件,Amazon WAF可以检查这些组件类型的前 65,536 字节 (64 KB) 的成功或失败指标。 此规则根据受保护资源对来自同一 IP 地址的最近登录尝试的成功和失败响应,将规则操作和标签应用于来自 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败次数。 注意Amazon WAF仅在保护亚马逊的 Web ACL 中评估此规则CloudFront分布。 注意由于延迟,此规则适用的阈值可能会略有不同。客户端发送的失败登录尝试次数可能会超过规则在后续尝试中开始匹配之前允许的次数。 规则操作:Block 标签: |
VolumetricSessionFailedLoginResponseHigh |
检查最近登录尝试失败率过高的客户端会话。如果您已将规则组配置为检查响应正文或 JSON 组件,Amazon WAF可以检查这些组件类型的前 65,536 字节 (64 KB) 的成功或失败指标。 此规则根据受保护资源对来自同一客户端会话的最近登录尝试的成功和失败响应,将规则操作和标签应用于来自客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败次数。 注意Amazon WAF仅在保护亚马逊的 Web ACL 中评估此规则CloudFront分布。 注意由于延迟,此规则适用的阈值可能会略有不同。客户端发送的失败登录尝试次数可能会超过规则在后续尝试中开始匹配之前允许的次数。 此检查仅在 Web 请求有令牌时适用。令牌由应用程序集成 SDK 和规则操作添加到请求中CAPTCHA和Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 规则操作:Block 标签: |