本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon WAF欺诈控制账户收购预防 (ATP) 规则组
VendorName:AWS, 名称:AWSManagedRulesATPRuleSet
FAmazon WAF raud Control 账户接管预防 (ATP) 管理规则组标记和管理可能属于恶意账户接管企图一部分的请求。规则组通过检查客户端发送到您的应用程序的登录端点的登录尝试来实现此目的。
请求检查 — ATP 使您可以查看和控制使用被盗凭据的异常登录尝试和登录尝试,以防止可能导致欺诈活动的账户接管。ATP根据其被盗的凭证数据库检查电子邮件和密码组合,随着在暗网上发现新的泄露凭据,该数据库会定期更新。ATP 通过 IP 地址和客户端会话聚合数据,以检测和阻止发送过多可疑请求的客户端。
响应检查 — 对于 CloudFront 分配,除了检查传入的登录请求外,ATP 规则组还会检查您的应用程序对登录尝试的响应,以跟踪成功率和失败率。利用这些信息,ATP 可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。 Amazon WAF异步执行响应检查,因此这不会增加网络流量的延迟。
使用此规则组
此规则组需要特定的配置。要配置和实现此规则组,请参阅中的指南Amazon WAF欺诈控制账户收购预防 (ATP)。
此规则组是中的智能威胁缓解保护的一部分Amazon WAF。有关信息,请参阅 Amazon WAF智能威胁缓解。
注意
使用此托管规则组时,需要向您收取额外费用。有关更多信息,请参阅 Amazon WAF 定价
为了降低成本并确保根据需要管理网络流量,请按照中的指南使用此规则组智能威胁缓解最佳实践。
此规则组不适用于 Amazon Cognito 用户池。您无法将使用此规则组的 Web ACL 与用户池相关联,也无法将此规则组添加到已与用户池关联的 Web ACL。
此规则组不提供版本控制或 SNS 更新通知。
代币标注
该规则组使用Amazon WAF令牌管理根据其令牌的状态检查和标Amazon WAF记 Web 请求。 Amazon WAF使用令牌进行客户端会话跟踪和验证。
Amazon WAF在检查 Web 请求的令牌和质询时间戳时应用以下标签之一。 Amazon WAF不添加关于 CAPTCHA 时间戳状态的标签。
-
awswaf:managed:token:accepted— 请求令牌存在且具有未过期的质询时间戳。 -
awswaf:managed:token:rejected— 请求令牌存在但已损坏或质询时间戳已过期。 -
awswaf:managed:token:absent— 请求没有令牌。
有关更多信息,请参阅Amazon WAF网络请求令牌:
ATP 标签
ATP 托管规则组生成带有命名空间前缀awswaf:managed:aws:atp:和自定义命名空间的标签。
账户收购防范规则列表
下表列出了中的 ATP 规则AWSManagedRulesATPRuleSet以及规则组添加到 Web 请求的标签。
| Rule name(规则名称) | 描述和标注分类 |
|---|---|
UnsupportedCognitoIDP |
检查流向 Amazon Cognito 用户池的网络流量。ATP 不可用于 Amazon Cognito 用户池,此规则有助于确保其他 ATP 规则组规则不用于评估用户池流量。 规则操作:Block 标签: |
VolumetricIpHigh |
检查从单个 IP 地址发送的大量请求。高容量是指在 10 分钟窗口内超过 20 个请求。 注意由于延迟,此规则适用的阈值可能会略有不同。对于高容量,在应用规则操作之前,一些请求可能会超过限制。 规则操作:Block 标签: 规则组将以下标签应用于中等容量(每 10 分钟窗口为 16-20 个请求)和低容量(每 10 分钟窗口为 11-15 个请求)的请求,但不对它们采取任何操作: |
VolumetricSession |
检查从单个客户会话发送的大量请求。 此检查仅在 Web 请求包含令牌时适用。令牌由应用程序集成 SDK 和规则操作CAPTCHA和添加到请求中Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 注意由于延迟,此规则适用的阈值可能会略有不同。在应用规则操作之前,一些请求可能会超出限制。 规则操作:Block 标签: |
AttributeCompromisedCredentials |
检查来自同一客户端会话的多个使用被盗证书的请求。 规则操作:Block 标签: |
AttributeUsernameTraversal |
检查来自同一客户端会话的多个使用用户名遍历的请求。 规则操作:Block 标签: |
AttributePasswordTraversal |
检查来自同一客户端会话的多个使用密码遍历的请求。 规则操作:Block 标签: |
AttributeLongSession |
检查来自同一客户端会话的多个使用长时间会话的请求。 此检查仅在 Web 请求包含令牌时适用。令牌由应用程序集成 SDK 和规则操作CAPTCHA和添加到请求中Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 规则操作:Block 标签: |
TokenRejected |
检查令牌管理拒绝的带有令Amazon WAF牌的请求。 此检查仅在 Web 请求包含令牌时适用。令牌由应用程序集成 SDK 和规则操作CAPTCHA和添加到请求中Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 规则操作:Block 标签:无。要检查令牌是否被拒绝,请使用标签匹配规则在标签上进行匹配: |
SignalMissingCredential |
检查带有缺少用户名或密码的凭证的请求。 规则操作:Block 标签: |
| 没有规则。对于每个匹配的请求,规则组都会添加标签并且不对该请求采取任何操作。 |
在被盗的凭证数据库中搜索请求中提交的证书。 规则操作:不执行任何操作 标签: |
| 没有规则。对于每个匹配的请求,规则组都会添加标签并且不对该请求采取任何操作。 |
检查来自同一客户端会话的多个使用可疑 TLS 指纹的请求。 注意仅适用于受保护的亚马逊 CloudFront 发行版。 规则操作:不执行任何操作 标签: |
VolumetricIpFailedLoginResponseHigh |
检查最近登录尝试失败率过高的 IP 地址。如果您已将规则组配置为检查响应正文或 JSON 组件,则Amazon WAF可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指标。 该规则根据受保护资源对来自同一 IP 地址的最近登录尝试的成功和失败响应,将规则操作和标签应用于来自 IP 地址的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败次数。 注意Amazon WAF仅在保护亚马逊 CloudFront发行版的网络 ACL 中评估此规则。 注意由于延迟,此规则适用的阈值可能会略有不同。客户端发送的失败登录尝试次数可能超过规则在后续尝试中开始匹配之前允许的次数。 规则操作:Block 标签: |
VolumetricSessionFailedLoginResponseHigh |
检查最近是否导致登录尝试失败率过高的客户端会话。如果您已将规则组配置为检查响应正文或 JSON 组件,则Amazon WAF可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指标。 此规则根据受保护资源对来自同一客户端会话的最近登录尝试的成功和失败响应,将规则操作和标签应用于来自客户端会话的新 Web 请求。在配置规则组时,您可以定义如何计算成功和失败次数。 注意Amazon WAF仅在保护亚马逊 CloudFront 发行版的网络 ACL 中评估此规则。 注意由于延迟,此规则适用的阈值可能会略有不同。客户端发送的失败登录尝试次数可能超过规则在后续尝试中开始匹配之前允许的次数。 此检查仅在 Web 请求包含令牌时适用。令牌由应用程序集成 SDK 和规则操作CAPTCHA和添加到请求中Challenge。有关更多信息,请参阅Amazon WAF网络请求令牌: 规则操作:Block 标签: |