**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS WAF Einrichtung von Konten bei der Betrugsbekämpfung und Betrugsprävention (ACFP)
In diesem Abschnitt wird erklärt, was AWS WAF die Einrichtung von Konten bei der Betrugsbekämpfung und die Betrugsprävention (ACFP) bewirkt.
Betrug bei der Kontoerstellung ist eine illegale Online-Aktivität, bei der ein Angreifer versucht, ein oder mehrere gefälschte Konten zu erstellen. Angreifer verwenden gefälschte Konten für betrügerische Aktivitäten wie den Missbrauch von Werbe- und Anmeldeboni, das Ausgeben einer anderen Person und für Cyberangriffe wie Phishing. Das Vorhandensein gefälschter Konten kann sich negativ auf Ihr Unternehmen auswirken, da es Ihren Ruf bei Kunden schädigt und der Gefahr von Finanzbetrug ausgesetzt ist.
Sie können Betrugsversuche bei der Kontoerstellung überwachen und kontrollieren, indem Sie die ACFP-Funktion implementieren. AWS WAF bietet diese Funktion in der Regelgruppe „ AWS Verwaltete Regeln“ `AWSManagedRulesACFPRuleSet` mit integrierter Begleitanwendung an. SDKs
Die verwaltete Regelgruppe ACFP kennzeichnet und verwaltet Anfragen, die Teil böswilliger Versuche zur Kontoerstellung sein könnten. Zu diesem Zweck untersucht die Regelgruppe Versuche zur Kontoerstellung, die Clients an den Kontoanmeldeendpunkt Ihrer Anwendung senden.
ACFP schützt Ihre Kontoanmeldeseiten, indem es Anfragen zur Kontoregistrierung auf ungewöhnliche Aktivitäten überwacht und verdächtige Anfragen automatisch blockiert. Die Regelgruppe verwendet Anforderungskennungen, Verhaltensanalysen und maschinelles Lernen, um betrügerische Anfragen zu erkennen.
+ **Prüfung von Anfragen** — ACFP gibt Ihnen Einblick und Kontrolle über ungewöhnliche Kontoerstellungsversuche und Versuche, bei denen gestohlene Anmeldeinformationen verwendet werden, um die Erstellung betrügerischer Konten zu verhindern. ACFP überprüft E-Mail- und Passwortkombinationen anhand seiner Datenbank mit gestohlenen Anmeldeinformationen, die regelmäßig aktualisiert wird, sobald neue durchgesickerte Anmeldeinformationen im Dark Web gefunden werden. ACFP bewertet die in E-Mail-Adressen verwendeten Domains und überwacht die Verwendung von Telefonnummern und Adressfeldern, um die Eingaben zu überprüfen und betrügerisches Verhalten aufzudecken. ACFP aggregiert Daten nach IP-Adresse und Clientsitzung, um Clients zu erkennen und zu blockieren, die zu viele Anfragen verdächtiger Art senden.
+ **Überprüfung der Antworten** — Bei CloudFront Verteilungen überprüft die ACFP-Regelgruppe nicht nur eingehende Anfragen zur Kontoerstellung, sondern auch die Antworten Ihrer Anwendung auf Versuche zur Kontoerstellung, um Erfolgs- und Misserfolgsraten nachzuverfolgen. Mithilfe dieser Informationen kann ACFP vorübergehend Clientsitzungen oder IP-Adressen blockieren, bei denen zu viele Versuche fehlgeschlagen sind. AWS WAF führt die Antwortprüfung asynchron durch, sodass die Latenz Ihres Webverkehrs dadurch nicht erhöht wird.
**Anmerkung**
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing/).
**Anmerkung**
Die ACFP-Funktion ist für Amazon Cognito Cognito-Benutzerpools nicht verfügbar.
**Topics**
+ [AWS WAF ACFP-Komponenten](waf-acfp-components.md)
+ [Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md)
+ [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md)
+ [Testen und Bereitstellen von ACFP](waf-acfp-deploying.md)
+ [AWS WAF Beispiele für die Einrichtung von Konten bei der Betrugsbekämpfung (ACFP)](waf-acfp-control-examples.md)
# AWS WAF ACFP-Komponenten
Die Hauptkomponenten der AWS WAF Betrugsbekämpfung bei der Kontoerstellung und Betrugsprävention (ACFP) sind die folgenden:
+ **`AWSManagedRulesACFPRuleSet`**— Die Regeln in dieser Regelgruppe „ AWS Verwaltete Regeln“ erkennen, kennzeichnen und behandeln verschiedene Arten betrügerischer Aktivitäten bei der Kontoerstellung. Die Regelgruppe untersucht `GET` text/html HTTP-Anfragen, die Clients an den angegebenen Endpunkt für die Kontoregistrierung senden, sowie `POST` Webanfragen, die Kunden an den angegebenen Endpunkt für die Kontoregistrierung senden. Bei geschützten CloudFront Verteilungen überprüft die Regelgruppe auch die Antworten, die die Verteilung auf Anfragen zur Kontoerstellung zurücksendet. Eine Liste der Regeln dieser Regelgruppe finden Sie unter. [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md) Sie nehmen diese Regelgruppe mithilfe einer Referenzerklärung für verwaltete Regelgruppen in Ihr Schutzpaket (Web-ACL) auf. Informationen zur Verwendung dieser Regelgruppe finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md).
**Anmerkung**
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing/).
+ **Einzelheiten zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung** — Sie müssen Informationen zu den Seiten zur Kontoregistrierung und Kontoerstellung angeben, wenn Sie die `AWSManagedRulesACFPRuleSet` Regelgruppe zu Ihrem Schutzpaket (Web-ACL) hinzufügen. Auf diese Weise kann die Regelgruppe den Umfang der Anfragen, die sie prüft, einschränken und Webanfragen zur Kontoerstellung ordnungsgemäß validieren. Auf der Registrierungsseite müssen `GET` text/html Anfragen akzeptiert werden. Der Pfad zur Kontoerstellung muss `POST` Anfragen akzeptieren. Die ACFP-Regelgruppe arbeitet mit Benutzernamen im E-Mail-Format. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md).
+ **Bei geschützten CloudFront Distributionen: Details darüber, wie Ihre Anwendung auf Versuche zur Kontoerstellung reagiert** — Sie geben Details zu den Antworten Ihrer Anwendung auf Versuche zur Kontoerstellung an, und die ACFP-Regelgruppe verfolgt und verwaltet Versuche zur Erstellung mehrerer Konten von einer einzelnen IP-Adresse oder einer einzelnen Clientsitzung aus. Informationen zur Konfiguration dieser Option finden Sie unter. [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md)
+ **JavaScript und Integration mobiler Anwendungen SDKs** — Implementieren Sie AWS WAF JavaScript und Mobile SDKs zusammen mit Ihrer ACFP-Implementierung, um den vollen Funktionsumfang der Regelgruppe nutzen zu können. Viele der ACFP-Regeln verwenden die von der bereitgestellten Informationen SDKs für die Client-Überprüfung auf Sitzungsebene und die Aggregation von Verhalten, die erforderlich sind, um legitimen Client-Verkehr vom Bot-Verkehr zu trennen. Weitere Informationen zu den SDKs finden Sie unter. [Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md)
Sie können Ihre ACFP-Implementierung mit den folgenden Komponenten kombinieren, um Ihre Schutzmaßnahmen zu überwachen, zu optimieren und anzupassen.
+ **Protokollierung und Metriken** — Sie können Ihren Datenverkehr überwachen und verstehen, wie sich die verwaltete ACFP-Regelgruppe darauf auswirkt, indem Sie Protokolle, Amazon Security Lake-Datenerfassung und CloudWatch Amazon-Metriken für Ihr Schutzpaket (Web-ACL) konfigurieren und aktivieren. Die Labels, die Ihren Webanfragen `AWSManagedRulesACFPRuleSet` hinzugefügt werden, sind in den Daten enthalten. Informationen zu den Optionen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md)[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md), und [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
Abhängig von Ihren Anforderungen und dem Datenverkehr, den Sie beobachten, möchten Sie Ihre `AWSManagedRulesACFPRuleSet`-Implementierung möglicherweise anpassen. Beispielsweise möchten Sie möglicherweise einige Zugriffe von der ACFP-Bewertung ausschließen, oder Sie möchten die Art und Weise ändern, wie das Unternehmen mit einigen der von ihr identifizierten Betrugsversuche bei der Kontoerstellung umgeht, und zwar mithilfe von AWS WAF Funktionen wie Scopedown-Aussagen oder Regeln für den Labelabgleich.
+ **Bezeichnungen und Regeln zum Abgleich von Bezeichnungen** – Für jede der Regeln in `AWSManagedRulesACFPRuleSet` können Sie das Blockierverhalten auf „Zählen“ umstellen und dann mit den Bezeichnungen abgleichen, die durch die Regeln hinzugefügt wurden. Verwenden Sie diesen Ansatz, um anzupassen, wie Sie mit Webanfragen umgehen, die von der verwalteten ACFP-Regelgruppe identifiziert werden. Weitere Informationen zur Bezeichnung und zur Verwendung von Anweisungen zum Abgleich von Bezeichnungen finden Sie unter [Regelanweisung für Bezeichnungsübereinstimmung](waf-rule-statement-type-label-match.md) und [Etikettierung von Webanfragen in AWS WAF](waf-labels.md).
+ **Benutzerdefinierte Anforderungen und Antworten** – Sie können den Anforderungen, die Sie zulassen, benutzerdefinierte Header hinzufügen, und Sie können für blockierte Anforderungen benutzerdefinierte Antworten senden. Dazu kombinieren Sie den Bezeichnungsabgleich mit den AWS WAF -Funktionen für benutzerdefinierte Anforderungen und Antworten. Weitere Informationen zum Anpassen von Anforderungen und Antworten finden Sie unter [Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).
# Anwendungsintegration SDKs mit ACFP verwenden
Wir empfehlen dringend, die Anwendungsintegration zu implementieren SDKs, um die ACFP-Regelgruppe so effizient wie möglich nutzen zu können.
+ **Vollständige Regelgruppenfunktionalität** — Die ACFP-Regel funktioniert `SignalClientHumanInteractivityAbsentLow` nur mit Token, die von den Anwendungsintegrationen aufgefüllt werden. Diese Regel erkennt und verwaltet abnormale menschliche Interaktivitäten mit der Anwendungsseite. Die Anwendungsintegration SDKs kann normale menschliche Interaktivität durch Mausbewegungen, Tastendrücke und andere Messungen erkennen. Die Interstitials, die von den Regelaktionen gesendet werden CAPTCHA und diese Art von Challenge Daten nicht bereitstellen können.
+ **Reduzierte Latenz** — Die Regelgruppenregel `AllRequests` wendet die Challenge Regelaktion auf jede Anfrage an, für die noch kein Challenge-Token vorhanden ist. In diesem Fall wird die Anfrage von der Regelgruppe zweimal ausgewertet: einmal ohne das Token und dann ein zweites Mal, nachdem das Token mithilfe der Challenge Aktion Interstitial abgerufen wurde. Ihnen werden keine zusätzlichen Gebühren berechnet, wenn Sie nur die `AllRequests` Regel verwenden, aber dieser Ansatz erhöht den Overhead Ihres Web-Traffics und erhöht die Latenz Ihrer Endbenutzererfahrung. Wenn Sie das Token clientseitig mithilfe der Anwendungsintegrationen erwerben, bevor Sie die Anfrage zur Kontoerstellung senden, wertet die ACFP-Regelgruppe die Anfrage einmal aus.
Weitere Informationen zu den Funktionen der Regelgruppe finden Sie unter. [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md)
Informationen zu den finden SDKs Sie unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu AWS WAF Tokens finden Sie unter[Verwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr](waf-tokens.md). Informationen zu den Regelaktionen finden Sie unter[CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md).
# Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL
In diesem Abschnitt wird erklärt, wie Sie die `AWSManagedRulesACFPRuleSet` Regelgruppe hinzufügen und konfigurieren.
Um die verwaltete ACFP-Regelgruppe so zu konfigurieren, dass sie Betrugsaktivitäten bei der Kontoerstellung in Ihrem Web-Traffic erkennt, geben Sie Informationen darüber an, wie Kunden auf Ihre Registrierungsseite zugreifen, und Anfragen zur Kontoerstellung an Ihre Anwendung senden. Für geschützte CloudFront Amazon-Distributionen geben Sie auch Informationen darüber an, wie Ihre Anwendung auf Anfragen zur Kontoerstellung reagiert. Diese Konfiguration gilt zusätzlich zur normalen Konfiguration für eine verwaltete Regelgruppe.
Eine Beschreibung der Regelgruppe und eine Liste der Regeln finden Sie unter[AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).
**Anmerkung**
Die Datenbank mit gestohlenen ACFP-Anmeldeinformationen enthält nur Benutzernamen im E-Mail-Format.
Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt. Grundlegende Informationen zum Hinzufügen einer verwalteten Regelgruppe zu Ihrem Protection Pack (Web-ACL) finden Sie unter[Hinzufügen einer verwalteten Regelgruppe zu einem Protection Pack (Web-ACL) über die Konsole](waf-using-managed-rule-group.md).
**Folgen Sie den bewährten Methoden**
Verwenden Sie die ACFP-Regelgruppe gemäß den bewährten Methoden unter[Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF](waf-managed-protections-best-practices.md).
**Um die `AWSManagedRulesACFPRuleSet` Regelgruppe in Ihrem Schutzpaket (Web-ACL) zu verwenden**
1. Fügen Sie die AWS verwaltete Regelgruppe Ihrem Schutzpaket (Web-ACL) hinzu und **bearbeiten Sie** die Regelgruppeneinstellungen vor dem Speichern. `AWSManagedRulesACFPRuleSet`
**Anmerkung**
Wenn Sie diese verwaltete Regelgruppe verwenden, werden Ihnen zusätzliche Gebühren berechnet. Weitere Informationen finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing/).
1. Geben Sie im Bereich **Regelgruppenkonfiguration** die Informationen ein, anhand derer die ACFP-Regelgruppe Anfragen zur Kontoerstellung prüft.
1. Aktivieren Sie diese Option für **Reguläre Ausdrücke in Pfaden verwenden**, wenn Sie einen Abgleich mit regulären Ausdrücken für die Pfadspezifikationen Ihrer Anmelde- und Kontoerstellungsseite durchführen möchten AWS WAF .
AWS WAF unterstützt `libpcre` mit einigen Ausnahmen die von der PCRE-Bibliothek verwendete Mustersyntax. Die Bibliothek ist unter [PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/) (Perl-kompatible reguläre Ausdrücke) dokumentiert. Hinweise zur AWS WAF Unterstützung finden Sie unter[Unterstützte Syntax für reguläre Ausdrücke in AWS WAF](waf-regex-pattern-support.md).
1. Geben Sie **unter Pfad zur Registrierungsseite** den Pfad zum Endpunkt der Registrierungsseite für Ihre Anwendung an. Diese Seite muss `GET` text/html Anfragen annehmen. Die Regelgruppe untersucht nur `GET` text/html HTTP-Anfragen an den von Ihnen angegebenen Endpunkt der Registrierungsseite.
**Anmerkung**
Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten`(?-i)`, wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. `/`
Für die URL könnten Sie `https://example.com/web/registration` beispielsweise die Pfadangabe `/web/registration` für die Zeichenfolge angeben. Pfade auf Registrierungsseiten, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. `/web/registration`Entspricht beispielsweise den `/web/registration` Registrierungspfaden `/web/registration/``/web/registrationPage`,, und`/web/registration/thisPage`, entspricht aber nicht dem Pfad `/home/web/registration` oder`/website/registration`.
**Anmerkung**
Stellen Sie sicher, dass Ihre Endbenutzer die Registrierungsseite laden, bevor sie eine Anfrage zur Kontoerstellung einreichen. Dadurch wird sichergestellt, dass die Anfragen des Kunden zur Kontoerstellung gültige Token enthalten.
1. Geben Sie als **Pfad zur Kontoerstellung** die URI auf Ihrer Website an, die vollständige neue Benutzerdaten akzeptiert. Diese URI muss `POST` Anfragen akzeptieren.
**Anmerkung**
Beim Abgleich für Endpunkte wird nicht zwischen Groß- und Kleinschreibung unterschieden. Regex-Spezifikationen dürfen das Flag nicht enthalten`(?-i)`, wodurch der Abgleich ohne Berücksichtigung der Groß- und Kleinschreibung deaktiviert wird. Zeichenkettenspezifikationen müssen mit einem Schrägstrich beginnen. `/`
Für die URL könnten Sie `https://example.com/web/newaccount` beispielsweise die Pfadangabe `/web/newaccount` für die Zeichenfolge angeben. Pfade zur Kontoerstellung, die mit dem von Ihnen angegebenen Pfad beginnen, werden als übereinstimmend betrachtet. `/web/newaccount`Entspricht beispielsweise den Pfaden zur Kontoerstellung `/web/newaccount` `/web/newaccount/``/web/newaccountPage`,`/web/newaccount/thisPage`, und, entspricht aber nicht dem Pfad `/home/web/newaccount` oder`/website/newaccount`.
1. Geben Sie für die **Prüfung von Anfragen** an, wie Ihre Anwendung Versuche zur Kontoerstellung akzeptiert, indem Sie den Payload-Typ der Anfrage und die Namen der Felder im Anfragetext angeben, in denen der Benutzername, das Passwort und andere Details zur Kontoerstellung angegeben werden.
**Anmerkung**
Geben Sie für die Felder für die primäre Adresse und die Telefonnummer die Felder in der Reihenfolge an, in der sie in der Payload der Anfrage erscheinen.
Ihre Angabe der Feldnamen hängt vom Payload-Typ ab.
+ **JSON-Nutzdatentyp** — Geben Sie die Feldnamen in der JSON-Zeigersyntax an. Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation [JavaScriptObject Notation (JSON) Pointer der Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901).
Für die folgende Beispiel-JSON-Nutzlast lautet die Feldspezifikation für den Benutzernamen, `/signupform/username` und die Spezifikationen für das primäre Adressfeld lauten `/signupform/addrp1``/signupform/addrp2`, und. `/signupform/addrp3`
```
{
"signupform": {
"username": "THE_USERNAME",
"password": "THE_PASSWORD",
"addrp1": "PRIMARY_ADDRESS_LINE_1",
"addrp2": "PRIMARY_ADDRESS_LINE_2",
"addrp3": "PRIMARY_ADDRESS_LINE_3",
"phonepcode": "PRIMARY_PHONE_CODE",
"phonepnumber": "PRIMARY_PHONE_NUMBER"
}
}
```
+ **Payload-Typ FORM\$1ENCODED** — Verwenden Sie die HTML-Formularnamen.
Für ein HTML-Formular mit Benutzer- und Kennworteingabeelementen mit dem Namen `username1` und `password1` lautet die Feldspezifikation für den Benutzernamen `username1` und die Feldspezifikation für das Passwort. `password1`
1. Wenn Sie CloudFront Amazon-Distributionen schützen, geben Sie unter **Überprüfung von Antworten** an, wie Ihre Anwendung bei den Antworten auf Versuche zur Kontoerstellung auf Erfolg oder Misserfolg reagiert.
**Anmerkung**
ACFP Response Inspection ist nur in Schutzpaketen (Web ACLs) verfügbar, die Distributionen schützen CloudFront .
Geben Sie in der Antwort auf die Kontoerstellung eine einzelne Komponente an, die ACFP überprüfen soll. AWS WAF Kann bei den Komponententypen **Body** und **JSON** die ersten 65.536 Byte (64 KB) der Komponente untersuchen.
Geben Sie Ihre Prüfkriterien für den Komponententyp an, wie in der Schnittstelle angegeben. Sie müssen sowohl Erfolgs- als auch Fehlschlagskriterien angeben, nach denen die Komponente geprüft werden soll.
Angenommen, Ihre Anwendung gibt im Statuscode der Antwort den Status eines Versuchs zur Kontoerstellung an und verwendet ihn `200 OK` für Erfolg `401 Unauthorized` und/oder `403 Forbidden` für Fehlschlag. Sie würden den **Komponententyp** der Antwortprüfung auf **Statuscode** setzen und dann in das Textfeld **Erfolg** `200` und im Textfeld **Fehler** den Text in `401` der ersten Zeile und in `403` der zweiten Zeile eingeben.
Die ACFP-Regelgruppe zählt nur Antworten, die Ihren Erfolgs- oder Fehlschlagprüfungskriterien entsprechen. Die Regelgruppenregeln wirken sich auf Kunden aus, deren Erfolgsquote unter den gezählten Antworten zu hoch ist, um Versuche, mehrere Konten zu erstellen, zu verhindern. Stellen Sie sicher, dass Sie vollständige Informationen zu erfolgreichen und fehlgeschlagenen Kontoerstellungsversuchen angeben, damit sich die Regelgruppenregeln korrekt verhalten.
Die Regeln zur Überprüfung der Antworten auf die Kontoerstellung finden Sie `VolumetricSessionSuccessfulResponse` in der Regelliste unter[AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md). `VolumetricIPSuccessfulResponse`
1. Geben Sie jede zusätzliche Konfiguration an, die für die Regelgruppe benötigt wird.
Sie können den Umfang der Anforderungen, die von der Regelgruppe geprüft werden, weiter eingrenzen, indem Sie der Anweisung für die verwaltete Regelgruppe eine Eingrenzungsanweisung hinzufügen. So können Sie beispielsweise nur Anforderungen mit einem bestimmten Abfrageargument oder Cookie prüfen. Die Regelgruppe prüft nur Anfragen, die den Kriterien in Ihrer Zusammenfassung entsprechen und die an die von Ihnen in der Regelgruppenkonfiguration angegebenen Pfade zur Kontoregistrierung und Kontoerstellung gesendet werden. Informationen zu Eingrenzungsanweisungen finden Sie unter [Verwendung von Scope-Down-Aussagen in AWS WAF](waf-rule-scope-down-statements.md).
1. Speichern Sie Ihre Änderungen am Schutzpaket (Web-ACL).
Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, sollten Sie sie in einer Staging- oder Testumgebung testen und optimieren, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr vertraut sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren. Anleitungen finden Sie im folgenden Abschnitt.
# Testen und Bereitstellen von ACFP
Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen einer Implementierung zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP) für Ihre Website. Für welche Schritte Sie sich im Einzelnen entscheiden, hängt von Ihren Anforderungen, Ihren Ressourcen und den bei Ihnen eingehenden Webanforderungen ab.
Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unter[Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen](web-acl-testing.md).
**Anmerkung**
AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des [Modells der gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind.
**Risiken rund um Produktionsdatenverkehr**
Bevor Sie Ihre ACFP-Implementierung für den Produktionsdatenverkehr einsetzen, testen und optimieren Sie sie in einer Staging- oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Datenverkehr zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.
AWS WAF stellt Testanmeldedaten bereit, mit denen Sie Ihre ACFP-Konfiguration überprüfen können. Im folgenden Verfahren konfigurieren Sie ein Testschutzpaket (Web-ACL) für die Verwendung der verwalteten ACFP-Regelgruppe, konfigurieren eine Regel, um das von der Regelgruppe hinzugefügte Label zu erfassen, und führen dann mit diesen Testanmeldedaten einen Versuch durch, ein Konto zu erstellen. Sie überprüfen, ob Ihr Schutzpaket (Web-ACL) den Versuch ordnungsgemäß bewältigt hat, indem Sie die CloudWatch Amazon-Metriken für den Versuch der Kontoerstellung überprüfen.
Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.
**So konfigurieren und testen Sie eine AWS WAF Implementierung zur Erstellung von Accounts zur Betrugsbekämpfung (Fraud Prevention, ACFP)**
Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.
1.
**Fügen Sie die AWS WAF verwaltete Regelgruppe zur Erstellung von Fraud Control-Konten und Fraud Prevention (ACFP) im Zählmodus hinzu**
**Anmerkung**
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing/).
Fügen Sie die Regelgruppe `AWSManagedRulesACFPRuleSet` für AWS verwaltete Regeln einem neuen oder vorhandenen Schutzpaket (Web-ACL) hinzu und konfigurieren Sie es so, dass das aktuelle Verhalten des Schutzpakets (Web-ACL) nicht verändert wird. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).
+ Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:
+ Geben Sie im Bereich „**Konfiguration der Regelgruppe**“ die Details zu den Seiten zur Kontoregistrierung und Kontoerstellung Ihrer Anwendung ein. Die ACFP-Regelgruppe verwendet diese Informationen zur Überwachung der Anmeldeaktivitäten. Weitere Informationen finden Sie unter [Hinzufügen der verwalteten ACFP-Regelgruppe zu Ihrer Web-ACL](waf-acfp-rg-using.md).
+ Öffnen Sie im Bereich **Regeln** die Dropdownliste **Alle Regelaktionen außer Kraft setzen** und wählen Sie aus. **Count** Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter [Regelaktionen in einer Regelgruppe überschreiben](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).
Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der von ACFP verwalteten Regeln überwachen und entscheiden, ob Sie Ausnahmen hinzufügen möchten, z. B. Ausnahmen für interne Anwendungsfälle.
+ Positionieren Sie die Regelgruppe so, dass sie anhand Ihrer vorhandenen Regeln im Protection Pack (Web-ACL) bewertet wird, wobei die Priorität numerisch höher ist als die aller Regeln oder Regelgruppen, die Sie bereits verwenden. Weitere Informationen finden Sie unter [Regelpriorität festlegen](web-acl-processing-order.md).
Auf diese Weise wird Ihre derzeitige Handhabung des Datenverkehrs nicht gestört. Wenn Sie beispielsweise Regeln haben, die bösartigen Datenverkehr wie SQL-Injections oder Cross-Site-Scripting erkennen, erkennen und protokollieren sie diese Probleme weiterhin. Wenn Sie Regeln haben, die bekannten nicht bösartigen Datenverkehr zulassen, können diese Regeln diesen Datenverkehr auch weiterhin zulassen, ohne dass er von der verwalteten ACFP-Regelgruppe blockiert wird. Möglicherweise entscheiden Sie sich, die Verarbeitungsreihenfolge während Ihrer Test- und Optimierungsaktivitäten anzupassen.
1.
**Implementieren Sie die Anwendungsintegration SDKs**
Integrieren Sie das AWS WAF JavaScript SDK in die Kontoregistrierungs- und Kontoerstellungspfade Ihres Browsers. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu dieser Empfehlung finden Sie unter[Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md).
**Anmerkung**
Wenn Sie die Anwendungsintegration nicht verwenden können SDKs, können Sie die ACFP-Regelgruppe testen, indem Sie sie in Ihrem Schutzpaket (Web-ACL) bearbeiten und die Überschreibung entfernen, die Sie der `AllRequests` Regel zugewiesen haben. Dadurch wird die Challenge Aktionseinstellung der Regel aktiviert, um sicherzustellen, dass Anfragen ein gültiges Challenge-Token enthalten.
*Tun Sie dies zuerst in einer Testumgebung und dann mit größter Sorgfalt in Ihrer Produktionsumgebung.* Dieser Ansatz hat das Potenzial, Benutzer zu blockieren. Wenn der Pfad Ihrer Registrierungsseite beispielsweise keine `GET` text/html Anfragen akzeptiert, kann diese Regelkonfiguration effektiv alle Anfragen auf der Registrierungsseite blockieren.
1.
**Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack (Web-ACL)**
Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Schutzpaket (Web-ACL). Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der von ACFP verwalteten Regelgruppe mit Ihrem Datenverkehr zu überwachen.
+ Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
+ Informationen zu Amazon Security Lake finden Sie unter [Was ist Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) und [Sammeln von Daten von AWS Diensten](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) im *Amazon Security Lake-Benutzerhandbuch*.
+ Informationen zu CloudWatch Amazon-Metriken finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md).
+ Informationen zum Sampling von Webanforderungen finden Sie unter [Anzeigen einer Stichprobe von Webanforderungen](web-acl-testing-view-sample.md).
1.
**Ordnen Sie das Protection Pack (Web-ACL) einer Ressource zu**
Wenn das Schutzpaket (Web-ACL) noch keiner Testressource zugeordnet ist, ordnen Sie es zu. Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).
1.
**Überwachen Sie den Datenverkehr und die Übereinstimmung mit den ACFP-Regeln**
Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete ACFP-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die ACFP- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen `action` gesetzt und `ruleGroupList` mit der `overriddenAction` Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.
1.
**Testen der Regelgruppenfunktionen zur Überprüfung von Anmeldeinformationen**
Führen Sie einen Versuch zur Kontoerstellung mit manipulierten Testanmeldedaten durch und überprüfen Sie, ob die Regelgruppe erwartungsgemäß mit ihnen übereinstimmt.
1. Rufen Sie die Kontoregistrierungsseite Ihrer geschützten Ressource auf und versuchen Sie, ein neues Konto hinzuzufügen. Verwenden Sie das folgende Paar AWS WAF Testanmeldeinformationen und geben Sie einen beliebigen Test ein
+ Benutzer: `WAF_TEST_CREDENTIAL@wafexample.com`
+ Passwort: `WAF_TEST_CREDENTIAL_PASSWORD`
Diese Testanmeldedaten werden als kompromittierte Anmeldeinformationen eingestuft, und die von ACFP verwaltete Regelgruppe fügt der Anfrage zur Kontoerstellung die `awswaf:managed:aws:acfp:signal:credential_compromised` Bezeichnung hinzu, die Sie in den Protokollen sehen können.
1. Suchen Sie in den Protokollen Ihres Schutzpakets (Web-ACL) nach der `awswaf:managed:aws:acfp:signal:credential_compromised` Bezeichnung im `labels` Feld in den Protokolleinträgen für Ihre Anfrage zur Erstellung eines Testkontos. Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
Nachdem Sie sich vergewissert haben, dass die Regelgruppe kompromittierte Anmeldeinformationen wie erwartet erfasst, können Sie Maßnahmen ergreifen, um die Implementierung für Ihre geschützte Ressource nach Bedarf zu konfigurieren.
1.
**Testen Sie bei CloudFront Distributionen, wie die Regelgruppe versucht, mehrere Konten gleichzeitig zu erstellen**
Führen Sie diesen Test für jedes Erfolgskriterium aus, das Sie für die ACFP-Regelgruppe konfiguriert haben. Warten Sie zwischen den Tests mindestens 30 Minuten.
1. Identifizieren Sie für jedes Ihrer Erfolgskriterien einen Versuch, ein Konto zu erstellen, der mit diesen Erfolgskriterien in der Antwort erfolgreich sein wird. Führen Sie dann von einer einzigen Kundensitzung aus mindestens 5 erfolgreiche Versuche zur Kontoerstellung in weniger als 30 Minuten durch. Ein Benutzer würde normalerweise nur ein einziges Konto auf Ihrer Site erstellen.
Nach der ersten erfolgreichen Kontoerstellung sollte die `VolumetricSessionSuccessfulResponse` Regel beginnen, sie mit den übrigen Antworten auf die Kontoerstellung abzugleichen, sie zu kennzeichnen und zu zählen, je nachdem, welche Regelaktion Sie außer Kraft gesetzt haben. Bei der Regel fehlen aufgrund der Latenz möglicherweise die ersten ein oder zwei Antworten.
1. Suchen Sie in den Protokollen Ihres Protection Packs (Web-ACL) nach der `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` Bezeichnung im `labels` Feld in den Protokolleinträgen für Ihre Webanfragen zur Erstellung von Testkonten. Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
Mit diesen Tests wird überprüft, ob Ihre Erfolgskriterien mit Ihren Antworten übereinstimmen, indem geprüft wird, ob die Anzahl der erfolgreichen Treffer, die nach der Regel zusammengefasst wurden, den Schwellenwert der Regel überschreitet. Wenn Sie nach Erreichen des Schwellenwerts weiterhin Anfragen zur Kontoerstellung aus derselben Sitzung senden, gilt die Regel weiterhin, bis die Erfolgsquote unter den Schwellenwert fällt. Solange der Schwellenwert überschritten ist, berücksichtigt die Regel sowohl erfolgreiche als auch fehlgeschlagene Kontoerstellungsversuche von der Sitzungsadresse aus.
1.
**Passen Sie die Behandlung von ACFP-Webanfragen an**
Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie ACFP-Regeln sie sonst behandeln würden.
Beispielsweise können Sie ACFP-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der verwalteten ACFP-Regelgruppe eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen ACFP-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei. Ein Beispiel finden Sie unter [ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen](waf-acfp-control-example-compromised-credentials.md).
1.
**Entfernen Sie Ihre Testregeln und aktivieren Sie die Einstellungen für verwaltete ACFP-Regelgruppen**
Abhängig von Ihrer Situation haben Sie sich möglicherweise dafür entschieden, einige ACFP-Regeln im Zählmodus zu belassen. Für die Regeln, die Sie wie in der Regelgruppe konfiguriert ausführen möchten, deaktivieren Sie den Zählmodus in der Regelgruppenkonfiguration des Protection Packs (Web-ACL). Wenn Sie mit dem Testen fertig sind, können Sie auch Ihre Testlabel-Vergleichsregeln entfernen.
1.
**Überwachen und Anpassen**
Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die ACFP-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an.
Wenn Sie das AWS WAF JavaScript SDK nach Abschluss des Tests Ihrer ACFP-Regelgruppenimplementierung noch nicht in die Seiten zur Kontoregistrierung und Kontoerstellung Ihres Browsers integriert haben, empfehlen wir Ihnen dringend, dies zu tun. AWS WAF bietet auch mobile Geräte SDKs zur Integration von iOS- und Android-Geräten. Weitere Informationen zur Integration finden Sie SDKs unter[Integrationen von Client-Anwendungen in AWS WAF](waf-application-integration.md). Informationen zu dieser Empfehlung finden Sie unter[Anwendungsintegration SDKs mit ACFP verwenden](waf-acfp-with-tokens.md).
# AWS WAF Beispiele für die Einrichtung von Konten bei der Betrugsbekämpfung (ACFP)
Dieser Abschnitt zeigt Beispielkonfigurationen, die den gängigen Anwendungsfällen für die Implementierung von AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) gerecht werden.
Jedes Beispiel enthält eine Beschreibung des Anwendungsfalls und zeigt dann in JSON-Auflistungen die Lösung für die benutzerdefiniert konfigurierten Regeln an.
**Anmerkung**
Sie können JSON-Auflistungen wie die in diesen Beispielen gezeigten über den JSON-Download des Console Protection Pack (Web ACL) oder den JSON-Editor für Regeln oder über den `getWebACL` Vorgang in der APIs Befehlszeilenschnittstelle abrufen.
**Topics**
+ [ACFP-Beispiel: Einfache Konfiguration](waf-acfp-control-example-basic.md)
+ [ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen](waf-acfp-control-example-compromised-credentials.md)
+ [ACFP-Beispiel: Konfiguration der Reaktionsinspektion](waf-acfp-control-example-response-inspection.md)
# ACFP-Beispiel: Einfache Konfiguration
Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer verwalteten Regelgruppe zur Erstellung von Fraud Control-Konten zur AWS WAF Betrugsbekämpfung (Fraud Control Account Creation Fraud Prevention, ACFP). Notieren Sie sich die zusätzlichen `CreationPath` `RegistrationPagePath` Konfigurationen sowie den Payload-Typ und die Informationen, die benötigt werden, um neue Kontoinformationen in der Payload zu finden und diese zu verifizieren. Die Regelgruppe verwendet diese Informationen, um Ihre Anfragen zur Kontoerstellung zu überwachen und zu verwalten. Dieses JSON enthält die automatisch generierten Einstellungen des Schutzpakets (Web-ACL), wie den Label-Namespace und die URL zur Anwendungsintegration des Schutzpakets (Web-ACL).
```
{
"Name": "simpleACFP",
"Id": "... ",
"ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesACFPRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesACFPRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesACFPRuleSet": {
"CreationPath": "/web/signup/submit-registration",
"RegistrationPagePath": "/web/signup/registration",
"RequestInspection": {
"PayloadType": "JSON",
"UsernameField": {
"Identifier": "/form/username"
},
"PasswordField": {
"Identifier": "/form/password"
},
"EmailField": {
"Identifier": "/form/email"
},
"PhoneNumberFields": [
{
"Identifier": "/form/country-code"
},
{
"Identifier": "/form/region-code"
},
{
"Identifier": "/form/phonenumber"
}
],
"AddressFields": [
{
"Identifier": "/form/name"
},
{
"Identifier": "/form/street-address"
},
{
"Identifier": "/form/city"
},
{
"Identifier": "/form/state"
},
{
"Identifier": "/form/zipcode"
}
]
},
"EnableRegexInPath": false
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesACFPRuleSet"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "simpleACFP"
},
"Capacity": 50,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```
# ACFP-Beispiel: Benutzerdefinierte Antwort auf kompromittierte Anmeldeinformationen
Standardmäßig `AWSManagedRulesACFPRuleSet` behandelt die Überprüfung der Anmeldeinformationen, die von der Regelgruppe durchgeführt wird, kompromittierte Anmeldeinformationen, indem sie die Anfrage kennzeichnet und blockiert. Weitere Informationen zur Regelgruppe und zum Regelverhalten finden Sie unter [AWS WAF Regelgruppe Betrugsprävention (ACFP) zur Kontoerstellung bei der Betrugsbekämpfung](aws-managed-rule-groups-acfp.md).
Um den Benutzer darüber zu informieren, dass die von ihm angegebenen Kontoanmeldeinformationen kompromittiert wurden, können Sie wie folgt vorgehen:
+ **`SignalCredentialCompromised`Regel überschreiben auf Count** — Dadurch zählt und kennzeichnet die Regel nur übereinstimmende Anfragen.
+ **Fügen Sie eine Label-Abgleichsregel mit benutzerdefinierter Behandlung** hinzu — Konfigurieren Sie diese Regel so, dass sie mit dem ACFP-Label übereinstimmt und Ihre benutzerdefinierte Behandlung durchführt.
Die folgenden Auflistungen des Protection Packs (Web-ACL) zeigen die von ACFP verwaltete Regelgruppe aus dem vorherigen Beispiel, wobei die `SignalCredentialCompromised` Regelaktion auf Anzahl überschrieben wurde. Wenn diese Regelgruppe bei dieser Konfiguration jede Webanfrage auswertet, die kompromittierte Anmeldeinformationen verwendet, kennzeichnet sie die Anfrage, blockiert sie jedoch nicht.
Darüber hinaus enthält das Schutzpaket (Web-ACL) jetzt eine benutzerdefinierte Antwort mit dem Namen `aws-waf-credential-compromised` und eine neue Regel mit dem Namen. `AccountSignupCompromisedCredentialsHandling` Bei der Regelpriorität handelt es sich um eine höhere numerische Einstellung als bei der Regelgruppe. Sie wird also nach der Auswertung der Regelgruppe im Schutzpaket (Web-ACL) ausgeführt. Die neue Regel gleicht alle Anfragen ab, die das Label „Kompromittierte Anmeldeinformationen“ der Regelgruppe aufweisen. Wenn die Regel eine Übereinstimmung findet, wendet sie die Block Aktion auf die Anfrage mit dem benutzerdefinierten Antworttext an. Der benutzerdefinierte Antworttext informiert den Endbenutzer darüber, dass seine Anmeldeinformationen kompromittiert wurden, und schlägt eine zu ergreifende Maßnahme vor.
```
{
"Name": "compromisedCreds",
"Id": "... ",
"ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesACFPRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesACFPRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesACFPRuleSet": {
"CreationPath": "/web/signup/submit-registration",
"RegistrationPagePath": "/web/signup/registration",
"RequestInspection": {
"PayloadType": "JSON",
"UsernameField": {
"Identifier": "/form/username"
},
"PasswordField": {
"Identifier": "/form/password"
},
"EmailField": {
"Identifier": "/form/email"
},
"PhoneNumberFields": [
{
"Identifier": "/form/country-code"
},
{
"Identifier": "/form/region-code"
},
{
"Identifier": "/form/phonenumber"
}
],
"AddressFields": [
{
"Identifier": "/form/name"
},
{
"Identifier": "/form/street-address"
},
{
"Identifier": "/form/city"
},
{
"Identifier": "/form/state"
},
{
"Identifier": "/form/zipcode"
}
]
},
"EnableRegexInPath": false
}
}
],
"RuleActionOverrides": [
{
"Name": "SignalCredentialCompromised",
"ActionToUse": {
"Count": {}
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesACFPRuleSet"
}
},
{
"Name": "AccountSignupCompromisedCredentialsHandling",
"Priority": 1,
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
}
},
"Action": {
"Block": {
"CustomResponse": {
"ResponseCode": 406,
"CustomResponseBodyKey": "aws-waf-credential-compromised",
"ResponseHeaders": [
{
"Name": "aws-waf-credential-compromised",
"Value": "true"
}
]
}
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AccountSignupCompromisedCredentialsHandling"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "compromisedCreds"
},
"Capacity": 51,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
"CustomResponseBodies": {
"aws-waf-credential-compromised": {
"ContentType": "APPLICATION_JSON",
"Content": "{\n \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
}
}
}
```
# ACFP-Beispiel: Konfiguration der Reaktionsinspektion
Die folgende JSON-Liste zeigt ein Beispiel für ein Schutzpaket (Web-ACL) mit einer von AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) verwalteten Regelgruppe, die so konfiguriert ist, dass sie die ursprünglichen Antworten überprüft. Beachten Sie die Konfiguration der Antwortprüfung, in der die Erfolgs- und Antwortstatuscodes angegeben sind. Sie können Erfolgs- und Antworteinstellungen auch auf der Grundlage von JSON-Übereinstimmungen in Header, Body und Body konfigurieren. Dieses JSON enthält die automatisch generierten Einstellungen des Schutzpakets (Web-ACL), wie den Label-Namespace und die URL zur Anwendungsintegration des Schutzpakets (Web-ACL).
**Anmerkung**
Die ATP-Antwortprüfung ist nur in Schutzpaketen (Web ACLs) verfügbar, die CloudFront Distributionen schützen.
```
{
"Name": "simpleACFP",
"Id": "... ",
"ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesACFPRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesACFPRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesACFPRuleSet": {
"CreationPath": "/web/signup/submit-registration",
"RegistrationPagePath": "/web/signup/registration",
"RequestInspection": {
"PayloadType": "JSON",
"UsernameField": {
"Identifier": "/form/username"
},
"PasswordField": {
"Identifier": "/form/password"
},
"EmailField": {
"Identifier": "/form/email"
},
"PhoneNumberFields": [
{
"Identifier": "/form/country-code"
},
{
"Identifier": "/form/region-code"
},
{
"Identifier": "/form/phonenumber"
}
],
"AddressFields": [
{
"Identifier": "/form/name"
},
{
"Identifier": "/form/street-address"
},
{
"Identifier": "/form/city"
},
{
"Identifier": "/form/state"
},
{
"Identifier": "/form/zipcode"
}
]
},
"ResponseInspection": {
"StatusCode": {
"SuccessCodes": [
200
],
"FailureCodes": [
401
]
}
},
"EnableRegexInPath": false
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesACFPRuleSet"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "simpleACFP"
},
"Capacity": 50,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```