**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS WAF Fraud Control creazione di account e prevenzione delle frodi (ACFP)
Questa sezione spiega cosa fa la prevenzione AWS WAF delle frodi (ACFP) per la creazione di account Fraud Control.
La frode nella creazione di account è un'attività illegale online in cui un utente malintenzionato cerca di creare uno o più account falsi. Gli aggressori utilizzano account falsi per attività fraudolente come l'abuso di bonus promozionali e di iscrizione, l'impersonificazione di qualcuno e attacchi informatici come il phishing. La presenza di account falsi può avere un impatto negativo sulla vostra attività, danneggiando la vostra reputazione presso i clienti ed esponendovi a frodi finanziarie.
Puoi monitorare e controllare i tentativi di frode nella creazione di account implementando la funzione ACFP. AWS WAF offre questa funzionalità nel gruppo di regole AWS Managed Rules `AWSManagedRulesACFPRuleSet` con l'integrazione di applicazioni complementari. SDKs
Il gruppo di regole gestito ACFP etichetta e gestisce le richieste che potrebbero far parte di tentativi malevoli di creazione di account. Il gruppo di regole esegue questa operazione esaminando i tentativi di creazione di account che i client inviano all'endpoint di registrazione dell'account dell'applicazione.
ACFP protegge le pagine di registrazione dell'account monitorando le richieste di iscrizione all'account per rilevare eventuali attività anomale e bloccando automaticamente le richieste sospette. Il gruppo di regole utilizza identificatori di richiesta, analisi comportamentale e apprendimento automatico per rilevare richieste fraudolente.
+ **Richiedi un'ispezione**: ACFP ti offre visibilità e controllo sui tentativi anomali di creazione di account e sui tentativi che utilizzano credenziali rubate, per prevenire la creazione di account fraudolenti. ACFP controlla le combinazioni di e-mail e password confrontandole con il suo database di credenziali rubate, che viene aggiornato regolarmente man mano che nuove credenziali trapelate vengono trovate sul dark web. ACFP valuta i domini utilizzati negli indirizzi e-mail e monitora l'uso dei numeri di telefono e dei campi degli indirizzi per verificare le immissioni e rilevare comportamenti fraudolenti. ACFP aggrega i dati per indirizzo IP e sessione client, per rilevare e bloccare i client che inviano troppe richieste di natura sospetta.
+ **Ispezione delle risposte**: per CloudFront le distribuzioni, oltre a controllare le richieste di creazione di account in entrata, il gruppo di regole ACFP controlla le risposte dell'applicazione ai tentativi di creazione di account, per tenere traccia delle percentuali di successo e fallimento. Utilizzando queste informazioni, ACFP può bloccare temporaneamente le sessioni client o gli indirizzi IP con troppi tentativi falliti. AWS WAF esegue l'ispezione della risposta in modo asincrono, in modo da non aumentare la latenza del traffico web.
**Nota**
Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/).
**Nota**
La funzionalità ACFP non è disponibile per i pool di utenti di Amazon Cognito.
**Topics**
+ [AWS WAF Componenti ACFP](waf-acfp-components.md)
+ [Utilizzo dell'integrazione delle applicazioni SDKs con ACFP](waf-acfp-with-tokens.md)
+ [Aggiungere il gruppo di regole gestite ACFP all'ACL Web](waf-acfp-rg-using.md)
+ [Test e implementazione di ACFP](waf-acfp-deploying.md)
+ [AWS WAF Esempi di prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](waf-acfp-control-examples.md)
# AWS WAF Componenti ACFP
I componenti principali della prevenzione delle AWS WAF frodi (ACFP) per la creazione di account Fraud Control sono i seguenti:
+ **`AWSManagedRulesACFPRuleSet`**— Le regole di questo gruppo di regole AWS Managed Rules rilevano, etichettano e gestiscono vari tipi di attività fraudolente di creazione di account. Il gruppo di regole controlla le `GET` text/html richieste HTTP che i client inviano all'endpoint di registrazione dell'account specificato e le richieste `POST` web che i client inviano all'endpoint di registrazione dell'account specificato. Per CloudFront le distribuzioni protette, il gruppo di regole controlla anche le risposte che la distribuzione invia alle richieste di creazione di account. Per un elenco delle regole di questo gruppo di regole, vedi. [AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](aws-managed-rule-groups-acfp.md) Questo gruppo di regole viene incluso nel pacchetto di protezione (Web ACL) utilizzando una dichiarazione di riferimento per un gruppo di regole gestito. Per informazioni sull'utilizzo di questo gruppo di regole, vedere[Aggiungere il gruppo di regole gestite ACFP all'ACL Web](waf-acfp-rg-using.md).
**Nota**
Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/).
+ **Dettagli sulle pagine di registrazione e creazione dell'account dell'applicazione**: è necessario fornire informazioni sulle pagine di registrazione e creazione dell'account quando si aggiunge il gruppo di `AWSManagedRulesACFPRuleSet` regole al pacchetto di protezione (ACL Web). Ciò consente al gruppo di regole di restringere l'ambito delle richieste esaminate e di convalidare correttamente le richieste web di creazione di account. La pagina di registrazione deve accettare `GET` text/html le richieste. Il percorso di creazione dell'account deve accettare `POST` le richieste. Il gruppo di regole ACFP funziona con nomi utente in formato e-mail. Per ulteriori informazioni, consulta [Aggiungere il gruppo di regole gestite ACFP all'ACL Web](waf-acfp-rg-using.md).
+ **Per CloudFront le distribuzioni protette, dettagli su come l'applicazione risponde ai tentativi di creazione di account: fornisci dettagli sulle risposte dell'applicazione ai tentativi** di creazione di account e il gruppo di regole ACFP tiene traccia e gestisce i tentativi di creazione di account in blocco da un singolo indirizzo IP o da una singola sessione client. Per informazioni sulla configurazione di questa opzione, vedere. [Aggiungere il gruppo di regole gestite ACFP all'ACL Web](waf-acfp-rg-using.md)
+ **JavaScript e integrazione di applicazioni mobili SDKs**: implementa AWS WAF JavaScript and mobile SDKs con la tua implementazione ACFP per abilitare l'intero set di funzionalità offerte dal gruppo di regole. Molte delle regole ACFP utilizzano le informazioni fornite dal client SDKs per la verifica del client a livello di sessione e l'aggregazione del comportamento, necessarie per separare il traffico legittimo dei client dal traffico dei bot. Per ulteriori informazioni su, vedere. SDKs [Integrazioni di applicazioni client in AWS WAF](waf-application-integration.md)
Puoi combinare la tua implementazione ACFP con la seguente per aiutarti a monitorare, ottimizzare e personalizzare le tue protezioni.
+ **Registrazione e metriche**: puoi monitorare il traffico e capire in che modo il gruppo di regole gestite ACFP influisce su di esso configurando e abilitando i log, la raccolta di dati di Amazon Security Lake e i CloudWatch parametri Amazon per il tuo pacchetto di protezione (web ACL). Le etichette che vengono `AWSManagedRulesACFPRuleSet` aggiunte alle tue richieste web sono incluse nei dati. Per informazioni sulle opzioni, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md)[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md), e [Cos'è Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
A seconda delle tue esigenze e del traffico che vedi, potresti voler personalizzare `AWSManagedRulesACFPRuleSet` l'implementazione. Ad esempio, potresti voler escludere parte del traffico dalla valutazione ACFP o modificare il modo in cui gestisce alcuni dei tentativi di frode alla creazione di account che identifica, utilizzando AWS WAF funzionalità come le dichiarazioni mirate o le regole di abbinamento delle etichette.
+ **Etichette e regole di abbinamento delle etichette**: per tutte le regole incluse`AWSManagedRulesACFPRuleSet`, puoi impostare il comportamento di blocco in base al conteggio e quindi confrontarle con le etichette aggiunte dalle regole. Utilizza questo approccio per personalizzare il modo in cui gestisci le richieste Web identificate dal gruppo di regole gestito ACFP. Per ulteriori informazioni sull'etichettatura e sull'utilizzo delle istruzioni label match, consulta e. [Dichiarazione della regola di corrispondenza delle etichette](waf-rule-statement-type-label-match.md) [Etichettatura delle richieste Web in AWS WAF](waf-labels.md)
+ **Richieste e risposte personalizzate**: puoi aggiungere intestazioni personalizzate alle richieste consentite e inviare risposte personalizzate per le richieste che blocchi. Per fare ciò, abbini l'etichetta alle funzionalità AWS WAF personalizzate di richiesta e risposta. Per ulteriori informazioni sulla personalizzazione delle richieste e delle risposte, consulta[Richieste e risposte web personalizzate in AWS WAF](waf-custom-request-response.md).
# Utilizzo dell'integrazione delle applicazioni SDKs con ACFP
Consigliamo vivamente di implementare l'integrazione delle applicazioni SDKs, per un uso più efficiente del gruppo di regole ACFP.
+ **Funzionalità completa del gruppo di regole**: la regola ACFP funziona `SignalClientHumanInteractivityAbsentLow` solo con i token popolati dalle integrazioni dell'applicazione. Questa regola rileva e gestisce l'interattività umana anomala con la pagina dell'applicazione. L'integrazione dell'applicazione SDKs è in grado di rilevare la normale interattività umana tramite movimenti del mouse, pressioni di tasti e altre misurazioni. Gli interstitial inviati dalla regola si attivano CAPTCHA e non Challenge possono fornire questo tipo di dati.
+ **Latenza ridotta: la** regola del gruppo di regole `AllRequests` applica l'azione della Challenge regola a qualsiasi richiesta che non abbia già un token di sfida. Quando ciò accade, la richiesta viene valutata dal gruppo di regole due volte: una volta senza il token e poi una seconda volta dopo l'acquisizione del token tramite l'Challengeazione interstitial. Non ti viene addebitato alcun costo aggiuntivo per il solo utilizzo della `AllRequests` regola, ma questo approccio aumenta il sovraccarico del traffico web e aggiunge latenza all'esperienza dell'utente finale. Se acquisite il token lato client utilizzando le integrazioni dell'applicazione, prima di inviare la richiesta di creazione dell'account, il gruppo di regole ACFP valuta la richiesta una sola volta.
Per ulteriori informazioni sulle funzionalità dei gruppi di regole, vedere. [AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](aws-managed-rule-groups-acfp.md)
Per informazioni su SDKs, vedere[Integrazioni di applicazioni client in AWS WAF](waf-application-integration.md). Per informazioni sui AWS WAF token, vedere[Uso dei token nella mitigazione AWS WAF intelligente delle minacce](waf-tokens.md). Per informazioni sulle azioni delle regole, vedere[CAPTCHAe Challenge in AWS WAF](waf-captcha-and-challenge.md).
# Aggiungere il gruppo di regole gestite ACFP all'ACL Web
Questa sezione spiega come aggiungere e configurare il gruppo di `AWSManagedRulesACFPRuleSet` regole.
Per configurare il gruppo di regole gestito da ACFP in modo da riconoscere le attività fraudolente legate alla creazione di account nel traffico web, devi fornire informazioni su come i clienti accedono alla tua pagina di registrazione e inviano le richieste di creazione di account all'applicazione. Per CloudFront le distribuzioni Amazon protette, fornisci anche informazioni su come la tua applicazione risponde alle richieste di creazione di account. Questa configurazione si aggiunge alla normale configurazione per un gruppo di regole gestito.
Per la descrizione del gruppo di regole e l'elenco delle regole, vedere[AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](aws-managed-rule-groups-acfp.md).
**Nota**
Il database delle credenziali rubate ACFP contiene solo nomi utente in formato e-mail.
Questa guida è destinata agli utenti che sanno in generale come creare e gestire pacchetti di AWS WAF protezione (Web ACLs), regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida. Per informazioni di base su come aggiungere un gruppo di regole gestito al pacchetto di protezione (Web ACL), vedere[Aggiungere un gruppo di regole gestito a un pacchetto di protezione (ACL Web) tramite la console](waf-using-managed-rule-group.md).
**Segui le migliori pratiche**
Utilizza il gruppo di regole ACFP in conformità con le migliori pratiche disponibili in. [Le migliori pratiche per la mitigazione intelligente delle minacce in AWS WAF](waf-managed-protections-best-practices.md)
**Per utilizzare il gruppo di `AWSManagedRulesACFPRuleSet` regole nel pacchetto di protezione (Web ACL)**
1. Aggiungi il gruppo di regole AWS gestito `AWSManagedRulesACFPRuleSet` al tuo pacchetto di protezione (Web ACL) e **modifica** le impostazioni del gruppo di regole prima di salvare.
**Nota**
Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/).
1. Nel riquadro di **configurazione del gruppo di regole**, fornisci le informazioni che il gruppo di regole ACFP utilizza per esaminare le richieste di creazione di account.
1. Per **Usa l'espressione regolare nei percorsi**, attiva questa opzione se desideri eseguire la corrispondenza delle espressioni regolari AWS WAF per le specifiche del percorso della pagina di registrazione e creazione dell'account.
AWS WAF supporta la sintassi del pattern utilizzata dalla libreria `libpcre` PCRE con alcune eccezioni. La libreria è documentata in [PCRE -](http://www.pcre.org/) Perl Compatible Regular Expressions. Per informazioni sul AWS WAF supporto, vedere. [Sintassi delle espressioni regolari supportata in AWS WAF](waf-regex-pattern-support.md)
1. Per il **percorso della pagina di registrazione**, fornisci il percorso dell'endpoint della pagina di registrazione per la tua applicazione. Questa pagina deve accettare `GET` text/html le richieste. Il gruppo di regole esamina solo le `GET` text/html richieste HTTP verso l'endpoint della pagina di registrazione specificato.
**Nota**
La corrispondenza per gli endpoint non fa distinzione tra maiuscole e minuscole. Le specifiche Regex non devono contenere il flag`(?-i)`, che disabilita la corrispondenza senza distinzione tra maiuscole e minuscole. Le specifiche delle stringhe devono iniziare con una barra. `/`
Ad esempio, per l'URL`https://example.com/web/registration`, è possibile fornire la specifica `/web/registration` del percorso della stringa. I percorsi delle pagine di registrazione che iniziano con il percorso fornito vengono considerati corrispondenti. Ad esempio, `/web/registration` corrisponde ai percorsi di registrazione `/web/registration` `/web/registration/``/web/registrationPage`,, e`/web/registration/thisPage`, ma non corrisponde al percorso `/home/web/registration` o`/website/registration`.
**Nota**
Assicurati che gli utenti finali carichino la pagina di registrazione prima di inviare una richiesta di creazione di account. Questo aiuta a garantire che le richieste di creazione dell'account inviate dal client includano token validi.
1. Per il **percorso di creazione dell'account**, fornisci l'URI nel tuo sito Web che accetta i nuovi dati utente completati. Questo URI deve accettare `POST` le richieste.
**Nota**
La corrispondenza per gli endpoint non fa distinzione tra maiuscole e minuscole. Le specifiche Regex non devono contenere il flag`(?-i)`, che disabilita la corrispondenza senza distinzione tra maiuscole e minuscole. Le specifiche delle stringhe devono iniziare con una barra. `/`
Ad esempio, per l'URL`https://example.com/web/newaccount`, è possibile fornire la specifica `/web/newaccount` del percorso della stringa. I percorsi di creazione dell'account che iniziano con il percorso fornito sono considerati corrispondenti. Ad esempio, `/web/newaccount` corrisponde ai percorsi di creazione dell'account `/web/newaccount` `/web/newaccount/``/web/newaccountPage`,`/web/newaccount/thisPage`, e, ma non corrisponde al percorso `/home/web/newaccount` o`/website/newaccount`.
1. Per **Request inspection**, specifica in che modo l'applicazione accetta i tentativi di creazione dell'account fornendo il tipo di payload della richiesta e i nomi dei campi all'interno del corpo della richiesta in cui vengono forniti il nome utente, la password e altri dettagli per la creazione dell'account.
**Nota**
Per i campi dell'indirizzo principale e del numero di telefono, fornisci i campi nell'ordine in cui appaiono nel payload della richiesta.
La specificazione dei nomi dei campi dipende dal tipo di payload.
+ **Tipo di payload JSON**: specifica i nomi dei campi nella sintassi del puntatore JSON. [Per informazioni sulla sintassi JSON Pointer, consultate la documentazione di Internet Engineering Task Force (IETF) Object Notation (JSON) Pointer. JavaScript](https://tools.ietf.org/html/rfc6901)
Ad esempio, per l'esempio seguente JSON payload, la specifica del campo nome utente è `/signupform/username` e le specifiche del campo dell'indirizzo principale sono, e. `/signupform/addrp1` `/signupform/addrp2` `/signupform/addrp3`
```
{
"signupform": {
"username": "THE_USERNAME",
"password": "THE_PASSWORD",
"addrp1": "PRIMARY_ADDRESS_LINE_1",
"addrp2": "PRIMARY_ADDRESS_LINE_2",
"addrp3": "PRIMARY_ADDRESS_LINE_3",
"phonepcode": "PRIMARY_PHONE_CODE",
"phonepnumber": "PRIMARY_PHONE_NUMBER"
}
}
```
+ **Tipo di payload FORM\$1ENCODED**: utilizza i nomi dei moduli HTML.
Ad esempio, per un modulo HTML con elementi di immissione utente e password denominati `username1` e`password1`, la specifica del campo nome utente è `username1` e la specifica del campo password è. `password1`
1. Se stai proteggendo CloudFront le distribuzioni Amazon, sotto l'**ispezione Response**, specifica in che modo l'applicazione indica il successo o il fallimento nelle sue risposte ai tentativi di creazione di account.
**Nota**
L'ispezione della risposta ACFP è disponibile solo nei pacchetti di protezione (web ACLs) che proteggono le distribuzioni. CloudFront
Specificate un singolo componente nella risposta alla creazione dell'account che desiderate che ACFP controlli. Per i tipi di componenti **Body** e **JSON**, AWS WAF può ispezionare i primi 65.536 byte (64 KB) del componente.
Fornite i criteri di ispezione per il tipo di componente, come indicato dall'interfaccia. È necessario fornire i criteri di successo e di fallimento da ispezionare nel componente.
Ad esempio, supponiamo che l'applicazione indichi lo stato di un tentativo di creazione di un account nel codice di stato della risposta e lo utilizzi `200 OK` come esito positivo `401 Unauthorized` e/o `403 Forbidden` negativo. È necessario impostare il **tipo di componente** per l'ispezione della risposta su **Codice di stato**, quindi immettere nella casella di testo Operazione **riuscita** `200` e nella casella di testo **Errore** immettere `401` sulla prima riga e `403` sulla seconda.
Il gruppo di regole ACFP conta solo le risposte che soddisfano i criteri di ispezione con esito positivo o negativo. Le regole del gruppo di regole agiscono sui clienti quando hanno una percentuale di successo troppo alta tra le risposte conteggiate, al fine di mitigare i tentativi di creazione di account in massa. Per un comportamento accurato secondo le regole del gruppo di regole, assicurati di fornire informazioni complete sui tentativi di creazione di account riusciti e falliti.
Per vedere le regole che controllano le risposte relative alla creazione di account, cerca `VolumetricIPSuccessfulResponse` e `VolumetricSessionSuccessfulResponse` nell'elenco delle regole in[AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](aws-managed-rule-groups-acfp.md).
1. Fornisci qualsiasi configurazione aggiuntiva che desideri per il gruppo di regole.
È possibile limitare ulteriormente l'ambito delle richieste esaminate dal gruppo di regole aggiungendo un'istruzione scope-down all'istruzione del gruppo di regole gestito. Ad esempio, è possibile esaminare solo le richieste con un argomento di interrogazione o un cookie specifico. Il gruppo di regole esaminerà solo le richieste che corrispondono ai criteri dell'istruzione scope-down e che vengono inviate ai percorsi di registrazione e creazione dell'account specificati nella configurazione del gruppo di regole. Per informazioni sulle istruzioni scope-down, vedere. [Utilizzo di istruzioni scope-down in AWS WAF](waf-rule-scope-down-statements.md)
1. Salva le modifiche al pacchetto di protezione (Web ACL).
Prima di implementare l'implementazione ACFP per il traffico di produzione, testala e ottimizzala in un ambiente di staging o test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio con il traffico di produzione prima di abilitarle. Per informazioni, consulta la sezione che segue.
# Test e implementazione di ACFP
Questa sezione fornisce linee guida generali per la configurazione e il test di un'implementazione di prevenzione delle AWS WAF frodi (ACFP) per la creazione di account Fraud Control per il tuo sito. I passaggi specifici che scegli di seguire dipenderanno dalle tue esigenze, dalle risorse e dalle richieste web che ricevi.
Queste informazioni si aggiungono alle informazioni generali su test e ottimizzazione fornite all'indirizzo[Test e ottimizzazione delle protezioni AWS WAF](web-acl-testing.md).
**Nota**
AWS Le Managed Rules sono progettate per proteggerti dalle minacce web più comuni. Se utilizzati in conformità con la documentazione, i gruppi di regole AWS Managed Rules aggiungono un altro livello di sicurezza per le applicazioni. Tuttavia, i gruppi di regole AWS Managed Rules non sono intesi come sostituti delle responsabilità in materia di sicurezza, che sono determinate dalle AWS risorse selezionate. Fai riferimento al [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) per assicurarti che le tue risorse AWS siano adeguatamente protette.
**Rischio legato al traffico di produzione**
Prima di implementare l'implementazione ACFP per il traffico di produzione, testala e ottimizzala in un ambiente di staging o di test finché non ti senti a tuo agio con il potenziale impatto sul traffico. Quindi testa e ottimizza le regole in modalità di conteggio con il traffico di produzione prima di abilitarle.
AWS WAF fornisce credenziali di test che è possibile utilizzare per verificare la configurazione ACFP. Nella procedura seguente, configurerai un test protection pack (ACL web) per utilizzare il gruppo di regole gestito ACFP, configurerai una regola per acquisire l'etichetta aggiunta dal gruppo di regole e quindi eseguirai un tentativo di creazione di account utilizzando queste credenziali di test. Verificherai che il tuo pacchetto di protezione (Web ACL) abbia gestito correttamente il tentativo controllando i CloudWatch parametri di Amazon per il tentativo di creazione dell'account.
Questa guida è destinata agli utenti che sanno in generale come creare e gestire pacchetti di AWS WAF protezione (web ACLs), regole e gruppi di regole. Questi argomenti sono trattati nelle sezioni precedenti di questa guida.
**Per configurare e testare un'implementazione della prevenzione AWS WAF delle frodi (ACFP) per la creazione di un account Fraud Control**
Esegui questi passaggi prima in un ambiente di test, poi in produzione.
1.
**Aggiungi il gruppo AWS WAF di regole gestito per la prevenzione delle frodi (ACFP) per la creazione di account di Fraud Control in modalità count**
**Nota**
Quando utilizzi questo gruppo di regole gestito, ti vengono addebitati costi aggiuntivi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/).
Aggiungi il gruppo di regole AWS Managed Rules `AWSManagedRulesACFPRuleSet` a un pacchetto di protezione nuovo o esistente (Web ACL) e configuralo in modo che non alteri il comportamento del Protection Pack (Web ACL) corrente. Per informazioni dettagliate sulle regole e le etichette per questo gruppo di regole, consulta. [AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](aws-managed-rule-groups-acfp.md)
+ Quando aggiungi il gruppo di regole gestito, modificalo e procedi come segue:
+ Nel riquadro di **configurazione del gruppo di regole**, fornisci i dettagli delle pagine di registrazione e creazione dell'account dell'applicazione. Il gruppo di regole ACFP utilizza queste informazioni per monitorare le attività di accesso. Per ulteriori informazioni, consulta [Aggiungere il gruppo di regole gestite ACFP all'ACL Web](waf-acfp-rg-using.md).
+ Nel riquadro **Regole**, apri il menu a discesa **Sostituisci tutte le azioni delle regole** e scegli. **Count** Con questa configurazione, AWS WAF valuta le richieste in base a tutte le regole del gruppo di regole e conta solo le corrispondenze risultanti, pur continuando ad aggiungere etichette alle richieste. Per ulteriori informazioni, consulta [Sovrascrivere le azioni delle regole in un gruppo di regole](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).
Con questo override, è possibile monitorare il potenziale impatto delle regole gestite ACFP per determinare se aggiungere eccezioni, ad esempio eccezioni per casi d'uso interni.
+ Posiziona il gruppo di regole in modo che venga valutato in base alle regole esistenti nel protection pack (Web ACL), con un'impostazione di priorità numericamente superiore a qualsiasi regola o gruppo di regole che stai già utilizzando. Per ulteriori informazioni, consulta [Impostazione della priorità delle regole](web-acl-processing-order.md).
In questo modo, la tua attuale gestione del traffico non viene interrotta. Ad esempio, se hai regole che rilevano il traffico dannoso come SQL injection o cross-site scripting, continueranno a rilevarlo e registrarlo. In alternativa, se disponi di regole che consentono il traffico noto e non dannoso, queste possono continuare a consentire tale traffico senza che venga bloccato dal gruppo di regole gestito ACFP. Potresti decidere di modificare l'ordine di elaborazione durante le attività di test e ottimizzazione.
1.
**Implementa l'integrazione delle applicazioni SDKs**
Integra l' AWS WAF JavaScript SDK nei percorsi di registrazione e creazione dell'account del browser. AWS WAF fornisce anche dispositivi mobili SDKs per integrare dispositivi iOS e Android. Per ulteriori informazioni sull'integrazione SDKs, consulta[Integrazioni di applicazioni client in AWS WAF](waf-application-integration.md). Per informazioni su questa raccomandazione, vedere[Utilizzo dell'integrazione delle applicazioni SDKs con ACFP](waf-acfp-with-tokens.md).
**Nota**
Se non riesci a utilizzare l'integrazione dell'applicazione SDKs, puoi testare il gruppo di regole ACFP modificandolo nel tuo protection pack (ACL web) e rimuovendo l'override che hai inserito nella regola. `AllRequests` Ciò consente l'impostazione delle Challenge azioni della regola, per garantire che le richieste includano un token di sfida valido.
*Eseguite questa operazione prima in un ambiente di test e poi con grande attenzione nell'ambiente di produzione.* Questo approccio ha il potenziale di bloccare gli utenti. Ad esempio, se il percorso della pagina di registrazione non accetta `GET` text/html richieste, questa configurazione delle regole può bloccare efficacemente tutte le richieste nella pagina di registrazione.
1.
**Abilita la registrazione e le metriche per il pacchetto di protezione (Web ACL)**
Se necessario, configura la registrazione, la raccolta dei dati di Amazon Security Lake, il campionamento delle richieste e i CloudWatch parametri Amazon per il pacchetto di protezione (Web ACL). Puoi utilizzare questi strumenti di visibilità per monitorare l'interazione del gruppo di regole gestito ACFP con il tuo traffico.
+ Per ulteriori informazioni sulla registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).
+ Per informazioni su Amazon Security Lake, consulta [Cos'è Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Raccolta di dati dai AWS servizi](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) nella *guida per l'utente di Amazon Security Lake*.
+ Per informazioni sui CloudWatch parametri di Amazon, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).
+ Per informazioni sul campionamento delle richieste web, consulta. [Visualizzazione di un esempio di richieste Web](web-acl-testing-view-sample.md)
1.
**Associare il pacchetto di protezione (Web ACL) a una risorsa**
Se il protection pack (Web ACL) non è già associato a una risorsa di test, associalo. Per informazioni, consulta [Associare o dissociare la protezione a una risorsa AWS](web-acl-associating-aws-resource.md).
1.
**Monitora il traffico e la corrispondenza delle regole ACFP**
Assicurati che il traffico normale fluisca e che le regole del gruppo di regole gestite da ACFP aggiungano etichette alle richieste web corrispondenti. Puoi vedere le etichette nei log e vedere i parametri ACFP e delle etichette nei parametri di Amazon. CloudWatch Nei log, le regole che hai sostituito per conteggiare nel gruppo di regole vengono visualizzate nel comando `ruleGroupList` con `action` set to count e `overriddenAction` indicano l'azione della regola configurata che hai ignorato.
1.
**Verifica le funzionalità di controllo delle credenziali del gruppo di regole**
Esegui un tentativo di creazione di account utilizzando le credenziali di test compromised e verifica che il gruppo di regole corrisponda a tali credenziali come previsto.
1. Accedi alla pagina di registrazione dell'account della risorsa protetta e prova ad aggiungere un nuovo account. Usa la seguente coppia AWS WAF di credenziali di test e inserisci un test
+ Utente: `WAF_TEST_CREDENTIAL@wafexample.com`
+ Password: `WAF_TEST_CREDENTIAL_PASSWORD`
Queste credenziali di test sono classificate come credenziali compromesse e il gruppo di regole gestite ACFP aggiungerà l'`awswaf:managed:aws:acfp:signal:credential_compromised`etichetta alla richiesta di creazione dell'account, che puoi vedere nei log.
1. Nei log del Protection Pack (Web ACL), cerca l'`awswaf:managed:aws:acfp:signal:credential_compromised`etichetta nel `labels` campo delle voci di registro relative alla richiesta di creazione dell'account di prova. Per ulteriori informazioni sulla registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).
Dopo aver verificato che il gruppo di regole acquisisca le credenziali compromesse come previsto, puoi adottare le misure necessarie per configurarne l'implementazione in base alle tue esigenze per la risorsa protetta.
1.
**Per le CloudFront distribuzioni, verifica la gestione da parte del gruppo di regole dei tentativi di creazione di account in blocco**
Esegui questo test per ogni criterio di risposta riuscita configurato per il gruppo di regole ACFP. Attendi almeno 30 minuti tra un test e l'altro.
1. Per ogni criterio di successo, identifica nella risposta un tentativo di creazione di account che abbia successo in base a quel criterio di successo. Quindi, da una singola sessione client, esegui almeno 5 tentativi di creazione dell'account con successo in meno di 30 minuti. Un utente normalmente crea un solo account sul tuo sito.
Dopo la creazione del primo account avvenuta con successo, la `VolumetricSessionSuccessfulResponse` regola dovrebbe iniziare a corrispondere alle altre risposte alla creazione dell'account, etichettandole e conteggiandole in base all'azione sostituita dalla regola. La regola potrebbe non rispondere alla prima o due a causa della latenza.
1. Nei log del Protection Pack (Web ACL), cerca l'`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`etichetta nel `labels` campo delle voci di registro relative alle richieste web di creazione dell'account di prova. Per ulteriori informazioni sulla registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).
Questi test verificano che i criteri di successo corrispondano alle risposte, verificando che i conteggi di successo aggregati dalla regola superino la soglia della regola. Dopo aver raggiunto la soglia, se continui a inviare richieste di creazione di account dalla stessa sessione, la regola continuerà a corrispondere finché la percentuale di successo non scenderà al di sotto della soglia. Anche se la soglia viene superata, la regola corrisponde ai tentativi di creazione dell'account riusciti o falliti dall'indirizzo di sessione.
1.
**Personalizza la gestione delle richieste web ACFP**
Se necessario, aggiungi le tue regole che consentono o bloccano esplicitamente le richieste, per modificare il modo in cui le regole ACFP le gestirebbero altrimenti.
Ad esempio, puoi utilizzare le etichette ACFP per consentire o bloccare le richieste o per personalizzare la gestione delle richieste. È possibile aggiungere una regola di corrispondenza delle etichette dopo il gruppo di regole gestite ACFP per filtrare le richieste etichettate in base alla gestione che si desidera applicare. Dopo il test, mantieni le relative regole ACFP in modalità di conteggio e mantieni le decisioni sulla gestione delle richieste nella tua regola personalizzata. Per vedere un esempio, consulta [Esempio ACFP: risposta personalizzata per credenziali compromesse](waf-acfp-control-example-compromised-credentials.md).
1.
**Rimuovi le regole di test e abilita le impostazioni del gruppo di regole gestito ACFP**
A seconda della situazione, potresti aver deciso di lasciare alcune regole ACFP in modalità conteggio. Per le regole che desideri eseguire secondo la configurazione configurata all'interno del gruppo di regole, disabilita la modalità di conteggio nella configurazione del gruppo di regole del Protection Pack (Web ACL). Al termine del test, puoi anche rimuovere le regole di corrispondenza delle etichette di test.
1.
**Monitora e sintonizza**
Per assicurarti che le richieste web vengano gestite come desideri, monitora attentamente il traffico dopo aver abilitato la funzionalità ACFP che intendi utilizzare. Modificate il comportamento in base alle esigenze applicando le regole (rules count override) sul gruppo di regole e con le vostre regole.
Dopo aver terminato il test dell'implementazione del gruppo di regole ACFP, se non hai già integrato l' AWS WAF JavaScript SDK nelle pagine di registrazione e creazione dell'account del browser, ti consigliamo vivamente di farlo. AWS WAF fornisce anche dispositivi mobili SDKs per integrare dispositivi iOS e Android. Per ulteriori informazioni sull'integrazione SDKs, consulta[Integrazioni di applicazioni client in AWS WAF](waf-application-integration.md). Per informazioni su questa raccomandazione, vedere[Utilizzo dell'integrazione delle applicazioni SDKs con ACFP](waf-acfp-with-tokens.md).
# AWS WAF Esempi di prevenzione delle frodi (ACFP) per la creazione di account Fraud Control
Questa sezione mostra configurazioni di esempio che soddisfano i casi d'uso comuni per le implementazioni di prevenzione delle AWS WAF frodi (ACFP) per la creazione di account Fraud Control.
Ogni esempio fornisce una descrizione del caso d'uso e quindi mostra la soluzione negli elenchi JSON per le regole configurate personalizzate.
**Nota**
È possibile recuperare gli elenchi JSON come quelli mostrati in questi esempi tramite il download di JSON per console Protection Pack (Web ACL) o l'editor di regole JSON oppure tramite l'`getWebACL`operazione nell'interfaccia e nella APIs riga di comando.
**Topics**
+ [Esempio ACFP: configurazione semplice](waf-acfp-control-example-basic.md)
+ [Esempio ACFP: risposta personalizzata per credenziali compromesse](waf-acfp-control-example-compromised-credentials.md)
+ [Esempio ACFP: configurazione dell'ispezione della risposta](waf-acfp-control-example-response-inspection.md)
# Esempio ACFP: configurazione semplice
Il seguente elenco JSON mostra un esempio di pacchetto di protezione (Web ACL) con un gruppo di regole gestito per la prevenzione delle AWS WAF frodi per la creazione di account Fraud Control (ACFP). Prendi nota delle `RegistrationPagePath` configurazioni aggiuntive `CreationPath` e, oltre al tipo di payload e alle informazioni necessarie per individuare nuove informazioni sull'account nel payload, al fine di verificarlo. Il gruppo di regole utilizza queste informazioni per monitorare e gestire le richieste di creazione di account. Questo JSON include le impostazioni generate automaticamente dal protection pack (web ACL), come lo spazio dei nomi delle etichette e l'URL di integrazione dell'applicazione del protection pack (web ACL).
```
{
"Name": "simpleACFP",
"Id": "... ",
"ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesACFPRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesACFPRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesACFPRuleSet": {
"CreationPath": "/web/signup/submit-registration",
"RegistrationPagePath": "/web/signup/registration",
"RequestInspection": {
"PayloadType": "JSON",
"UsernameField": {
"Identifier": "/form/username"
},
"PasswordField": {
"Identifier": "/form/password"
},
"EmailField": {
"Identifier": "/form/email"
},
"PhoneNumberFields": [
{
"Identifier": "/form/country-code"
},
{
"Identifier": "/form/region-code"
},
{
"Identifier": "/form/phonenumber"
}
],
"AddressFields": [
{
"Identifier": "/form/name"
},
{
"Identifier": "/form/street-address"
},
{
"Identifier": "/form/city"
},
{
"Identifier": "/form/state"
},
{
"Identifier": "/form/zipcode"
}
]
},
"EnableRegexInPath": false
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesACFPRuleSet"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "simpleACFP"
},
"Capacity": 50,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```
# Esempio ACFP: risposta personalizzata per credenziali compromesse
Per impostazione predefinita, il controllo delle credenziali eseguito dal gruppo di regole `AWSManagedRulesACFPRuleSet` gestisce le credenziali compromesse etichettando la richiesta e bloccandola. Per informazioni dettagliate sul gruppo di regole e sul comportamento delle regole, consulta. [AWS WAF Gruppo di regole per la prevenzione delle frodi (ACFP) per la creazione di account Fraud Control](aws-managed-rule-groups-acfp.md)
Per informare l'utente che le credenziali dell'account che ha fornito sono state compromesse, puoi fare quanto segue:
+ **Sostituisci la `SignalCredentialCompromised` regola con Count**: in questo modo la regola conta ed etichetta solo le richieste corrispondenti.
+ **Aggiungi una regola di corrispondenza delle etichette con gestione personalizzata**: configura questa regola in modo che corrisponda all'etichetta ACFP e per eseguire la gestione personalizzata.
I seguenti elenchi dei pacchetti di protezione (Web ACL) mostrano il gruppo di regole gestite ACFP dell'esempio precedente, con l'azione della `SignalCredentialCompromised` regola sostituita dal conteggio. Con questa configurazione, quando questo gruppo di regole valuta qualsiasi richiesta Web che utilizza credenziali compromesse, etichetterà la richiesta, ma non la bloccherà.
Inoltre, il pacchetto di protezione (Web ACL) ora ha una risposta personalizzata denominata `aws-waf-credential-compromised` e una nuova regola denominata. `AccountSignupCompromisedCredentialsHandling` La priorità delle regole è un'impostazione numerica più elevata rispetto al gruppo di regole, quindi viene eseguita dopo il gruppo di regole nella valutazione del Protection Pack (Web ACL). La nuova regola corrisponde a qualsiasi richiesta con l'etichetta delle credenziali compromessa del gruppo di regole. Quando la regola trova una corrispondenza, applica l'Blockazione alla richiesta con il corpo della risposta personalizzato. Il corpo di risposta personalizzato fornisce informazioni all'utente finale che le sue credenziali sono state compromesse e propone un'azione da intraprendere.
```
{
"Name": "compromisedCreds",
"Id": "... ",
"ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesACFPRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesACFPRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesACFPRuleSet": {
"CreationPath": "/web/signup/submit-registration",
"RegistrationPagePath": "/web/signup/registration",
"RequestInspection": {
"PayloadType": "JSON",
"UsernameField": {
"Identifier": "/form/username"
},
"PasswordField": {
"Identifier": "/form/password"
},
"EmailField": {
"Identifier": "/form/email"
},
"PhoneNumberFields": [
{
"Identifier": "/form/country-code"
},
{
"Identifier": "/form/region-code"
},
{
"Identifier": "/form/phonenumber"
}
],
"AddressFields": [
{
"Identifier": "/form/name"
},
{
"Identifier": "/form/street-address"
},
{
"Identifier": "/form/city"
},
{
"Identifier": "/form/state"
},
{
"Identifier": "/form/zipcode"
}
]
},
"EnableRegexInPath": false
}
}
],
"RuleActionOverrides": [
{
"Name": "SignalCredentialCompromised",
"ActionToUse": {
"Count": {}
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesACFPRuleSet"
}
},
{
"Name": "AccountSignupCompromisedCredentialsHandling",
"Priority": 1,
"Statement": {
"LabelMatchStatement": {
"Scope": "LABEL",
"Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
}
},
"Action": {
"Block": {
"CustomResponse": {
"ResponseCode": 406,
"CustomResponseBodyKey": "aws-waf-credential-compromised",
"ResponseHeaders": [
{
"Name": "aws-waf-credential-compromised",
"Value": "true"
}
]
}
}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AccountSignupCompromisedCredentialsHandling"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "compromisedCreds"
},
"Capacity": 51,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
"CustomResponseBodies": {
"aws-waf-credential-compromised": {
"ContentType": "APPLICATION_JSON",
"Content": "{\n \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
}
}
}
```
# Esempio ACFP: configurazione dell'ispezione della risposta
Il seguente elenco JSON mostra un esempio di pacchetto di protezione (ACL web) con un gruppo di regole gestito per la prevenzione delle AWS WAF frodi per la creazione di account Fraud Control (ACFP) configurato per controllare le risposte di origine. Nota la configurazione dell'ispezione della risposta, che specifica i codici di esito positivo e dello stato della risposta. Puoi anche configurare le impostazioni di successo e risposta in base alle corrispondenze JSON di header, body e body. Questo codice JSON include le impostazioni generate automaticamente dal protection pack (web ACL), come lo spazio dei nomi delle etichette e l'URL di integrazione dell'applicazione del protection pack (web ACL).
**Nota**
L'ispezione della risposta ATP è disponibile solo nei pacchetti di protezione (web) che proteggono le distribuzioni. ACLs CloudFront
```
{
"Name": "simpleACFP",
"Id": "... ",
"ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
"DefaultAction": {
"Allow": {}
},
"Description": "",
"Rules": [
{
"Name": "AWS-AWSManagedRulesACFPRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesACFPRuleSet",
"ManagedRuleGroupConfigs": [
{
"AWSManagedRulesACFPRuleSet": {
"CreationPath": "/web/signup/submit-registration",
"RegistrationPagePath": "/web/signup/registration",
"RequestInspection": {
"PayloadType": "JSON",
"UsernameField": {
"Identifier": "/form/username"
},
"PasswordField": {
"Identifier": "/form/password"
},
"EmailField": {
"Identifier": "/form/email"
},
"PhoneNumberFields": [
{
"Identifier": "/form/country-code"
},
{
"Identifier": "/form/region-code"
},
{
"Identifier": "/form/phonenumber"
}
],
"AddressFields": [
{
"Identifier": "/form/name"
},
{
"Identifier": "/form/street-address"
},
{
"Identifier": "/form/city"
},
{
"Identifier": "/form/state"
},
{
"Identifier": "/form/zipcode"
}
]
},
"ResponseInspection": {
"StatusCode": {
"SuccessCodes": [
200
],
"FailureCodes": [
401
]
}
},
"EnableRegexInPath": false
}
}
]
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesACFPRuleSet"
}
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "simpleACFP"
},
"Capacity": 50,
"ManagedByFirewallManager": false,
"RetrofittedByFirewallManager": false,
"LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```