AWS WAF ACFP コンポーネント - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF ACFP コンポーネント

AWS WAF Fraud Control Account Creation Fraud Prevention (ACFP) の主なコンポーネントは次のとおりです。

  • AWSManagedRulesACFPRuleSet – この AWS マネージドルールルールグループのルールは、さまざまなタイプの不正なアカウント作成アクティビティを検出、ラベル付け、処理します。ルールグループは、指定されたアカウント登録エンドポイントにクライアントが送信する HTTP GET テキスト/HTML リクエストと、指定されたアカウントサインアップエンドポイントにクライアントが送信する POST ウェブリクエストを検査します。保護された CloudFront ディストリビューションでは、ルールグループはディストリビューションがアカウント作成リクエストに送り返すレスポンスも検査します。このルールグループのルールのリストについては、「AWS WAF Fraud Control アカウント作成不正防止 (ACFP) ルールグループ」を参照してください。マネージドルールグループ参照ステートメントを使用して、このルールグループを保護パックまたはウェブ ACL に含めます。このルールグループの使用については、「ACFP マネージドルールグループをウェブ ACL に追加」を参照してください。

    注記

    このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金」を参照してください。

  • アプリケーションのアカウント登録および作成ページの詳細AWSManagedRulesACFPRuleSetルールグループを保護パックまたはウェブ ACL に追加するときは、アカウント登録および作成ページに関する情報を入力する必要があります。これにより、ルールグループは検査するリクエストの範囲を絞り込み、アカウント作成ウェブリクエストを適切に検証できます。登録ページは GET テキスト/HTML リクエストを受け入れる必要があります。アカウント作成パスは POST リクエストを受け入れる必要があります。ACFP ルールグループは、電子メール形式のユーザー名に対応します。詳細については、「ACFP マネージドルールグループをウェブ ACL に追加」を参照してください。

  • (保護された CloudFront ディストリビューションの場合) アカウント作成の試みに対するアプリケーションのレスポンスに関する詳細 – アカウント作成の試みに対するアプリケーションのレスポンスに関する詳細を提供すると、ACFP ルールグループは、単一の IP アドレスまたは単一のクライアントセッションからのアカウントの一括作成の試みを追跡および管理します。このオプションの設定については、「ACFP マネージドルールグループをウェブ ACL に追加」を参照してください。

  • JavaScript とモバイルアプリケーションの統合 SDKs – ACFP 実装で AWS WAF JavaScript とモバイル SDKs を実装して、ルールグループが提供する機能の完全なセットを有効にします。ACFP ルールの多くは、セッションレベルのクライアント検証および動作集約に SDK から提供された情報を使用し、正規のクライアントトラフィックをボットトラフィックから分離するために必要です。SDK の詳細については、「でのクライアントアプリケーション統合 AWS WAF」を参照してください。

ACFP 実装を次と組み合わせて、保護のモニタリング、チューニング、およびカスタマイズに役立てることができます。

  • ログ記録とメトリクス – ログ、Amazon Security Lake データ収集、保護パックまたはウェブ ACL の Amazon CloudWatch メトリクスを設定して有効にすることで、トラフィックをモニタリングし、ACFP マネージドルールグループがトラフィックに与える影響を理解できます。AWSManagedRulesACFPRuleSet がウェブリクエストに追加するラベルは、データに含まれます。オプションの詳細については、ログ記録 AWS WAF 保護パックまたはウェブ ACL トラフィックAmazon CloudWatch によるモニタリング、及び「What is Amazon Security Lake?」を参照してください。

    ニーズと確認できるトラフィックに応じて、AWSManagedRulesACFPRuleSet の実装をカスタマイズできます。例えば、ACFP 評価から一部のトラフィックを除外したり、スコープダウンステートメントやラベルマッチングルールなどの AWS WAF 機能を使用して、識別したアカウント作成の不正試行の処理方法を変更したりできます。

  • ラベルとラベル一致ルールAWSManagedRulesACFPRuleSet のどのルールでも、ブロック動作をカウントに切り替えて、ルールによって追加されたラベルと照合することができます。このアプローチを使用し、ACFP マネージドルールグループによって識別されるウェブリクエストの処理方法をカスタマイズします。ラベル付けおよびラベル一致ステートメントの使用の詳細については、「ラベル一致ルールステートメント」および「でのウェブリクエストのラベル付け AWS WAF」を参照してください。

  • カスタムリクエストとレスポンス - 許可するリクエストにはカスタムヘッダーを追加し、ブロックするリクエストにはカスタムレスポンスを送信できます。これを行うには、ラベル一致を AWS WAF カスタムリクエストおよび応答機能とペアリングします。リクエストとレスポンスをカスタマイズする方法については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。