

**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ATP マネージドルールグループを保護パック (ウェブ ACL) に追加
<a name="waf-atp-rg-using"></a>

このセクションでは、`AWSManagedRulesATPRuleSet` ルールグループを追加および設定する方法について説明します。

ウェブトラフィックのアカウント乗っ取りアクティビティを認識するように ATP マネージドルールグループを設定するには、アプリケーションにログインリクエストを送信する方法に関する情報をクライアントで指定します。保護された Amazon CloudFront ディストリビューションでは、ログインリクエストに対するアプリケーションの応答方法に関する情報も指定します。この設定は、マネージドルールグループの通常の設定に追加されます。

ルールグループの説明とルールリストについては、「[AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md)」を参照してください。

**注記**  
盗まれた認証情報の ATP データベースには、E メール形式のユーザー名のみが含まれています。

このガイダンスは、 AWS WAF 保護パック (ウェブ ACL)、ルール、およびルールグループを作成および管理する方法を一般的に認識しているユーザーを対象としています。これらのトピックは、このガイドの前のセクションでカバーされています。マネージドルールグループを保護パック (ウェブ ACL) に追加する方法の基本については、「[コンソールを通じた保護パック (ウェブ ACL) へのマネージドルールグループの追加](waf-using-managed-rule-group.md)」を参照してください。

**ベストプラクティスに従う**  
ATP ルールグループは、「[でのインテリジェントな脅威軽減のベストプラクティス AWS WAF](waf-managed-protections-best-practices.md)」に記載されているベストプラクティスに従って使用してください。

**保護パック (ウェブ ACL) で `AWSManagedRulesATPRuleSet` ルールグループを使用するには**

1.  AWS マネージドルールグループを保護パック (ウェブ ACL) `AWSManagedRulesATPRuleSet`に追加し、保存する前にルールグループ設定**を編集**します。
**注記**  
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。

1. **[ルールグループを設定]** ペインで、ATP ルールグループがログインリクエストの検査に使用する情報を入力します。

   1. **「パスで正規表現を使用する**」で、ログインページパスの仕様に合わせて正規表現マッチング AWS WAF を実行する場合は、これをオンにします。

      AWS WAF は、いくつかの例外`libpcre`を除いて、PCRE ライブラリで使用されるパターン構文をサポートします。ライブラリは、「[PCRE - Perl Compatible Regular Expressions](http://www.pcre.org/)」で文書化されています。 AWS WAF サポートの詳細については、「」を参照してください[でサポートされている正規表現構文 AWS WAF](waf-regex-pattern-support.md)。

   1. **[Login path]** (ログインパス) で、アプリケーションのログインエンドポイントのパスを指定します。ルールグループは、指定されたログインエンドポイントに対する HTTP `POST` リクエストのみを検査します。
**注記**  
エンドポイントの照会では大文字と小文字が区別されません｡ 正規表現の仕様には、大文字と小文字を区別しない照合を無効にするフラグ `(?-i)` を含めてはいけません。文字列の指定はフォワードスラッシュ「`/`」で始まる必要があります。

      例えば、URL `https://example.com/web/login` では、文字列パスの指定「`/web/login`」を指定できます。指定したパスで始まるログインパスは一致と見なされます。例えば、`/web/login` はログインパス `/web/login`、`/web/login/`、`/web/loginPage`、および `/web/login/thisPage` に一致しますが、ログインパス `/home/web/login` または `/website/login` には一致しません。

   1. **[リクエスト検査]** で、リクエストのペイロードタイプと、ユーザー名とパスワードが指定されているリクエスト本文内のフィールドの名前を指定して、アプリケーションがログイン試行を受け入れる方法を指定します。これらのフィールド名の指定は、ペイロードタイプによって異なります。
      + **JSON ペイロードタイプ** – JSON Pointer 構文でフィールド名を指定します。JSON Pointer 構文の詳細については、インターネットエンジニアリングタスクフォース (IETF) ドキュメントの「[JavaScript Object Notation (JSON) Pointer](https://tools.ietf.org/html/rfc6901)」を参照してください。

        例えば、次の JSON ペイロードの例では、ユーザー名フィールドの指定は `/login/username` で、パスワードフィールドの指定は `/login/password` です。

        ```
        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }
        ```
      + **FORM\$1ENCODED ペイロードタイプ** – HTML 形式の名前を使用します。

        例えば、`username1` と `password1` という名前の入力要素を持つ HTML フォームの場合、ユーザー名フィールドの指定は `username1` で、パスワードフィールドの指定は `password1` です。

   1. Amazon CloudFront ディストリビューションが保護されている場合、**[レスポンス検査]** で、アプリケーションがログイン試行に対する応答で成功や失敗をどのように示すかを指定します。
**注記**  
ATP レスポンス検査は、CloudFront ディストリビューションが保護されている保護パック (ウェブ ACL) でのみ使用できます。

      ATP で検査するログインレスポンスのコンポーネントを 1 つ指定します。**本文**および **JSON** コンポーネントタイプの場合、 AWS WAF はコンポーネントの最初の 65,536 バイト (64 KB) を検査できます。

      インターフェイスに示されているように、コンポーネントタイプの検査基準を指定します。コンポーネント内で検査する成功基準と失敗基準の両方を指定する必要があります。

      例えば、アプリケーションがログイン試行のステータスを応答のステータスコードで示し、成功の場合は「`200 OK`」、失敗の場合は「`401 Unauthorized`」または「`403 Forbidden`」を使用するとします。レスポンス検査の **[コンポーネントタイプ]** を **[ステータスコード]** に設定し、**[成功]** テキストボックスに「`200`」と入力し、**[失敗]** テキストボックスの 1 行目に「`401`」、2 行目に「`403`」と入力します。

      ATP ルールグループは、成功または失敗の検査基準に一致する応答のみをカウントします。ルールグループのルールは、カウントされた応答の失敗率が過度に高いクライアントに適用されます。ルールグループのルールが正確に動作するように、ログイン試行の成功と失敗の両方に関する詳細な情報を必ず入力してください。

      ログインレスポンスを検査するルールを確認するには、「[AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) ルールグループ](aws-managed-rule-groups-atp.md)」のルールリストで `VolumetricIpFailedLoginResponseHigh` と `VolumetricSessionFailedLoginResponseHigh` を探します。

1. ルールグループに必要な追加設定を指定します。

   マネージドルールグループステートメントにスコープダウンステートメントを追加することで、ルールグループが検査するリクエストの範囲をさらに限定できます。例えば、特定のクエリ引数または cookie を持つリクエストのみを検査できます。ルールグループは、スコープダウンステートメントの基準に一致する、指定したログインエンドポイントへの HTTP `POST` リクエストのみを検査します。スコープダウンステートメントの詳細については、「[でのスコープダウンステートメントの使用 AWS WAF](waf-rule-scope-down-statements.md)」を参照してください。

1. 変更を保護パック (ウェブ ACL) に保存します。

本番稼働トラフィックに ATP 実装をデプロイする前に、トラフィックへの潜在的な影響に慣れるまで、ステージング環境またはテスト環境でテストおよびチューニングします。その後、ルールを有効にする前に、本番稼働用トラフィックでカウントモードでルールをテストしてチューニングします。ガイダンスについては、次のセクションを参照してください。