**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS WAF 사기 제어 계정 탈취 방지(ATP) 규칙 그룹
<a name="aws-managed-rule-groups-atp"></a>

이 섹션에서는 AWS WAF 사기 제어 계정 탈취 방지(ATP) 관리형 규칙 그룹의 기능에 대해 설명합니다.

VendorName: `AWS`, Name: `AWSManagedRulesATPRuleSet`, WCU: 50

**참고**  
이 설명서에서는이 관리형 규칙 그룹의 최신 정적 버전 릴리스를 다룹니다. 버전 변경을 [AWS 관리형 규칙 변경 로그](aws-managed-rule-groups-changelog.md)의 변경 로그에 보고합니다. 다른 버전에 대한 자세한 정보를 보려면 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)의 API 명령을 사용하세요.  
 AWS 관리형 규칙 규칙 그룹의 규칙에 대해 게시하는 정보는 악의적인 행위자에게 규칙을 우회하는 데 필요한 사항을 제공하지 않고 규칙을 사용하는 데 필요한 사항을 제공하기 위한 것입니다.  
여기서 내용 외에 더 많은 정보가 필요한 경우 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요.

 AWS WAF 사기 제어 계정 탈취 방지(ATP) 관리형 규칙 그룹은 악의적인 계정 탈취 시도의 일부일 수 있는 요청에 레이블을 지정하고 관리합니다. 규칙 그룹은 클라이언트가 애플리케이션의 로그인 엔드포인트로 보내는 로그인 시도를 검사하여 이 작업을 수행합니다.
+ **요청 검사** — ATP를 사용하면 비정상적인 로그인 시도 및 보안 인증 정보를 도용한 로그인 시도를 파악하고 제어할 수 있으므로 사기 행위로 이어질 수 있는 계정 탈취를 방지할 수 있습니다. ATP는 도용된 보안 인증 정보 데이터베이스에서 이메일과 암호 조합을 검사합니다. 이 데이터베이스는 유출된 보안 인증 정보가 다크 웹에서 발견될 때마다 정기적으로 업데이트됩니다. ATP는 IP 주소 및 클라이언트 세션별로 데이터를 집계하여 의심스러운 요청을 너무 많이 보내는 클라이언트를 탐지하고 차단합니다.
+ **응답 검사** — CloudFront 배포의 경우 ATP 규칙 그룹은 수신 로그인 요청을 검사하는 것 외에도 로그인 시도에 대한 애플리케이션의 응답을 검사하여 성공률과 실패율을 추적합니다. ATP는 이 정보를 사용하여 로그인 실패가 너무 많은 클라이언트 세션 또는 IP 주소를 일시적으로 차단할 수 있습니다. AWS WAF 는 응답 검사를 비동기적으로 수행하므로 이 작업으로 인해 웹 트래픽의 지연 시간이 증가하지 않습니다.

## 이 규칙 그룹 사용 시 고려 사항
<a name="aws-managed-rule-groups-atp-using"></a>

이 규칙 그룹에는 특정 구성이 필요합니다. 이 규칙 그룹을 구성하고 구현하려면 [AWS WAF 사기 제어 계정 탈취 방지(ATP)](waf-atp.md)의 지침을 참조하세요.

이 규칙 그룹은 AWS WAF에 지능형 위협 완화 보호의 일부로 포함됩니다. 자세한 내용은 [의 지능형 위협 완화 AWS WAF](waf-managed-protections.md) 단원을 참조하세요.

**참고**  
이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.

지속적으로 비용을 절감하고 웹 트래픽이 필요에 맞게 관리되도록 하려면 [의 지능형 위협 완화 모범 사례 AWS WAF](waf-managed-protections-best-practices.md)의 지침에 따라 이 규칙 그룹을 사용하십시오.

이 규칙 그룹은 Amazon Cognito 사용자 풀과 함께 사용할 수 없습니다. 이 규칙 그룹을 사용하는 보호 팩(웹 ACL)을 사용자 풀과 연결할 수 없으며, 이미 사용자 풀과 연결된 보호 팩(웹 ACL)에 이 규칙 그룹을 추가할 수 없습니다.

## 이 규칙 그룹에서 추가한 레이블
<a name="aws-managed-rule-groups-atp-labels"></a>

이 관리형 규칙 그룹은 평가하는 웹 요청에 레이블을 추가하는데, 이 레이블은 보호 팩(웹 ACL)에서 이 규칙 그룹 이후에 실행되는 규칙에 사용할 수 있습니다. AWS WAF 는 Amazon CloudWatch 지표에도 레이블을 기록합니다. 레이블 및 레이블 지표에 대한 일반적인 내용은 [웹 요청 레이블 지정](waf-labels.md) 및 [레이블 지표 및 차원](waf-metrics.md#waf-metrics-label) 섹션을 참조하세요.

### 토큰 레이블
<a name="aws-managed-rule-groups-atp-labels-token"></a>

이 규칙 그룹은 AWS WAF 토큰 관리를 사용하여 AWS WAF 토큰 상태에 따라 웹 요청을 검사하고 레이블을 지정합니다.는 클라이언트 세션 추적 및 확인을 위해 토큰을 AWS WAF 사용합니다.

토큰 및 토큰 관리에 대한 자세한 내용은 [AWS WAF 지능형 위협 완화에 토큰 사용](waf-tokens.md) 섹션을 참조하세요.

여기에 설명된 레이블 구성 요소에 대한 자세한 내용은 [의 레이블 구문 및 이름 지정 요구 사항 AWS WAF](waf-rule-label-requirements.md) 섹션을 참조하세요.

**클라이언트 세션 레이블**  
레이블에는 AWS WAF 토큰 관리가 클라이언트 세션을 식별하는 데 사용하는 고유 식별자가 `awswaf:managed:token:id:{{identifier}}` 포함되어 있습니다. 클라이언트가 새 토큰을 획득하는 경우(예: 사용하고 있던 토큰을 폐기한 후) 식별자가 변경될 수 있습니다.

**참고**  
AWS WAF 는이 레이블에 대한 Amazon CloudWatch 지표를 보고하지 않습니다.

**브라우저 지문 레이블**  
레이블에는 AWS WAF 토큰 관리가 다양한 클라이언트 브라우저 신호에서 계산하는 강력한 브라우저 지문 식별자가 `awswaf:managed:token:fingerprint:{{fingerprint-identifier}}` 포함되어 있습니다. 이 식별자는 여러 토큰 획득 시도에서 동일하게 유지됩니다. 지문 식별자는 단일 클라이언트에 고유하지 않습니다.

**참고**  
AWS WAF 는이 레이블에 대한 Amazon CloudWatch 지표를 보고하지 않습니다.

**토큰 상태 레이블: 레이블 네임스페이스 접두사**  
토큰 상태 레이블은 토큰 및 챌린지 상태와 토큰에 포함된 CAPTCHA 정보를 보고합니다.

각 토큰 상태 레이블은 다음 네임스페이스 접두사 중 하나로 시작합니다.
+ `awswaf:managed:token:` – 토큰의 일반 상태를 보고하고 토큰의 챌린지 정보 상태를 보고하는 데 사용됩니다.
+ `awswaf:managed:captcha:` – 토큰의 CAPTCHA 정보 상태를 보고하는 데 사용됩니다.

**토큰 상태 레이블: 레이블 이름**  
접두사 뒤에 오는 라벨의 나머지 부분은 자세한 토큰 상태 정보를 제공합니다.
+ `accepted` – 요청 토큰이 존재하며 다음을 포함합니다.
  + 유효한 챌린지 또는 CAPTCHA 솔루션.
  + 만료되지 않은 챌린지 또는 CAPTCHA 타임스탬프.
  + 보호 팩(웹 ACL)에 대해 유효한 도메인 사양입니다.

  예: 레이블 `awswaf:managed:token:accepted`은(는) 웹 요청의 토큰에 유효한 인증 확인 솔루션, 만료되지 않은 챌린지 타임스탬프 및 유효한 도메인이 있음을 나타냅니다.
+ `rejected` – 요청 토큰이 존재하지만 수락 기준을 충족하지 않습니다.

  거부된 레이블과 함께 토큰 관리는 사용자 지정 레이블 네임스페이스 및 이름을 추가하여 이유를 나타냅니다.
  + `rejected:not_solved` – 토큰에 챌린지 또는 CAPTCHA 솔루션이 없습니다.
  + `rejected:expired` – 보호 팩(웹 ACL)의 구성된 토큰 면역 시간에 따라 토큰의 챌린지 또는 CAPTCHA 타임스탬프가 만료되었습니다.
  + `rejected:domain_mismatch` – 토큰의 도메인이 보호 팩(웹 ACL)의 토큰 도메인 구성과 일치하지 않습니다.
  + `rejected:invalid` - 표시된 토큰을 읽을 AWS WAF 수 없습니다.

  예: 레이블 `awswaf:managed:captcha:rejected` 및 `awswaf:managed:captcha:rejected:expired`가 함께 표시되는 것은 토큰 내 CAPTCHA 타임스탬프가 보호 팩(웹 ACL)에 구성된 CAPTCHA 토큰 면역 시간을 초과했기 때문에 요청에 유효한 CAPTCHA 풀이가 포함되지 않았음을 의미합니다.
+ `absent` – 요청에 토큰이 없거나 토큰 관리자가 토큰을 읽을 수 없습니다.

  예: 레이블 `awswaf:managed:captcha:absent`는 요청에 토큰이 없음을 나타냅니다.

### ATP 레이블
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

ATP 관리형 규칙 그룹은 네임스페이스 접두사 `awswaf:managed:aws:atp:` 다음에 사용자 지정 네임스페이스와 레이블 이름이 이어지는 레이블을 생성합니다.

규칙 그룹은 규칙 목록에 나와 있는 레이블 외에도 다음 레이블 중 하나를 추가할 수 있습니다.
+ `awswaf:managed:aws:atp:signal:credential_compromised` - 요청에서 제출된 보안 인증 정보가 도용된 보안 인증 정보 데이터베이스에 있음을 나타냅니다.
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint` - 보호된 Amazon CloudFront 배포에만 사용할 수 있습니다. 클라이언트 세션에서 의심스러운 TLS 핑거프린트를 사용한 요청을 여러 번 보냈음을 나타냅니다.
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip` - 단일 토큰이 5개 이상의 고유 IP 주소에서 사용되었음을 나타냅니다. 이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 레이블이 적용되기 전에 몇 개의 요청이 제한을 초과할 수 있습니다.

`DescribeManagedRuleGroup`을 호출하여 API를 통해 규칙 그룹의 모든 레이블을 검색할 수 있습니다. 레이블은 응답의 `AvailableLabels` 속성에 나열됩니다.

## 계정 탈취 방지 규칙 목록
<a name="aws-managed-rule-groups-atp-rules"></a>

이 섹션에는 `AWSManagedRulesATPRuleSet`의 ATP 규칙과 규칙 그룹의 규칙이 웹 요청에 추가하는 레이블이 나열되어 있습니다.

**참고**  
이 설명서에서는이 관리형 규칙 그룹의 최신 정적 버전 릴리스를 다룹니다. 버전 변경을 [AWS 관리형 규칙 변경 로그](aws-managed-rule-groups-changelog.md)의 변경 로그에 보고합니다. 다른 버전에 대한 자세한 정보를 보려면 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)의 API 명령을 사용하세요.  
 AWS 관리형 규칙 규칙 그룹의 규칙에 대해 게시하는 정보는 악의적인 행위자에게 규칙을 우회하는 데 필요한 사항을 제공하지 않고 규칙을 사용하는 데 필요한 사항을 제공하기 위한 것입니다.  
여기서 내용 외에 더 많은 정보가 필요한 경우 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요.


| 규칙 이름 | 설명 및 레이블 | 
| --- | --- | 
| UnsupportedCognitoIDP | Amazon Cognito 사용자 풀로 이동하는 웹 트래픽을 검사합니다. ATP는 Amazon Cognito 사용자 풀과 함께 사용할 수 없으므로, 이 규칙은 다른 ATP 규칙 그룹 규칙이 사용자 풀 트래픽을 평가하는 데 사용되지 않도록 하는 데 도움이 됩니다.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:unsupported:cognito_idp` 및 `awswaf:managed:aws:atp:UnsupportedCognitoIDP`  | 
| VolumetricIpHigh | 개별 IP 주소에서 대용량의 요청이 전송되었는지 검사합니다. 대량이란 10분의 시간 동안 20개가 넘는 요청을 의미합니다. 이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 대량의 경우 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다. <br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` 및 `awswaf:managed:aws:atp:VolumetricIpHigh` <br />이 규칙 그룹은 중간 용량(10분 기간당 요청 15개 초과) 및 소량(10분 기간당 요청 10개 초과) 요청에 다음 레이블을 적용하지만, `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` 및 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`에 대해 아무런 작업도 수행하지 않습니다. | 
| VolumetricSession | 개별 클라이언트 세션에서 대용량의 요청이 전송되었는지 검사합니다. 30분 동안 요청 수가 20개를 초과하는 것이 임계값입니다.<br />이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 토큰은 애플리케이션 통합 SDK와 규칙 작업 CAPTCHA 및 Challenge에 의해 요청에 추가됩니다. 자세한 내용은 [AWS WAF 지능형 위협 완화에 토큰 사용](waf-tokens.md) 단원을 참조하십시오. 이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 규칙 작업이 적용되기 전에 몇 개의 요청이 한도를 초과할 수 있습니다. <br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:volumetric:session` 및 `awswaf:managed:aws:atp:VolumetricSession`  | 
| AttributeCompromisedCredentials | 동일한 클라이언트 세션의 여러 요청에서 도용된 보안 인증 정보가 사용되는지 검사합니다.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` 및 `awswaf:managed:aws:atp:AttributeCompromisedCredentials`  | 
| AttributeUsernameTraversal | 사용자 이름 순회를 사용하는 동일한 클라이언트 세션에서 여러 요청이 있는지 검사합니다.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` 및 `awswaf:managed:aws:atp:AttributeUsernameTraversal`  | 
| AttributePasswordTraversal | 암호 순회를 사용하는 동일한 사용자 이름에서 여러 요청이 있는지 검사합니다.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` 및 `awswaf:managed:aws:atp:AttributePasswordTraversal`  | 
| AttributeLongSession | 오래 지속되는 세션을 사용하는 동일한 클라이언트 세션에서 여러 요청이 있는지 검사합니다. 임계값은 30분마다 로그인 요청이 하나 이상 있는 트래픽이 6시간 초과입니다.<br />이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 토큰은 애플리케이션 통합 SDK와 규칙 작업 CAPTCHA 및 Challenge에 의해 요청에 추가됩니다. 자세한 내용은 [AWS WAF 지능형 위협 완화에 토큰 사용](waf-tokens.md) 단원을 참조하십시오.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:attribute:long_session` 및 `awswaf:managed:aws:atp:AttributeLongSession`  | 
| TokenRejected | 토큰 관리에 의해 거부된 AWS WAF 토큰이 있는 요청을 검사합니다.<br />이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 토큰은 애플리케이션 통합 SDK와 규칙 작업 CAPTCHA 및 Challenge에 의해 요청에 추가됩니다. 자세한 내용은 [AWS WAF 지능형 위협 완화에 토큰 사용](waf-tokens.md) 단원을 참조하십시오.<br />규칙 작업: Block<br />레이블: 없음. 거부된 토큰이 있는지 확인하려면 레이블 일치 규칙 `awswaf:managed:token:rejected`를 사용하여 레이블을 일치시킵니다. | 
| SignalMissingCredential | 사용자 이름 또는 암호가 누락된 보안 인증 정보를 포함하는 요청이 있는지 검사합니다.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:signal:missing_credential` 및 `awswaf:managed:aws:atp:SignalMissingCredential`  | 
| VolumetricIpFailedLoginResponseHigh | 최근에 로그인 시도 실패율이 너무 높은 IP 주소가 있는지 검사합니다. 대용량이란 10분의 시간 동안 한 IP 주소에서 10개가 넘는 로그인 요청 실패가 있음을 의미합니다.<br />응답 본문 또는 JSON 구성 요소를 검사하도록 규칙 그룹을 구성한 경우는 이러한 구성 요소 유형의 처음 65,536바이트(64KB)에서 성공 또는 실패 지표를 검사할 AWS WAF 수 있습니다.<br />이 규칙은 동일한 IP 주소에서 발생한 최근 로그인 시도에 대한 보호된 리소스의 성공 및 실패 응답을 기반으로 IP 주소의 새 웹 요청에 규칙 작업 및 레이블링을 적용합니다. 규칙 그룹을 구성할 때 성공과 실패를 계산하는 방법을 정의합니다. AWS WAF 는 Amazon CloudFront 배포를 보호하는 보호 팩(웹 ACLs)에서만이 규칙을 평가합니다.  이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 클라이언트는 규칙이 후속 시도에서 매칭을 시작하기 전에 허용되는 횟수보다 더 많은 실패 로그인 시도 횟수를 전송할 수 있습니다. <br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` 및 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` <br />또한 규칙 그룹은 어떠한 연결된 작업도 없이 다음과 같은 관련 레이블을 요청에 적용합니다. 모든 개수는 10분 기간 기준입니다. 실패 요청이 5개 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`, 실패 요청이 1개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low`, 성공 요청이 10개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high`, 성공 요청이 5개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium`, 그리고 성공 요청이 1개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low`입니다. | 
| VolumetricSessionFailedLoginResponseHigh | 최근에 로그인 시도 실패율이 너무 높은 클라이언트 세션이 있는지 검사합니다. 대용량이란 30분의 시간 동안 한 클라이언트 세션에서 10개가 넘는 로그인 요청 실패가 있음을 의미합니다.<br />응답 본문 또는 JSON 구성 요소를 검사하도록 규칙 그룹을 구성한 경우는 이러한 구성 요소 유형의 처음 65,536바이트(64KB)에서 성공 또는 실패 지표를 검사할 AWS WAF 수 있습니다.<br />이 규칙은 동일한 클라이언트 세션에서 발생한 최근 로그인 시도에 대한 보호된 리소스의 성공 및 실패 응답을 기반으로 클라이언트 세션의 새 웹 요청에 규칙 작업 및 레이블링을 적용합니다. 규칙 그룹을 구성할 때 성공과 실패를 계산하는 방법을 정의합니다. AWS WAF 는 Amazon CloudFront 배포를 보호하는 보호 팩(웹 ACLs)에서만이 규칙을 평가합니다.  이 규칙이 적용하는 임계값은 지연 시간으로 인해 약간 다를 수 있습니다. 클라이언트는 규칙이 후속 시도에서 매칭을 시작하기 전에 허용되는 횟수보다 더 많은 실패 로그인 시도 횟수를 전송할 수 있습니다. <br />이 검사는 웹 요청에 토큰이 있는 경우에만 적용됩니다. 토큰은 애플리케이션 통합 SDK와 규칙 작업 CAPTCHA 및 Challenge에 의해 요청에 추가됩니다. 자세한 내용은 [AWS WAF 지능형 위협 완화에 토큰 사용](waf-tokens.md) 단원을 참조하십시오.<br />규칙 작업: Block<br />레이블: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` 및 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` <br />또한 규칙 그룹은 어떠한 연결된 작업도 없이 다음과 같은 관련 레이블을 요청에 적용합니다. 모든 개수는 30분 기간 기준입니다. 실패 요청이 5개 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`, 실패 요청이 1개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low`, 성공 요청이 10개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high`, 성공 요청이 5개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium`, 그리고 성공 요청이 1개가 넘는 경우 `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low`입니다. |