**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS WAF 防欺诈控制账户盗用 (ATP) 规则组
<a name="aws-managed-rule-groups-atp"></a>

本节介绍 AWS WAF 欺诈控制账户接管预防 (ATP) 托管规则组的作用。

VendorName:`AWS`，名称：`AWSManagedRulesATPRuleSet`，WCU：50

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。

F AWS WAF raud Control 账户盗用预防 (ATP) 管理的规则组标记并管理可能属于恶意账户接管尝试的请求。规则组通过检查客户端发送到应用程序登录端点的登录尝试来实现此目的。
+ **请求检查** – ATP 允许您查看和控制异常登录尝试和使用被盗凭证的登录尝试，以防止可能导致欺诈活动的账户盗用。ATP 根据被盗凭证数据库检查电子邮件和密码组合，当在暗网上发现新的泄露凭证时，会定期更新。ATP 按 IP 地址和客户端会话汇总数据，以检测和阻止发送过多可疑请求的客户端。
+ **响应检查**-对于 CloudFront 分配，除了检查传入的登录请求外，ATP 规则组还会检查您的应用程序对登录尝试的响应，以跟踪成功率和失败率。利用这些信息，ATP 可以暂时阻止登录失败次数过多的客户端会话或 IP 地址。 AWS WAF 会异步执行响应检查，因此不会增加 Web流量的延迟。

## 使用此规则组的注意事项
<a name="aws-managed-rule-groups-atp-using"></a>

此规则组需要特定配置。如需配置和实施此规则组，请参阅 [AWS WAF 防欺诈控制账户接管 (ATP)](waf-atp.md) 中的指导。

此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息，请参阅[中的智能威胁缓解 AWS WAF](waf-managed-protections.md)。

**注意**  
使用此托管规则组时，您需要额外付费。有关更多信息，请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。

为了降低成本并确保您可以根据需要管理 Web 流量，请按照 [中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md) 中的指导使用此规则组。

此规则组不可与 Amazon Cognito 用户群体一起使用。您无法将使用此规则组的保护包（web ACL）与用户池相关联，也无法将此规则组添加到已与用户池关联的保护包（web ACL）中。

## 此规则组添加的标签
<a name="aws-managed-rule-groups-atp-labels"></a>

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。

### 令牌标签
<a name="aws-managed-rule-groups-atp-labels-token"></a>

该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。

有关令牌和令牌管理的信息，请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。

有关此处描述的标签组件的信息，请参阅 [中的标签语法和命名要求 AWS WAF](waf-rule-label-requirements.md)。

**客户端会话标签**  
该标签`awswaf:managed:token:id:{{identifier}}`包含一个唯一标识符， AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌，例如在丢弃其正在使用的令牌之后，标识符可能会更改。

**注意**  
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。

**浏览器指纹标签**  
该标签`awswaf:managed:token:fingerprint:{{fingerprint-identifier}}`包含一个强大的浏览器指纹标识符， AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时，此标识符保持不变。指纹标识符并非仅属于单个客户端。

**注意**  
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。

**令牌状态标签：标签命名空间前缀**  
令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。

每个令牌状态标签都以下列命名空间前缀之一开头：
+ `awswaf:managed:token:`：用于报告令牌的一般状态以及令牌的质询信息的状态。
+ `awswaf:managed:captcha:`：用于报告令牌的 CAPTCHA 信息的状态。

**令牌状态标签：标签名称**  
在前缀之后，标签的其余部分提供详细的令牌状态信息：
+ `accepted`：请求令牌存在且包含以下内容：
  + 有效的质询或 CAPTCHA 解决方案。
  + 未过期的质询或 CAPTCHA 时间戳。
  + 对保护包（web ACL）有效的域规范。

  示例：标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
+ `rejected`：请求令牌存在但不符合接受标准。

  除了被拒绝的标签外，令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
  + `rejected:not_solved`：令牌缺少质询或 CAPTCHA 解决方案。
  + `rejected:expired`：根据保护包（web ACL）配置的令牌免疫时间，令牌的质询或 CAPTCHA 时间戳已过期。
  + `rejected:domain_mismatch`：令牌的域与保护包（web ACL）的令牌域配置不匹配。
  + `rejected:invalid`— AWS WAF 无法读取指示的标记。

  示例：标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案，因为令牌中的 CAPTCHA 时间戳已超过保护包（web ACL）中配置的 CAPTCHA 令牌免疫时间。
+ `absent`：请求没有令牌，或者令牌管理器无法读取它。

  示例：标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。

### ATP 标签
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

ATP 托管规则组生成带有命名空间前缀 `awswaf:managed:aws:atp:` 的标签，后接自定义命名空间和标签名称。

除了规则列表中注明的标签外，规则组还可以添加以下任何标签：
+ `awswaf:managed:aws:atp:signal:credential_compromised`：表示在请求中提交的凭证位于被盗凭证数据库中。
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— 仅适用于受保护的 Amazon CloudFront 分配。表示客户端会话发送了多个使用可疑 TLS 指纹的请求。
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`：表示有 5 个以上不同的 IP 地址使用同一令牌。由于延迟，此规则适用的阈值可能略有不同。在应用标签之前，一些请求可能会超出限制。

您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。

## 账户盗用防护规则列表
<a name="aws-managed-rule-groups-atp-rules"></a>

此部分列出了 `AWSManagedRulesATPRuleSet` 中的 ATP 规则以及规则组的规则添加到 Web 请求的标签。

**注意**  
本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。  
如果您需要更多信息，请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。


| 规则名称 | 描述和标签 | 
| --- | --- | 
| UnsupportedCognitoIDP | 检查流向 Amazon Cognito 用户群体的 Web 流量。ATP 不可用于 Amazon Cognito 用户群体，此规则有助于确保不使用其他 ATP 规则组规则来评估用户群体流量。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:unsupported:cognito_idp` 和 `awswaf:managed:aws:atp:UnsupportedCognitoIDP`  | 
| VolumetricIpHigh | 检查从各个 IP 地址发送的高流量请求。高流量是指在 10 分钟的窗口内超过 20 个请求。 由于延迟，此规则适用的阈值可能略有不同。对于高流量，在应用规则操作之前，一些请求可能会超出限制。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:volumetric:ip:high` 和 `awswaf:managed:aws:atp:VolumetricIpHigh` <br />该规则组将以下标签应用于中流量（每 10 分钟窗口内超过 15 个请求）和低流量（每 10 分钟窗口内超过 10 个请求）的请求，但不对它们采取任何操作：`awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` 和 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`。 | 
| VolumetricSession | 检查来自各个客户端会话的高流量请求。其阈值为每 30 分钟窗口内超过 20 个请求。<br />仅当 Web 请求具有令牌时，此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中，CAPTCHA以及Challenge。有关更多信息，请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 由于延迟，此规则适用的阈值可能略有不同。在应用规则操作之前，一些请求可能会超出限制。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:volumetric:session` 和 `awswaf:managed:aws:atp:VolumetricSession`  | 
| AttributeCompromisedCredentials | 检查来自同一个客户端会话的多个使用被盗凭证的请求。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` 和 `awswaf:managed:aws:atp:AttributeCompromisedCredentials`  | 
| AttributeUsernameTraversal | 检查来自同一个客户端会话的多个使用用户名遍历的请求。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:attribute:username_traversal` 和 `awswaf:managed:aws:atp:AttributeUsernameTraversal`  | 
| AttributePasswordTraversal | 检查采用相同用户名并使用密码遍历的多个请求。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:attribute:password_traversal` 和 `awswaf:managed:aws:atp:AttributePasswordTraversal`  | 
| AttributeLongSession | 检查来自同一个客户端会话的多个使用长时间对话的请求。阈值流量超过为 6 小时，而且每 30 分钟至少有一次登录请求。<br />仅当 Web 请求具有令牌时，此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中，CAPTCHA以及Challenge。有关更多信息，请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:attribute:long_session` 和 `awswaf:managed:aws:atp:AttributeLongSession`  | 
| TokenRejected | 检查是否有令牌管理部门拒绝的带有令 AWS WAF 牌的请求。<br />仅当 Web 请求具有令牌时，此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中，CAPTCHA以及Challenge。有关更多信息，请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。<br />规则操作：Block<br />标签：无。要检查令牌是否被拒绝，请使用标签匹配规则在标签上进行匹配：`awswaf:managed:token:rejected`。 | 
| SignalMissingCredential | 检查是否存在缺少用户名或密码的凭证的请求。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:signal:missing_credential` 和 `awswaf:managed:aws:atp:SignalMissingCredential`  | 
| VolumetricIpFailedLoginResponseHigh | 检查最近是否存在导致登录尝试失败率过高的 IP 地址。高流量是指在 10 分钟窗口内来自某个 IP 地址的登录请求失败超过 10 个。<br />如果您已将规则组配置为检查响应正文或 JSON 组件，则 AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。<br />此规则根据受保护资源对最近来自相同 IP 地址的登录尝试的成功和失败响应，将规则操作和标签应用于来自某个 IP 地址的新 Web 请求。在配置规则组时，您可以定义如何计算成功和失败。 AWS WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。  由于延迟，此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前，客户端发送登录失败尝试的次数可能会超过允许的次数。 <br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` 和 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` <br />该规则组还将以下相关标签应用于请求，但没有任何关联操作。所有计数均适用 10 分钟窗口。`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` 对应超过 5 个失败请求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` 对应超过 1 个失败请求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` 对应超过 10 个成功请求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` 对应超过 5 个成功请求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` 对应超过 1 个成功请求。 | 
| VolumetricSessionFailedLoginResponseHigh | 检查最近是否存在导致登录尝试失败率过高的客户端会话。高流量是指在 30 分钟窗口内来自某个客户端会话的登录请求失败超过 10 个。<br />如果您已将规则组配置为检查响应正文或 JSON 组件，则 AWS WAF 可以检查这些组件类型的前 65,536 字节 (64 KB) 以查看成功或失败指示器。<br />此规则根据受保护资源对最近来自相同客户端会话的登录尝试的成功和失败响应，将规则操作和标签应用于来自某个客户端会话的新 Web 请求。在配置规则组时，您可以定义如何计算成功和失败。 AWS WAF 仅在保护 Amazon CloudFront 分销的保护包 (Web ACLs) 中评估此规则。  由于延迟，此规则适用的阈值可能略有不同。在规则开始匹配后续尝试之前，客户端发送登录失败尝试的次数可能会超过允许的次数。 <br />仅当 Web 请求具有令牌时，此检查才适用。通过应用程序集成 SDKs 和规则操作将令牌添加到请求中，CAPTCHA以及Challenge。有关更多信息，请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。<br />规则操作：Block<br />标签：`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` 和 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` <br />该规则组还将以下相关标签应用于请求，但没有任何关联操作。所有计数均适用 30 分钟窗口。`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` 对应超过 5 个失败请求，`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` 对应超过 1 个失败请求，`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` 对应超过 10 个成功请求，`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` 对应超过 5 个成功请求，`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` 对应超过 1 个成功请求。 |