**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組
<a name="aws-managed-rule-groups-atp"></a>

本節說明 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組的功能。

VendorName：`AWS`、Name：`AWSManagedRulesATPRuleSet`、WCU：50

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。

 AWS WAF 詐騙控制帳戶接管預防 (ATP) 受管規則群組標籤和管理可能屬於惡意帳戶接管嘗試一部分的請求。規則群組會透過檢查用戶端傳送至應用程式登入端點的登入嘗試來執行此操作。
+ **請求檢查** – ATP 可讓您查看和控制使用遭竊登入資料的異常登入嘗試和登入嘗試，以防止可能導致詐騙活動的帳戶接管。ATP 會針對其遭竊的登入資料資料庫檢查電子郵件和密碼組合，該資料庫會在深色 Web 上發現新的洩漏登入資料時定期更新。ATP 會依 IP 地址和用戶端工作階段彙總資料，以偵測和封鎖傳送過多可疑請求的用戶端。
+ **回應檢查** – 對於 CloudFront 分佈，除了檢查傳入的登入請求之外，ATP 規則群組還會檢查應用程式的登入嘗試回應，以追蹤成功和失敗率。使用此資訊，ATP 可以暫時封鎖登入失敗次數過多的用戶端工作階段或 IP 地址。 會以非同步方式 AWS WAF 執行回應檢查，因此這不會增加 Web 流量的延遲。

## 使用此規則群組的考量事項
<a name="aws-managed-rule-groups-atp-using"></a>

此規則群組需要特定組態。若要設定和實作此規則群組，請參閱 中的指引[AWS WAF 詐騙控制帳戶接管預防 (ATP)](waf-atp.md)。

此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊，請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。

**注意**  
當您使用此受管規則群組時，需支付額外費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。

若要降低成本，並確保您視需要管理 Web 流量，請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。

此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的保護套件 (Web ACL) 與使用者集區建立關聯，也無法將此規則群組新增至已與使用者集區建立關聯的保護套件 (Web ACL)。

## 此規則群組新增的標籤
<a name="aws-managed-rule-groups-atp-labels"></a>

此受管規則群組會將標籤新增至其評估的 Web 請求，這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊，請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。

### 字符標籤
<a name="aws-managed-rule-groups-atp-labels-token"></a>

此規則群組使用 AWS WAF 字符管理，根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。

如需字符和字符管理的資訊，請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。

如需此處所述的標籤元件資訊，請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。

**用戶端工作階段標籤**  
標籤`awswaf:managed:token:id:{{identifier}}`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符，例如在捨棄正在使用的字符之後，識別符可能會變更。

**注意**  
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。

**瀏覽器指紋標籤**  
標籤`awswaf:managed:token:fingerprint:{{fingerprint-identifier}}`包含強大的瀏覽器指紋識別符，權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。

**注意**  
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。

**字符狀態標籤：標籤命名空間字首**  
字符狀態標籤會報告字符的狀態，以及其中包含的挑戰和 CAPTCHA 資訊。

每個字符狀態標籤都以下列其中一個命名空間字首開頭：
+ `awswaf:managed:token:` – 用來報告字符的一般狀態，以及報告字符挑戰資訊的狀態。
+ `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。

**字符狀態標籤：標籤名稱**  
在字首後面，標籤的其餘部分提供詳細的字符狀態資訊：
+ `accepted` – 請求字符存在且包含下列項目：
  + 有效的挑戰或 CAPTCHA 解決方案。
  + 未過期的挑戰或 CAPTCHA 時間戳記。
  + 適用於保護套件的網域規格 (Web ACL)。

  範例：標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記，以及有效的網域。
+ `rejected` – 請求字符存在，但不符合接受條件。

  除了拒絕的標籤之外，字符管理還會新增自訂標籤命名空間和名稱，以指出原因。
  + `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。
  + `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期，取決於您的保護套件 (Web ACL) 設定的權杖豁免時間。
  + `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。
  + `rejected:invalid` – AWS WAF 無法讀取指定的字符。

  範例：標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起指出請求沒有有效的 CAPTCHA 解決方法，因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。
+ `absent` – 請求沒有字符或字符管理器無法讀取。

  範例：標籤`awswaf:managed:captcha:absent`表示請求沒有字符。

### ATP 標籤
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

ATP 受管規則群組會產生具有命名空間字首的標籤，`awswaf:managed:aws:atp:`後面接著自訂命名空間和標籤名稱。

除了規則清單中記下的標籤之外，規則群組還可能會新增下列任何標籤：
+ `awswaf:managed:aws:atp:signal:credential_compromised` – 表示在請求中提交的登入資料位於遭竊的登入資料資料庫中。
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint` – 僅適用於受保護的 Amazon CloudFront 分佈。表示用戶端工作階段已傳送多個使用可疑 TLS 指紋的請求。
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip` – 表示在超過 5 個不同的 IP 地址中使用單一字符。此規則套用的閾值可能因延遲而略有不同。在套用標籤之前，有些請求可能會使其超過限制。

您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。

## 帳戶接管預防規則清單
<a name="aws-managed-rule-groups-atp-rules"></a>

本節列出 中的 ATP 規則，`AWSManagedRulesATPRuleSet`以及規則群組規則新增至 Web 請求的標籤。

**注意**  
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊，請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。  
我們為 AWS 受管規則規則群組中的規則發佈的資訊，旨在為您提供使用規則所需的內容，而不會給予不法份子規避規則所需的內容。  
如果您需要比此處更多的資訊，請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。


| 規則名稱 | 描述和標籤 | 
| --- | --- | 
| UnsupportedCognitoIDP | 檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ATP 不適用於 Amazon Cognito 使用者集區，此規則有助於確保不會使用其他 ATP 規則群組規則來評估使用者集區流量。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:unsupported:cognito_idp`和 `awswaf:managed:aws:atp:UnsupportedCognitoIDP`  | 
| VolumetricIpHigh | 檢查從個別 IP 地址傳送的大量請求。在 10 分鐘的時段內，大量超過 20 個請求。 此規則套用的閾值可能因延遲而略有不同。對於高磁碟區，在套用規則動作之前，有些請求可能會使其超過限制。 <br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:volumetric:ip:high`和 `awswaf:managed:aws:atp:VolumetricIpHigh` <br />規則群組會將下列標籤套用至具有中等磁碟區 （每 10 分鐘超過 15 個請求） 和低磁碟區 （每 10 分鐘超過 10 個請求） 的請求，但不對其採取任何動作： `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium`和 `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`。 | 
| VolumetricSession | 檢查從個別用戶端工作階段傳送的大量請求。閾值為每個 30 分鐘時段超過 20 個請求。<br />此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊，請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前，有些請求可能會使其超過限制。 <br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:volumetric:session`和 `awswaf:managed:aws:atp:VolumetricSession`  | 
| AttributeCompromisedCredentials | 檢查來自使用遭竊憑證之相同用戶端工作階段的多個請求。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials`和 `awswaf:managed:aws:atp:AttributeCompromisedCredentials`  | 
| AttributeUsernameTraversal | 檢查來自使用使用者名稱周遊之相同用戶端工作階段的多個請求。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:attribute:username_traversal`和 `awswaf:managed:aws:atp:AttributeUsernameTraversal`  | 
| AttributePasswordTraversal | 檢查是否有多個使用密碼周遊的相同使用者名稱的請求。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:attribute:password_traversal`和 `awswaf:managed:aws:atp:AttributePasswordTraversal`  | 
| AttributeLongSession | 檢查來自使用長期工作階段之相同用戶端工作階段的多個請求。閾值是超過 6 小時的流量，每 30 分鐘至少有一個登入請求。<br />此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊，請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:attribute:long_session`和 `awswaf:managed:aws:atp:AttributeLongSession`  | 
| TokenRejected | 檢查是否有字符管理拒絕的 AWS WAF 字符請求。<br />此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊，請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。<br />規則動作：Block<br />標籤：無。若要檢查權杖是否遭拒，請使用標籤比對規則來比對標籤：`awswaf:managed:token:rejected`。 | 
| SignalMissingCredential | 檢查是否有憑證缺少使用者名稱或密碼的請求。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:signal:missing_credential`和 `awswaf:managed:aws:atp:SignalMissingCredential`  | 
| VolumetricIpFailedLoginResponseHigh | 檢查最近登入嘗試失敗率太高的 IP 地址。在 10 分鐘內，來自 IP 地址的高磁碟區超過 10 個失敗的登入請求。<br />如果您已設定規則群組來檢查回應內文或 JSON 元件， AWS WAF 可以檢查這些元件類型的前 65，536 個位元組 (64 KB) 是否有成功或失敗指標。<br />此規則會根據來自受保護資源的成功和失敗回應，以及來自相同 IP 地址的最近登入嘗試，將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以在設定規則群組時，定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。  此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。 <br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high`和 `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh` <br />規則群組也會將下列相關標籤套用至請求，而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium`對於超過 5 個失敗的請求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low`對於超過 1 個失敗`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low`的請求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high`對於超過 10 個成功的請求，`awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium`對於超過 5 個成功的請求，以及對於超過 1 個成功的請求。 | 
| VolumetricSessionFailedLoginResponseHigh | 檢查最近登入嘗試失敗率太高的用戶端工作階段。在 30 分鐘內，來自用戶端工作階段的高磁碟區超過 10 個失敗的登入請求。<br />如果您已設定規則群組來檢查回應內文或 JSON 元件， AWS WAF 可以檢查這些元件類型的前 65，536 個位元組 (64 KB) 是否有成功或失敗指標。<br />此規則會根據從受保護資源到來自相同用戶端工作階段最近登入嘗試的成功和失敗回應，將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以在設定規則群組時，定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。  此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的登入嘗試次數可能超過規則在後續嘗試時開始比對之前允許的次數。 <br />此檢查僅適用於 Web 請求具有字符的情況。權杖會由應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。如需詳細資訊，請參閱[用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。<br />規則動作：Block<br />標籤： `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high`和 `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh` <br />規則群組也會將下列相關標籤套用至請求，而沒有任何相關聯的動作。所有計數都適用於 30 分鐘的時段。`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium`對於超過 5 個失敗的請求，`awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low`對於超過 1 個失敗的請求，`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high`對於超過 10 個成功的請求，`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium`對於超過 5 個成功的請求，以及`awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low`對於超過 1 個成功的請求。 |