將 ATP 受管規則群組新增至保護套件 (Web ACL) - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 ATP 受管規則群組新增至保護套件 (Web ACL)

本節說明如何新增和設定AWSManagedRulesATPRuleSet規則群組。

若要設定 ATP 受管規則群組來辨識 Web 流量中的帳戶接管活動,您可以提供有關用戶端如何將登入請求傳送到應用程式的資訊。對於受保護的 Amazon CloudFront 分佈,您也可以提供應用程式如何回應登入請求的相關資訊。此組態是受管規則群組的一般組態以外的組態。

如需規則群組描述和規則清單,請參閱 AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組

注意

ATP 遭竊的登入資料資料庫僅包含電子郵件格式的使用者名稱。

本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。如需如何將受管規則群組新增至保護套件 (Web ACL) 的基本資訊,請參閱 透過主控台將受管規則群組新增至保護套件 (Web ACL)

遵循最佳實務

根據 的最佳實務使用 ATP 規則群組中的智慧型威脅防禦最佳實務 AWS WAF

在保護套件中使用AWSManagedRulesATPRuleSet規則群組 (Web ACL)

  1. 將 AWS 受管規則群組AWSManagedRulesATPRuleSet新增至保護套件 (Web ACL),並在儲存之前編輯規則群組設定。

    注意

    當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱AWS WAF 定價

  2. 規則群組組態窗格中,提供 ATP 規則群組用來檢查登入請求的資訊。

    1. 對於在路徑中使用規則運算式,如果您 AWS WAF 想要針對登入頁面路徑規格執行規則運算式比對,請開啟此選項。

      AWS WAF 支援 PCRE 程式庫使用的模式語法libpcre,但有一些例外。程式庫記錄在 PCRE - Perl 相容規則表達式中。如需 AWS WAF 支援的相關資訊,請參閱 中支援的規則表達式語法 AWS WAF

    2. 針對登入路徑,提供應用程式的登入端點路徑。規則群組只會檢查對指定登入端點的 HTTP POST請求。

      注意

      端點比對不區分大小寫。Regex 規格不得包含旗標 (?-i),這會停用不區分大小寫的比對。字串規格必須以正斜線 開頭/

      例如,對於 URL https://example.com/web/login,您可以提供字串路徑規格 /web/login。以您提供的路徑開頭的登入路徑會被視為相符項目。例如, /web/login 符合登入路徑 /web/login/web/loginPage/web/login//web/login/thisPage,但不符合登入路徑 /home/web/login/website/login

    3. 針對請求檢查,請提供請求承載類型,以及提供使用者名稱和密碼之請求內文中的欄位名稱,以指定應用程式接受登入嘗試的方式。欄位名稱的規格取決於承載類型。

      • JSON 承載類型 – 以 JSON 指標語法指定欄位名稱。如需有關 JSON Pointer 語法的資訊,請參閱 Internet Engineering Task Force (IETF) 文件 JavaScript 物件標記法 (JSON) Pointer

        例如,對於下列範例 JSON 承載,使用者名稱欄位規格為 /login/username,密碼欄位規格為 /login/password

        {
    "login": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD"
    }
}

      • FORM_ENCODED 承載類型 – 使用 HTML 表單名稱。

        例如,對於具有輸入元素名為 username1和 的 HTML 表單password1,使用者名稱欄位規格為 username1,密碼欄位規格為 password1

    4. 如果您要保護 Amazon CloudFront 分佈,請在回應檢查下指定應用程式在對登入嘗試的回應中指出成功或失敗的方式。

      注意

      ATP 回應檢查僅適用於保護 CloudFront 分佈的保護套件 (Web ACLs)。

      在您要 ATP 檢查的登入回應中指定單一元件。對於內文JSON 元件類型, AWS WAF 可以檢查元件的前 65,536 個位元組 (64 KB)。

      提供元件類型的檢查條件,如 界面所示。您必須同時提供成功和失敗條件,才能在元件中檢查 。

      例如,假設您的應用程式在回應的狀態碼中指出登入嘗試的狀態,並使用 200 OK 表示成功和 401 Unauthorized403 Forbidden 表示失敗。您會將回應檢查元件類型設定為狀態碼,然後在成功文字方塊中輸入 200,然後在失敗文字方塊中輸入 ,401在第一行和第二403行中輸入 。

      ATP 規則群組只會計算符合您成功或失敗檢查條件的回應。當用戶端在計數的回應中失敗率過高時,規則群組規則會對用戶端執行動作。如需規則群組規則的準確行為,請務必提供成功和失敗登入嘗試的完整資訊。

      若要查看檢查登入回應的規則,VolumetricSessionFailedLoginResponseHigh請在 的規則清單中尋找 VolumetricIpFailedLoginResponseHighAWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組

  3. 提供您想要用於規則群組的任何其他組態。

    您可以將縮小範圍陳述式新增至受管規則群組陳述式,進一步限制規則群組檢查的請求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查對指定登入端點的 HTTP POST請求,這些登入端點符合您縮小範圍陳述式中的條件。如需縮小範圍陳述式的資訊,請參閱 在 中使用縮小範圍陳述式 AWS WAF

  4. 將變更儲存至保護套件 (Web ACL)。

在部署生產流量的 ATP 實作之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調整規則,然後再啟用它們。如需指引,請參閱以下章節。