**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 將 ATP 受管規則群組新增至保護套件 (Web ACL) 本節說明如何新增和設定`AWSManagedRulesATPRuleSet`規則群組。 若要設定 ATP 受管規則群組來辨識 Web 流量中的帳戶接管活動,您可以提供有關用戶端如何將登入請求傳送到應用程式的資訊。對於受保護的 Amazon CloudFront 分佈,您也可以提供應用程式如何回應登入請求的相關資訊。此組態是受管規則群組的一般組態以外的組態。 如需規則群組描述和規則清單,請參閱 [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)。 **注意** ATP 遭竊的登入資料資料庫僅包含電子郵件格式的使用者名稱。 本指南適用於通常知道如何建立和管理 AWS WAF 保護套件 (Web ACLs)、規則和規則群組的使用者。這些主題涵蓋在本指南的先前章節中。如需如何將受管規則群組新增至保護套件 (Web ACL) 的基本資訊,請參閱 [透過主控台將受管規則群組新增至保護套件 (Web ACL)](waf-using-managed-rule-group.md)。 **遵循最佳實務** 根據 的最佳實務使用 ATP 規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。 **在保護套件中使用`AWSManagedRulesATPRuleSet`規則群組 (Web ACL)** 1. 將 AWS 受管規則群組`AWSManagedRulesATPRuleSet`新增至保護套件 (Web ACL),並在儲存之前**編輯**規則群組設定。 **注意** 當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。 1. 在**規則群組組態**窗格中,提供 ATP 規則群組用來檢查登入請求的資訊。 1. 對於**在路徑中使用規則運算式**,如果您 AWS WAF 想要針對登入頁面路徑規格執行規則運算式比對,請開啟此選項。 AWS WAF 支援 PCRE 程式庫使用的模式語法`libpcre`,但有一些例外。程式庫記錄在 [PCRE - Perl 相容規則表達式](http://www.pcre.org/)中。如需 AWS WAF 支援的相關資訊,請參閱 [中支援的規則表達式語法 AWS WAF](waf-regex-pattern-support.md)。 1. 針對**登入路徑**,提供應用程式的登入端點路徑。規則群組只會檢查對指定登入端點的 HTTP `POST`請求。 **注意** 端點比對不區分大小寫。Regex 規格不得包含旗標 `(?-i)`,這會停用不區分大小寫的比對。字串規格必須以正斜線 開頭`/`。 例如,對於 URL `https://example.com/web/login`,您可以提供字串路徑規格 `/web/login`。以您提供的路徑開頭的登入路徑會被視為相符項目。例如, `/web/login` 符合登入路徑 `/web/login`、`/web/loginPage`、 `/web/login/`和 `/web/login/thisPage`,但不符合登入路徑 `/home/web/login`或 `/website/login`。 1. 針對**請求檢查**,提供請求承載類型,以及提供使用者名稱和密碼之請求內文中的欄位名稱,以指定應用程式接受登入嘗試的方式。欄位名稱的規格取決於承載類型。 + **JSON 承載類型** – 以 JSON 指標語法指定欄位名稱。如需有關 JSON Pointer 語法的資訊,請參閱 Internet Engineering Task Force (IETF) 文件 [JavaScript 物件標記法 (JSON) Pointer](https://tools.ietf.org/html/rfc6901)。 例如,對於下列範例 JSON 承載,使用者名稱欄位規格為 `/login/username`,密碼欄位規格為 `/login/password`。 ``` { "login": { "username": "THE_USERNAME", "password": "THE_PASSWORD" } } ``` + **FORM\$1ENCODED 承載類型** – 使用 HTML 表單名稱。 例如,對於輸入元素名為 `username1`和 的 HTML 表單`password1`,使用者名稱欄位規格為 `username1`,密碼欄位規格為 `password1`。 1. 如果您要保護 Amazon CloudFront 分佈,請在**回應檢查**下指定應用程式在對登入嘗試的回應中指出成功或失敗的方式。 **注意** ATP 回應檢查僅適用於保護 CloudFront 分佈的保護套件 (Web ACLs)。 在您要 ATP 檢查的登入回應中指定單一元件。對於**內文**和 **JSON** 元件類型, AWS WAF 可以檢查元件的前 65,536 個位元組 (64 KB)。 提供元件類型的檢查條件,如 界面所示。您必須同時提供成功和失敗條件,才能在元件中檢查 。 例如,假設您的應用程式在回應的狀態碼中指出登入嘗試的狀態,並使用 `200 OK` 表示成功和 `401 Unauthorized` 或 `403 Forbidden` 表示失敗。您會將回應檢查**元件類型**設定為**狀態碼**,然後在**成功**文字方塊中輸入 `200`,然後在**失敗**文字方塊中輸入 ,`401`在第一行和第二`403`行中輸入 。 ATP 規則群組只會計算符合您成功或失敗檢查條件的回應。當用戶端在計數的回應中失敗率過高時,規則群組規則會對用戶端執行動作。如需規則群組規則的準確行為,請務必提供成功和失敗登入嘗試的完整資訊。 若要查看檢查登入回應的規則,請在 `VolumetricSessionFailedLoginResponseHigh` 的規則清單中尋找 `VolumetricIpFailedLoginResponseHigh`和 [AWS WAF 詐騙控制帳戶接管預防 (ATP) 規則群組](aws-managed-rule-groups-atp.md)。 1. 提供您想要用於規則群組的任何其他組態。 您可以將縮小範圍陳述式新增至受管規則群組陳述式,進一步限制規則群組檢查的請求範圍。例如,您只能檢查具有特定查詢引數或 Cookie 的請求。規則群組只會檢查對指定登入端點的 HTTP `POST`請求,這些登入端點符合您縮小範圍陳述式中的條件。如需縮小範圍陳述式的詳細資訊,請參閱 [在 中使用縮小範圍陳述式 AWS WAF](waf-rule-scope-down-statements.md)。 1. 將變更儲存至保護套件 (Web ACL)。 在部署生產流量的 ATP 實作之前,請在預備或測試環境中進行測試和調校,直到您對流量的潛在影響感到滿意為止。然後,使用生產流量在計數模式中測試和調校規則,然後再啟用它們。如需指引,請參閱以下章節。