Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erweiterte Sicherheit mit Bedrohungsschutz
<a name="cognito-user-pool-settings-threat-protection"></a>

Nachdem Sie Ihren Benutzerpool erstellt haben, haben Sie im Navigationsmenü der Amazon Cognito Cognito-Konsole Zugriff auf **Bedrohungsschutz**. Sie können die Funktionen zum Schutz vor Bedrohungen aktivieren und die Maßnahmen anpassen, die als Reaktion auf verschiedene Risiken ergriffen werden. Sie können auch den Prüfmodus verwenden, um Metriken zu erkannten Risiken zu erfassen, ohne Sicherheitsminderungen anzuwenden. Im Auditmodus veröffentlicht Threat Protection Kennzahlen an Amazon CloudWatch. Sie können Metriken sehen, nachdem Amazon Cognito sein erstes Ereignis generiert hat. Siehe [Metriken zum Schutz vor Bedrohungen anzeigen](metrics-for-cognito-user-pools.md#user-pool-settings-viewing-threat-protection-metrics).

Der Bedrohungsschutz, früher als *erweiterte Sicherheitsfunktionen* bezeichnet, besteht aus einer Reihe von Tools zur Überwachung unerwünschter Aktivitäten in Ihrem Benutzerpool sowie aus Konfigurationstools zur automatischen Abschaltung potenziell bösartiger Aktivitäten. Der Bedrohungsschutz bietet verschiedene Konfigurationsoptionen für standardmäßige und benutzerdefinierte Authentifizierungsvorgänge. Möglicherweise möchten Sie beispielsweise eine Benachrichtigung an einen Benutzer mit einer verdächtigen benutzerdefinierten Authentifizierung senden, für den Sie zusätzliche Sicherheitsfaktoren eingerichtet haben, aber einen Benutzer mit derselben Risikostufe mit einfacher Benutzername/Kennwortauthentifizierung blockieren.

Der Bedrohungsschutz ist im Plus-Funktionsplan verfügbar. Weitere Informationen finden Sie unter [Funktionspläne für Benutzerpools](cognito-sign-in-feature-plans.md).

Die folgenden Benutzerpool-Optionen sind die Komponenten des Bedrohungsschutzes.

**Kompromittierte Anmeldeinformationen**  
Benutzer verwenden Passwörter für mehrere Benutzerkonten erneut. Die Funktion für kompromittierte Anmeldeinformationen von Amazon Cognito kompiliert Daten aus öffentlich zugänglichen Benutzernamen und Passwörtern und vergleicht die Anmeldeinformationen Ihrer Benutzer mit Listen von offengelegten Anmeldeinformationen. Die Erkennung kompromittierter Anmeldeinformationen sucht auch nach häufig erratenen Passwörtern. Sie können in username-and-password Standardauthentifizierungsabläufen in Benutzerpools nach kompromittierten Anmeldeinformationen suchen. Amazon Cognito erkennt keine kompromittierten Anmeldeinformationen in Secure Remote Password (SRP) oder benutzerdefinierter Authentifizierung.  
Sie können die Benutzeraktionen auswählen, die eine Überprüfung auf kompromittierte Anmeldeinformationen veranlassen, sowie die Aktion, die Amazon Cognito als Reaktion darauf durchführen soll. Bei Anmelde-, Registrierungs- und Kennwortänderungsereignissen kann Amazon Cognito die Anmeldung **blockieren** oder die Anmeldung **zulassen**. In beiden Fällen generiert Amazon Cognito ein Benutzeraktivitätsprotokoll, in dem Sie weitere Informationen zu dem Ereignis finden.  
**Weitere Informationen**  
[Arbeiten mit der Erkennung kompromittierter Anmeldeinformationen](cognito-user-pool-settings-compromised-credentials.md)

**Adaptive Authentifizierung**  
Amazon Cognito kann Standort- und Geräteinformationen aus Anmeldeanfragen Ihrer Benutzer überprüfen und automatisch reagieren, um die Benutzerkonten in Ihrem Benutzerpool vor verdächtigen Aktivitäten zu schützen. Sie können die Benutzeraktivitäten überwachen und die Reaktion auf erkannte Risikostufen bei Benutzername/Passwort und SRP sowie bei der benutzerdefinierten Authentifizierung automatisieren.  
Wenn Sie den Bedrohungsschutz aktivieren, weist Amazon Cognito der Benutzeraktivität eine Risikobewertung zu. Sie können eine automatische Reaktion auf verdächtige Aktivitäten zuweisen: Sie können **MFA verlangen**, die **Anmeldung blockieren** oder lediglich die Aktivitätsdetails und die Risikobewertung protokollieren. Sie können Ihren Benutzer auch automatisch per E-Mail über die verdächtige Aktivität informieren, so dass er sein Passwort zurücksetzen oder andere selbstgesteuerte Maßnahmen ergreifen kann.  
**Weitere Informationen**  
[Arbeiten Sie mit adaptiver Authentifizierung](cognito-user-pool-settings-adaptive-authentication.md)

**Liste der zugelassenen und verweigerten IP-Adressen**  
Mit dem Bedrohungsschutz von Amazon Cognito im **Vollfunktionsmodus** können Sie IP-Adressen erstellen: **Immer blockieren** und Ausnahmen **immer zulassen**. Einer Sitzung von einer IP-Adresse auf der Ausnahmeliste **Immer blockieren** wird durch adaptive Authentifizierung keine Risikostufe zugewiesen und kann sich nicht bei Ihrem Benutzerpool anmelden.  

**Wissenswertes über Zulassungs- und Blocklisten für IP-Adressen**
+ Sie müssen **Always block** und **Always allow** im CIDR-Format angeben`192.0.2.0/24`, z. B. eine 24-Bit-Maske oder `192.0.2.252/32` eine einzelne IP-Adresse.
+  Geräte mit IP-Adressen im IP-Bereich „**Immer blockieren**“ können sich nicht mit SDK-basierten oder verwalteten Anmeldeanwendungen registrieren oder anmelden, sie können sich jedoch mit Drittanbieteranwendungen anmelden. IdPs 
+ Die Listen „**Immer zulassen**“ und „**Immer blockieren**“ wirken sich nicht auf die Token-Aktualisierung aus.
+ Amazon Cognito wendet keine MFA-Regeln für die adaptive Authentifizierung auf Geräte aus dem IP-Bereich „**Immer zulassen**“ an, wendet jedoch Regeln für kompromittierte Anmeldeinformationen an.

**Export von Protokollen**  
Der Bedrohungsschutz protokolliert detaillierte Details der Authentifizierungsanfragen der Benutzer in Ihrem Benutzerpool. Diese Protokolle enthalten Bedrohungsbeurteilungen, Benutzerinformationen und Sitzungsmetadaten wie Standort und Gerät. Sie können externe Archive dieser Protokolle zur Aufbewahrung und Analyse erstellen. Amazon Cognito Cognito-Benutzerpools exportieren Bedrohungsschutzprotokolle nach Amazon S3, CloudWatch Logs und Amazon Data Firehose. Weitere Informationen finden Sie unter [Benutzerereignisverlauf anzeigen und exportieren](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history).  
**Weitere Informationen**  
[Exportieren von Benutzeraktivitätsprotokollen zum Schutz gegen Bedrohungen](exporting-quotas-and-usage.md#exporting-quotas-and-usage-user-activity)

**Topics**
+ [Überlegungen und Einschränkungen zum Schutz vor Bedrohungen](#cognito-user-pool-threat-protection-considerations)
+ [Den Bedrohungsschutz in Benutzerpools aktivieren](#cognito-user-pool-threat-protection-activating)
+ [Konzepte zur Durchsetzung des Bedrohungsschutzes](#cognito-user-pool-settings-threat-protection-threat-protection-enforcement)
+ [Bedrohungsschutz für Standardauthentifizierung und benutzerdefinierte Authentifizierung](#cognito-user-pool-settings-threat-protection-threat-protection-types)
+ [Voraussetzungen für den Schutz vor Bedrohungen](#cognito-user-pool-threat-protection-prerequisites)
+ [Schutz vor Bedrohungen einrichten](#cognito-user-pool-settings-configure-threat-protection)
+ [Arbeiten mit der Erkennung kompromittierter Anmeldeinformationen](cognito-user-pool-settings-compromised-credentials.md)
+ [Arbeiten Sie mit adaptiver Authentifizierung](cognito-user-pool-settings-adaptive-authentication.md)
+ [Erfassung von Daten für den Schutz vor Bedrohungen in Anwendungen](user-pool-settings-viewing-threat-protection-app.md)

## Überlegungen und Einschränkungen zum Schutz vor Bedrohungen
<a name="cognito-user-pool-threat-protection-considerations"></a>

**Die Optionen zum Schutz vor Bedrohungen unterscheiden sich je nach Authentifizierungsablauf**  
Amazon Cognito unterstützt sowohl die adaptive Authentifizierung als auch die Erkennung kompromittierter Anmeldeinformationen mit den Authentifizierungsabläufen und. `USER_PASSWORD_AUTH` `ADMIN_USER_PASSWORD_AUTH` Sie können nur die adaptive Authentifizierung für aktivieren. `USER_SRP_AUTH` Sie können den Bedrohungsschutz nicht mit föderierter Anmeldung verwenden.

**Beiträge zur Anforderung von Kontingenten immer blockieren IPs**  
Blockierte Anfragen von IP-Adressen auf einer Ausnahmeliste **Immer blockieren** in Ihrem Benutzerpool trägt zu den [Anforderungsratenkontingenten](https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html#category_operations) für Ihre Benutzerpools bei.

**Beim Bedrohungsschutz gibt es keine Ratenbegrenzungen**  
Ein Teil des bösartigen Datenverkehrs zeichnet sich durch eine hohe Anzahl von Anfragen aus, wie z. B. Distributed-Denial-of-Service-Angriffe (DDoS). Die Risikoeinstufungen, die Amazon Cognito auf eingehenden Datenverkehr anwendet, gelten pro Anfrage und berücksichtigen nicht das Anforderungsvolumen. Einzelne Anfragen in einem Ereignis mit hohem Volumen können aus Gründen auf Anwendungsebene, die nichts mit ihrer Rolle bei einem volumetrischen Angriff zu tun haben, mit einer Risikobewertung und einer automatisierten Antwort versehen werden. Um Schutzmaßnahmen gegen volumetrische Angriffe in Ihren Benutzerpools zu implementieren, fügen Sie Web hinzu. AWS WAF ACLs Weitere Informationen finden Sie unter [Ordnen Sie einem AWS WAF Benutzerpool eine Web-ACL zu](user-pool-waf.md).

**Der Bedrohungsschutz wirkt sich nicht auf M2M-Anfragen aus**  
Die Gewährung von Kundenanmeldedaten ist für die machine-to-machine (M2M-) Autorisierung ohne Verbindung zu Benutzerkonten vorgesehen. Der Bedrohungsschutz überwacht nur Benutzerkonten und Passwörter in Ihrem Benutzerpool. Um Sicherheitsfunktionen in Ihre M2M-Aktivitäten zu integrieren, sollten Sie die Funktionen AWS WAF zur Überwachung von Anforderungsraten und Inhalten in Betracht ziehen. Weitere Informationen finden Sie unter [Ordnen Sie einem AWS WAF Benutzerpool eine Web-ACL zu](user-pool-waf.md).

## Den Bedrohungsschutz in Benutzerpools aktivieren
<a name="cognito-user-pool-threat-protection-activating"></a>

------
#### [ Amazon Cognito user pools console ]

**Um den Bedrohungsschutz für einen Benutzerpool zu aktivieren**

1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie **User Pools** (Benutzerpools) aus.

1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder [erstellen Sie einen neuen Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Falls Sie dies noch nicht getan haben, aktivieren Sie den Plus-Funktionsplan im Menü **Einstellungen**.

1. Wählen Sie das Menü **Bedrohungsschutz** und dann **Aktivieren** aus.

1. Wählen Sie **Änderungen speichern ** aus.

------
#### [ API ]

Stellen Sie Ihren Funktionsplan in einer [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)oder [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)API-Anfrage auf Plus ein. Im folgenden Teil des Anfragetextes wird der Bedrohungsschutz auf den Vollfunktionsmodus gesetzt. Ein vollständiges Beispiel für eine Anfrage finden Sie unter [Beispiele](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html#API_CreateUserPool_Examples).

```
"UserPoolAddOns": { 
      "AdvancedSecurityMode": "ENFORCED"
   }
```

------

Bedrohungsschutz ist der Sammelbegriff für Funktionen, die Benutzervorgänge auf Anzeichen einer Kontoübernahme hin überwachen und automatisch auf sichere betroffene Benutzerkonten reagieren. Sie können Einstellungen für den Bedrohungsschutz auf Benutzer anwenden, wenn sie sich mit standardmäßigen und benutzerdefinierten Authentifizierungsabläufen anmelden.

Der Bedrohungsschutz [generiert Protokolle](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history), in denen die An- und Abmeldung der Benutzer sowie andere Aktivitäten detailliert beschrieben werden. Sie können diese Protokolle auf ein System eines Drittanbieters exportieren. Weitere Informationen finden Sie unter [Benutzerereignisverlauf anzeigen und exportieren](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history).

## Konzepte zur Durchsetzung des Bedrohungsschutzes
<a name="cognito-user-pool-settings-threat-protection-threat-protection-enforcement"></a>

Der Bedrohungsschutz beginnt mit einem *reinen Auditmodus*, in dem Ihr Benutzerpool die Benutzeraktivitäten überwacht, Risikostufen zuweist und Protokolle generiert. *Es hat sich bewährt, zwei Wochen oder länger den Modus nur für Audits zu verwenden, bevor Sie den Vollfunktionsmodus aktivieren.* Der Vollfunktionsmodus umfasst eine Reihe von automatischen Reaktionen auf erkannte riskante Aktivitäten und kompromittierte Passwörter. Im Modus „Nur Audit“ können Sie die Bedrohungsbeurteilungen überwachen, die Amazon Cognito durchführt. Sie können auch [Feedback geben](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-feedback), um die Funktion anhand falscher positiver und negativer Ergebnisse zu schulen.

Sie können die Durchsetzung des Bedrohungsschutzes auf Benutzerpoolebene so konfigurieren, dass sie alle App-Clients im Benutzerpool abdeckt, und auf Ebene einzelner App-Clients. Konfigurationen zum Schutz vor Bedrohungen durch App-Clients haben Vorrang vor der Konfiguration des Benutzerpools. Um den Bedrohungsschutz für einen App-Client zu konfigurieren, navigieren Sie im App-Client-Menü Ihres Benutzerpools in der Amazon Cognito Cognito-Konsole zu den **App-Client-Einstellungen**. Dort können Sie **Einstellungen auf Client-Ebene verwenden** und die Erzwingung ausschließlich für den App-Client konfigurieren.

Darüber hinaus können Sie den Bedrohungsschutz für standardmäßige und benutzerdefinierte Authentifizierungstypen separat konfigurieren.

## Bedrohungsschutz für Standardauthentifizierung und benutzerdefinierte Authentifizierung
<a name="cognito-user-pool-settings-threat-protection-threat-protection-types"></a>

Wie Sie den Bedrohungsschutz konfigurieren können, hängt von der Art der Authentifizierung ab, die Sie in Ihrem Benutzerpool und Ihren App-Clients vornehmen. Jede der folgenden Authentifizierungstypen kann ihren eigenen Erzwingungsmodus und ihre eigenen automatisierten Antworten haben.

**Standardauthentifizierung**  
Die *Standardauthentifizierung* umfasst Benutzeranmeldung, Abmeldung und Passwortverwaltung mit Benutzername-Passwort-Flows und bei verwalteter Anmeldung. Amazon Cognito Threat Protection überwacht Operationen auf Risikoindikatoren, wenn sie sich mit verwaltetem Login anmelden oder die folgenden `AuthFlow` API-Parameter verwenden:    
**[InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html#CognitoUserPools-InitiateAuth-request-AuthFlow)**  
`USER_PASSWORD_AUTH`,`USER_SRP_AUTH`. Die Funktion für kompromittierte Anmeldeinformationen hat bei der `USER_SRP_AUTH` Anmeldung keinen Zugriff auf Passwörter und überwacht und reagiert auch nicht auf Ereignisse mit diesem Ablauf.  
**[AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html#CognitoUserPools-AdminInitiateAuth-request-AuthFlow)**  
`ADMIN_USER_PASSWORD_AUTH`,. `USER_SRP_AUTH` Die Funktion für kompromittierte Anmeldeinformationen hat bei der `USER_SRP_AUTH` Anmeldung keinen Zugriff auf Passwörter und überwacht und reagiert auch nicht auf Ereignisse mit diesem Ablauf.
Sie können den **Erzwingungsmodus** für die Standardauthentifizierung auf **Nur Prüfung** oder **Vollzugriff** festlegen. Um die Bedrohungsüberwachung für die Standardauthentifizierung zu deaktivieren, setzen Sie den Bedrohungsschutz auf **Keine Durchsetzung**.

**Benutzerdefinierte Authentifizierung**  
Bei der *benutzerdefinierten Authentifizierung* handelt es sich um eine Benutzeranmeldung mit [benutzerdefinierten Challenge-Lambda-Triggern.](user-pool-lambda-challenge.md) Bei der verwalteten Anmeldung können Sie keine benutzerdefinierte Authentifizierung durchführen. Amazon Cognito Threat Protection überwacht Operationen auf Risikoindikatoren, wenn sie sich mit dem `AuthFlow` API-Parameter `CUSTOM_AUTH` `InitiateAuth` und `AdminInitiateAuth` anmelden.  
Sie können den **Erzwingungsmodus** für die benutzerdefinierte Authentifizierung auf „**Nur Prüfung**“, „**Vollständige Funktion**“ oder „**Keine Durchsetzung**“ festlegen. Die Option **Keine Durchsetzung** deaktiviert die Bedrohungsüberwachung für die benutzerdefinierte Authentifizierung, ohne dass andere Funktionen zum Schutz vor Bedrohungen beeinträchtigt werden.

## Voraussetzungen für den Schutz vor Bedrohungen
<a name="cognito-user-pool-threat-protection-prerequisites"></a>

Bevor Sie beginnen, muss Folgendes sichergestellt sein:
+ Einen Benutzerpool mit einem App-Client. Weitere Informationen finden Sie unter [Erste Schritte mit Benutzerpools](getting-started-user-pools.md).
+ Setzen Sie die Multi-Faktor-Authentifizierung (MFA) in der Amazon-Cognito-Konsole auf **Optional**, um die risikobasierte adaptive Authentifizierung zu verwenden. Weitere Informationen finden Sie unter [Hinzufügen der MFA zu einem Benutzerpool](user-pool-settings-mfa.md).
+ Wenn Sie E-Mail-Benachrichtigungen verwenden, öffnen Sie die [Amazon-SES-Konsole](https://console.aws.amazon.com/ses/home), um die E-Mail-Adresse oder Domäne zu konfigurieren und zu verifizieren, die für Ihre E-Mail-Nachrichten verwendet werden soll. Weitere Informationen über Amazon SES finden Sie unter [Verifizieren von Identitäten in Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/verify-addresses-and-domains.html).

## Schutz vor Bedrohungen einrichten
<a name="cognito-user-pool-settings-configure-threat-protection"></a>

Folgen Sie diesen Anweisungen, um den Bedrohungsschutz für den Benutzerpool einzurichten.

**Anmerkung**  
Um eine andere Bedrohungsschutzkonfiguration für einen App-Client in der Amazon Cognito-Benutzerpools-Konsole einzurichten, wählen Sie den App-Client im Menü **App-Clients** aus und wählen Sie Einstellungen **auf Client-Ebene verwenden**.

------
#### [ AWS-Managementkonsole ]

**Um den Bedrohungsschutz für einen Benutzerpool zu konfigurieren**

1. Melden Sie sich bei der [Amazon-Cognito-Konsole](https://console.aws.amazon.com/cognito/home) an. Wenn Sie dazu aufgefordert werden, geben Sie Ihre AWS Anmeldeinformationen ein.

1. Wählen Sie **User Pools** (Benutzerpools) aus.

1. Wählen Sie einen vorhandenen Benutzerpool aus der Liste aus oder [erstellen Sie einen neuen Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-as-user-directory.html).

1. Wählen Sie das Menü **Bedrohungsschutz** und dann **Aktivieren** aus.

1. Wählen Sie die Methode zum Schutz vor Bedrohungen, die Sie konfigurieren möchten: **Standardauthentifizierung und benutzerdefinierte Authentifizierung**. Sie können verschiedene Erzwingungsmodi für die benutzerdefinierte und die Standardauthentifizierung festlegen, aber im **Vollfunktionsmodus** gilt dieselbe Konfiguration für automatische Antworten.

1. Wählen Sie **Bearbeiten** aus.

1. Wählen Sie einen **Erzwingungsmodus**. Um sofort auf erkannte Risiken zu reagieren, wählen Sie **Vollständige Funktionalität** und konfigurieren Sie die automatischen Reaktionen auf kompromittierte Anmeldeinformationen und die adaptive Authentifizierung. Um Informationen in Logs und Logs auf Benutzerebene zu sammeln CloudWatch, wählen Sie Nur **Audit** aus.

   Wir empfehlen, den Bedrohungsschutz zwei Wochen lang im Überwachungsmodus zu lassen, bevor Sie Aktionen aktivieren. Während dieser Zeit kann Amazon Cognito die Nutzungsmuster Ihrer App-Benutzer kennenlernen und Sie können Feedback zu Ereignissen geben, um die Antworten anzupassen.

1. Wenn Sie **Audit only** (Nur prüfen) ausgewählt haben, wählen Sie **Save changes** (Änderungen speichern) aus. Wenn Sie **Full function** (Vollständige Funktion) ausgewählt haben:

   1. Wählen Sie aus, ob Sie eine **benutzerdefinierte** Aktion ausführen oder **Cognito-Standardfunktionen** verwenden möchten, um auf möglicherweise **kompromittierte Anmeldeinformationen** zu reagieren. **Cognito-Standardfunktionen**:

      1. Erkennen kompromittierter Anmeldeinformationen bei **Anmeldung**, **Registrierung** und **Passwortänderung**.

      1. Reagieren Sie auf kompromittierte Anmeldeinformationen mit der Aktion **Block sign-in** (Anmeldung blockieren).

   1. Wenn Sie **Custom** (benutzerdefinierte) Aktionen für **Compromised credentials** (kompromittierte Anmeldeinformationen) ausgewählt haben, wählen Sie die Benutzerpool-Aktionen aus, die Amazon Cognito für die **Event detection** (Ereigniserkennung) verwendet, sowie die **Compromised credentials responses** (Antworten auf kompromittierte Anmeldeinformationen), die Amazon Cognito auslösen soll. Sie können bei möglicherweise kompromittierten Anmeldeinformationen entweder die **Anmeldung blockieren** oder die **Anmeldung zulassen**.

   1. Wählen Sie unter **Adaptive authentication** (Adaptive Authentifizierung) aus, wie Sie auf schädliche Anmeldeversuche reagieren möchten. Wählen Sie aus, ob Sie eine **benutzerdefinierte** Aktion ausführen oder **Cognito-Standardfunktionen** verwenden möchten, um auf verdächtige schädliche Aktivitäten zu reagieren. Wenn Sie ** Cognito defaults** (Cognito-Standardfunktionen) auswählen, blockiert Amazon Cognito die Anmeldung auf allen Risikostufen und benachrichtigt den Benutzer nicht.

   1. Wenn Sie **benutzerdefinierte** Aktionen für **Adaptive authentication** (Adaptive Authentifizierung) ausgewählt haben, wählen Sie die Aktion **Automatic risk repsonse** (Automatische Reaktion auf Risiken) aus. Amazon Cognito wird diese verwenden, um je nach Schweregrad auf erkannte Risiken zu reagieren. Wenn Sie einer Risikostufe eine Reaktion zuweisen, können Sie einem höheren Risiko keine weniger restriktive Reaktion zuweisen. Sie können den Risikostufen folgende Reaktionen zuweisen:

      1. **Allow sign-in** (Anmeldung zulassen) – Ergreifen Sie keine vorbeugenden Maßnahmen.

      1. **Optional MFA** (Optionale MFA) – Wenn der Benutzer MFA konfiguriert hat, verlangt Amazon Cognito, dass der Benutzer bei der Anmeldung immer einen zusätzlichen SMS- oder zeitgesteuerten Einmalpasswort (TOTP)-Faktor bereitstellt. Wenn der Benutzer keine MFA konfiguriert hat, kann er sich weiterhin normal anmelden.

      1. **Optionale MFA** – Wenn der Benutzer MFA konfiguriert hat, verlangt Amazon Cognito, dass der Benutzer bei der Anmeldung immer einen zusätzlichen SMS- oder TOTP-Faktor bereitstellt. Wenn der Benutzer keine MFA konfiguriert hat, fordert Amazon Cognito ihn auf, MFA einzurichten. Bevor Sie automatisch MFA für Ihre Benutzer anfordern, konfigurieren Sie in Ihrer App einen Mechanismus, um Telefonnummern für SMS-MFA zu erfassen oder Authentifizierungs-Apps für TOTP MFA zu registrieren.

      1. **Block sign-in** (Anmeldung blockieren) – Verhindern Sie, dass sich der Benutzer anmeldet.

      1. **Notify user** (Benutzer benachrichtigen) – Senden Sie dem Benutzer eine E-Mail-Nachricht mit Informationen über das Risiko, das Amazon Cognito festgestellt hat, und Ihre Reaktion auf das Risiko. Sie können E-Mail-Nachrichtenvorlagen für von Ihnen gesendete Nachrichten anpassen.

1. Wenn Sie im vorherigen Schritt **Notify user** (Benutzer benachrichtigen) ausgewählt haben, können Sie Ihre Einstellungen für die E-Mail-Zustellung und E-Mail-Nachrichtenvorlagen für die adaptive Authentifizierung anpassen.

   1. Wählen Sie unter **Email configuration** (E-Mail-Konfiguration) die **SES Region** (SES-Region), die **FROM email address** (Absender-E-Mail-Adresse), die **FROM sender name** (Absendernamen) und die **REPLY-TO email address** (Empfänger-E-Mail-Adresse) aus, die Sie für die adaptive Authentifizierung verwenden möchten. Weitere Informationen zur Integration Ihrer Benutzerpool-E-Mail-Nachrichten in Amazon Simple Email Service finden Sie unter [Email settings for Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-email.html) (E-Mail-Einstellungen für Amazon-Cognito-Benutzerpools).  
![Ereignisverlauf des Benutzers](http://docs.aws.amazon.com/de_de/cognito/latest/developerguide/images/cup-advanced-security-ses-notification.png)

   1. Wählen Sie **Email templates** (E-Mail-Vorlagen) aus, um Benachrichtigungen der adaptiven Authentifizierung für HTML- und Klartext-Versionen von E-Mail-Nachrichten anzupassen. Weitere Informationen über E-Mail-Nachrichtenvorlagen finden Sie unter [Nachrichtenvorlagen](cognito-user-pool-settings-message-customizations.md#cognito-user-pool-settings-message-templates).

1. Erweitern Sie **IP-Adressausnahmen**, um eine Liste mit den **Optionen „Immer zulassen**“ oder „**Immer blockieren**“ mit IPv6 Adressbereichen zu erstellen, die unabhängig von der IPv4 Risikobewertung für den Bedrohungsschutz immer zugelassen oder blockiert werden. Geben Sie die IP-Adressbereiche in [CIDR-Notation](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing#CIDR_notation) an (z. B. 192.168.100.0/24).

1. Wählen Sie **Änderungen speichern ** aus.

------
#### [ API (user pool) ]

Um die Konfiguration des Bedrohungsschutzes für einen Benutzerpool festzulegen, senden Sie eine [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)API-Anfrage, die einen `UserPoolId` Parameter, aber keinen Parameter enthält. `ClientId` Im Folgenden finden Sie ein Beispiel für einen Anfragetext für einen Benutzerpool. Diese Risikokonfiguration sieht je nach Schwere des Risikos eine Reihe von Maßnahmen vor und benachrichtigt Benutzer aller Risikostufen. Bei Anmeldevorgängen wird der Zugriff auf kompromittierte Anmeldeinformationen gesperrt.

Um diese Konfiguration zu erzwingen, müssen Sie dies `ENFORCED` in einer separaten [CreateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html)Anfrage `AdvancedSecurityMode` oder einer API-Anfrage festlegen. [UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html) Weitere Informationen zu den Platzhaltervorlagen wie `{username}` in diesem Beispiel finden Sie unter[Konfiguration von MFA-, Authentifizierungs-, Überprüfungs- und Einladungsnachrichten](cognito-user-pool-settings-message-customizations.md).

```
{
   "AccountTakeoverRiskConfiguration": { 
      "Actions": { 
         "HighAction": { 
            "EventAction": "MFA_REQUIRED",
            "Notify": true
         },
         "LowAction": { 
            "EventAction": "NO_ACTION",
            "Notify": true
         },
         "MediumAction": { 
            "EventAction": "MFA_IF_CONFIGURED",
            "Notify": true
         }
      },
      "NotifyConfiguration": { 
         "BlockEmail": { 
            "Subject": "You have been blocked for suspicious activity",
            "TextBody": "We blocked {username} at {login-time} from {ip-address}."
         },
         "From": "admin@example.com",
         "MfaEmail": { 
            "Subject": "Suspicious activity detected, MFA required",
            "TextBody": "Unexpected sign-in from {username} on device {device-name}. You must use MFA."
         },
         "NoActionEmail": { 
            "Subject": "Suspicious activity detected, secure your user account",
            "TextBody": "We noticed suspicious sign-in activity by {username} from {city}, {country} at {login-time}. If this was not you, reset your password."
         },
         "ReplyTo": "admin@example.com",
         "SourceArn": "arn:aws:ses:us-west-2:123456789012:identity/admin@example.com"
      }
   },
   "CompromisedCredentialsRiskConfiguration": { 
      "Actions": { 
         "EventAction": "BLOCK"
      },
      "EventFilter": [ "SIGN_UP" ]
   },
   "RiskExceptionConfiguration": { 
      "BlockedIPRangeList": [ "192.0.2.0/24","198.51.100.0/24" ],
      "SkippedIPRangeList": [ "203.0.113.0/24" ]
   },
   "UserPoolId": "us-west-2_EXAMPLE"
}
```

------
#### [ API (app client) ]

Um die Bedrohungsschutzkonfiguration für einen App-Client festzulegen, senden Sie eine [SetRiskConfiguration](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SetRiskConfiguration.html)API-Anfrage, die einen `UserPoolId` Parameter und einen `ClientId` Parameter enthält. Im Folgenden finden Sie ein Beispiel für einen Anfragetext für einen App-Client. Diese Risikokonfiguration ist schwerwiegender als die Benutzerpoolkonfiguration und blockiert Einträge mit hohem Risiko. Außerdem werden bei der Registrierung und Anmeldung sowie beim Zurücksetzen des Kennworts Sperren kompromittierter Anmeldeinformationen blockiert.

Um diese Konfiguration zu erzwingen, müssen Sie in einer separaten Anfrage oder einer API-Anfrage auf festlegen`AdvancedSecurityMode`. `ENFORCED` [CreateUserPool[UpdateUserPool](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UpdateUserPool.html)](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_CreateUserPool.html) Weitere Informationen zu den Platzhaltervorlagen wie `{username}` in diesem Beispiel finden Sie unter[Konfiguration von MFA-, Authentifizierungs-, Überprüfungs- und Einladungsnachrichten](cognito-user-pool-settings-message-customizations.md).

```
{
   "AccountTakeoverRiskConfiguration": { 
      "Actions": { 
         "HighAction": { 
            "EventAction": "BLOCK",
            "Notify": true
         },
         "LowAction": { 
            "EventAction": "NO_ACTION",
            "Notify": true
         },
         "MediumAction": { 
            "EventAction": "MFA_REQUIRED",
            "Notify": true
         }
      },
      "NotifyConfiguration": { 
         "BlockEmail": { 
            "Subject": "You have been blocked for suspicious activity",
            "TextBody": "We blocked {username} at {login-time} from {ip-address}."
         },
         "From": "admin@example.com",
         "MfaEmail": { 
            "Subject": "Suspicious activity detected, MFA required",
            "TextBody": "Unexpected sign-in from {username} on device {device-name}. You must use MFA."
         },
         "NoActionEmail": { 
            "Subject": "Suspicious activity detected, secure your user account",
            "TextBody": "We noticed suspicious sign-in activity by {username} from {city}, {country} at {login-time}. If this was not you, reset your password."
         },
         "ReplyTo": "admin@example.com",
         "SourceArn": "arn:aws:ses:us-west-2:123456789012:identity/admin@example.com"
      }
   },
   "ClientId": "1example23456789",
   "CompromisedCredentialsRiskConfiguration": { 
      "Actions": { 
         "EventAction": "BLOCK"
      },
      "EventFilter": [ "SIGN_UP", "SIGN_IN", "PASSWORD_CHANGE" ]
   },
   "RiskExceptionConfiguration": { 
      "BlockedIPRangeList": [ "192.0.2.1/32","192.0.2.2/32" ],
      "SkippedIPRangeList": [ "192.0.2.3/32","192.0.2.4/32" ]
   },
   "UserPoolId": "us-west-2_EXAMPLE"
}
```

------