**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 規則群組
本節說明 AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組的功能。
VendorName:`AWS`、Name:`AWSManagedRulesACFPRuleSet`、WCU:50
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP) 受管規則群組標籤和管理可能是詐騙帳戶建立嘗試一部分的請求。規則群組會透過檢查用戶端傳送到應用程式註冊和帳戶建立端點的帳戶建立請求來執行此操作。
ACFP 規則群組會以各種方式檢查帳戶建立嘗試,為您提供潛在惡意互動的可見性和控制。規則群組使用請求字符來收集有關用戶端瀏覽器和建立帳戶請求時人類互動程度的資訊。規則群組透過依 IP 地址和用戶端工作階段彙總請求,以及依提供的帳戶資訊彙總實體地址和電話號碼,來偵測和管理大量帳戶建立嘗試。此外,規則群組會使用已遭入侵的登入資料來偵測和封鎖新帳戶的建立,這有助於保護應用程式和新使用者的安全狀態。
## 使用此規則群組的考量事項
此規則群組需要自訂組態,其中包含應用程式帳戶註冊和帳戶建立路徑的規格。除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至這兩個端點的所有請求。若要設定和實作此規則群組,請參閱 中的指引[AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。
**注意**
當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱[中的智慧型威脅防禦 AWS WAF](waf-managed-protections.md)。
若要降低成本,並確保您視需要管理 Web 流量,請根據 中的指引使用此規則群組[中的智慧型威脅防禦最佳實務 AWS WAF](waf-managed-protections-best-practices.md)。
此規則群組不適用於 Amazon Cognito 使用者集區。您無法將使用此規則群組的保護套件 (Web ACL) 與使用者集區建立關聯,也無法將此規則群組新增至已與使用者集區建立關聯的保護套件 (Web ACL)。
## 此規則群組新增的標籤
此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件 (Web ACL) AWS WAF 中在此規則群組之後執行的規則使用。 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 [Web 請求標籤](waf-labels.md)和 [標籤指標和維度](waf-metrics.md#waf-metrics-label)。
### 字符標籤
此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。
如需字符和字符管理的資訊,請參閱 [用於 AWS WAF 智慧型威脅緩解的字符](waf-tokens.md)。
如需此處所述的標籤元件資訊,請參閱 [中的標籤語法和命名需求 AWS WAF](waf-rule-label-requirements.md)。
**用戶端工作階段標籤**
標籤`awswaf:managed:token:id:{{identifier}}`包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**瀏覽器指紋標籤**
標籤`awswaf:managed:token:fingerprint:{{fingerprint-identifier}}`包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多個字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。
**注意**
AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。
**字符狀態標籤:標籤命名空間字首**
字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。
每個字符狀態標籤都以下列其中一個命名空間字首開頭:
+ `awswaf:managed:token:` – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。
+ `awswaf:managed:captcha:` – 用來報告字符 CAPTCHA 資訊的狀態。
**字符狀態標籤:標籤名稱**
在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:
+ `accepted` – 請求字符存在且包含下列項目:
+ 有效的挑戰或 CAPTCHA 解決方案。
+ 未過期的挑戰或 CAPTCHA 時間戳記。
+ 適用於保護套件的網域規格 (Web ACL)。
範例:標籤`awswaf:managed:token:accepted`指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。
+ `rejected` – 請求字符存在,但不符合接受條件。
除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。
+ `rejected:not_solved` – 字符缺少挑戰或 CAPTCHA 解決方案。
+ `rejected:expired` – 權杖的挑戰或 CAPTCHA 時間戳記已過期,取決於您的保護套件 (Web ACL) 設定的權杖豁免時間。
+ `rejected:domain_mismatch` – 字符的網域不符合您的保護套件 (Web ACL) 字符網域組態。
+ `rejected:invalid` – AWS WAF 無法讀取指定的字符。
範例:標籤 `awswaf:managed:captcha:rejected`和 `awswaf:managed:captcha:rejected:expired`一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件 (Web ACL) 中設定的 CAPTCHA 字符豁免時間。
+ `absent` – 請求沒有字符或字符管理器無法讀取。
範例:標籤`awswaf:managed:captcha:absent`表示請求沒有字符。
### ACFP 標籤
此規則群組會產生具有命名空間字首的標籤,`awswaf:managed:aws:acfp:`後面接著自訂命名空間和標籤名稱。規則群組可能會將多個標籤新增至請求。
您可以透過 API 呼叫 來擷取規則群組的所有標籤`DescribeManagedRuleGroup`。這些標籤會列在回應的 `AvailableLabels` 屬性中。
## 帳戶建立詐騙預防規則清單
本節列出 中的 ACFP 規則,`AWSManagedRulesACFPRuleSet`以及規則群組規則新增至 Web 請求的標籤。
此規則群組中的所有規則都需要 Web 請求字符,前兩個 `UnsupportedCognitoIDP`和 除外`AllRequests`。如需字符提供的資訊說明,請參閱 [AWS WAF 字符特性](waf-tokens-details.md)。
除非另有說明,否則此規則群組中的規則會檢查用戶端傳送至您在規則群組組態中提供的帳戶註冊和帳戶建立頁面路徑的所有請求。如需設定此規則群組的詳細資訊,請參閱 [AWS WAF 詐騙控制帳戶建立詐騙預防 (ACFP)](waf-acfp.md)。
**注意**
本文件涵蓋此受管規則群組的最新版本。我們會在 的 changelog 日誌中報告版本變更[AWS 受管規則變更日誌](aws-managed-rule-groups-changelog.md)。如需其他版本的資訊,請使用 API 命令 [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。
我們為 AWS 受管規則規則群組中的規則發佈的資訊,旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。
如果您需要比此處更多的資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
| 規則名稱 | 描述和標籤 |
| --- | --- |
| UnsupportedCognitoIDP | 檢查傳送至 Amazon Cognito 使用者集區的 Web 流量。ACFP 不適用於 Amazon Cognito 使用者集區,此規則有助於確保不會使用其他 ACFP 規則群組規則來評估使用者集區流量。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:unsupported:cognito_idp`和 `awswaf:managed:aws:acfp:UnsupportedCognitoIDP` |
| AllRequests | 將規則動作套用至存取註冊頁面路徑的請求。您在設定規則群組時設定註冊頁面路徑。
根據預設,此規則會將 Challenge 套用至 請求。透過套用此動作,規則可確保用戶端在規則群組中的其餘規則評估任何請求之前,先取得挑戰字符。
確保您的最終使用者在提交帳戶建立請求之前載入註冊頁面路徑。
權杖會由用戶端應用程式整合 SDKs 和規則動作 CAPTCHA和 新增至請求Challenge。為了取得最有效率的權杖,我們強烈建議您使用應用程式整合 SDKs。如需詳細資訊,請參閱[中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。
規則動作:Challenge
標籤:無 |
| RiskScoreHigh | 檢查具有 IP 地址或其他被視為高度可疑因素的帳戶建立請求。此評估通常基於多個促成因素,您可以在規則群組新增至請求的`risk_score`標籤中看到這些因素。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:risk_score:high`和 `awswaf:managed:aws:acfp:RiskScoreHigh`
此規則也可能套用 `medium`或`low`風險分數標籤到請求。
如果 AWS WAF 無法成功評估 Web 請求的風險分數,則規則會新增標籤 `awswaf:managed:aws:acfp:risk_score:evaluation_failed `
此外,規則會新增包含風險分數評估狀態`awswaf:managed:aws:acfp:risk_score:contributor:`的命名空間標籤,以及特定風險分數貢獻者的結果,例如 IP 評價和遭竊的登入資料評估。 |
| SignalCredentialCompromised | 搜尋遭竊的登入資料資料庫,尋找在帳戶建立請求中提交的登入資料。
此規則可確保新用戶端以正面的安全狀態初始化其帳戶。 您可以新增自訂封鎖回應,向最終使用者描述問題,並告訴他們如何繼續。如需相關資訊,請參閱[ACFP 範例:針對遭到入侵的登入資料進行自訂回應](waf-acfp-control-example-compromised-credentials.md)。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:signal:credential_compromised`和 `awswaf:managed:aws:acfp:SignalCredentialCompromised`
規則群組會套用下列相關標籤,但不對其採取任何動作,因為並非所有建立帳戶的請求都會有登入資料: `awswaf:managed:aws:acfp:signal:missing_credential` |
| SignalClientHumanInteractivityAbsentLow | 檢查帳戶建立請求的字符是否有資料指出與應用程式有異常的人類互動。人類互動是透過滑鼠移動和按鍵等互動來偵測。如果頁面具有 HTML 表單,則人工互動包括與表單的互動。 此規則只會檢查帳戶建立路徑的請求,而且只有在您已實作應用程式整合 SDKs 時才會進行評估。開發套件實作被動擷取人類互動,並將資訊存放在請求字符中。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)及[中的用戶端應用程式整合 AWS WAF](waf-application-integration.md)。
規則動作:CAPTCHA
標籤:無。規則會根據不同的因素來決定相符項目,因此沒有適用於每個可能相符案例的個別標籤。
規則群組可以將下列一或多個標籤套用至請求:
`awswaf:managed:aws:acfp:signal:client:human_interactivity:{{low\|medium\|high}}`
`awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsent{{Low\|Medium\|High}}`
`awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`
`awswaf:managed:aws:acfp:signal:form_detected`. |
| AutomatedBrowser | 檢查用戶端瀏覽器是否可能自動化的指標。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:signal:automated_browser`和 `awswaf:managed:aws:acfp:AutomatedBrowser` |
| BrowserInconsistency | 檢查請求的字符是否有不一致的瀏覽器查詢資料。如需詳細資訊,請參閱[AWS WAF 字符特性](waf-tokens-details.md)。
規則動作:CAPTCHA
標籤: `awswaf:managed:aws:acfp:signal:browser_inconsistency`和 `awswaf:managed:aws:acfp:BrowserInconsistency` |
| VolumetricIpHigh | 檢查從個別 IP 地址傳送的大量帳戶建立請求。在 10 分鐘的時段內,大量超過 20 個請求。此規則套用的閾值可能因延遲而略有不同。對於高磁碟區,在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:CAPTCHA
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high`和 `awswaf:managed:aws:acfp:VolumetricIpHigh`
規則會將下列標籤套用至具有中等磁碟區 (每 10 分鐘超過 15 個請求) 和低磁碟區 (每 10 分鐘超過 10 個請求) 的請求,但不會對這些請求採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`。 |
| VolumetricSessionHigh | 檢查從個別用戶端工作階段傳送的大量帳戶建立請求。在 30 分鐘的時段內,大量超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high`和 `awswaf:managed:aws:acfp:VolumetricSessionHigh`
規則群組會將下列標籤套用至具有中等磁碟區 (超過每 30 分鐘 5 個請求) 和低磁碟區 (超過每 30 分鐘 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`。 |
| AttributeUsernameTraversalHigh | 檢查使用不同使用者名稱的單一用戶端工作階段是否有高速率的帳戶建立請求。高評估的閾值是在 30 分鐘內超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high`和 `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`
規則群組會將下列標籤套用至使用者名稱周遊請求的中等磁碟區 (超過每 30 分鐘 5 個請求) 和低磁碟區 (超過每 30 分鐘 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium`和 `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`。 |
| VolumetricPhoneNumberHigh | 檢查是否有大量使用相同電話號碼的帳戶建立請求。高評估的閾值是在 30 分鐘內超過 10 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high`和 `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh`
規則群組會將下列標籤套用至具有中等磁碟區 (每 30 分鐘超過 5 個請求) 和低磁碟區 (每 30 分鐘超過 1 個請求) 的請求,但不對其採取任何動作: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium`和 `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`。 |
| VolumetricAddressHigh | 檢查是否有大量使用相同實體地址的帳戶建立請求。高評估的閾值為每個 30 分鐘時段超過 100 個請求。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high`和 `awswaf:managed:aws:acfp:VolumetricAddressHigh` |
| VolumetricAddressLow | 檢查使用相同實體地址的低和中量帳戶建立請求。中評估的閾值是每 30 分鐘時段超過 50 個請求,而低評估則是每 30 分鐘時段超過 10 個請求。
此規則會套用中或低磁碟區的動作。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:CAPTCHA
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:address:{{low\|medium}}`和 `awswaf:managed:aws:acfp:VolumetricAddress{{Low\|Medium}}` |
| VolumetricIPSuccessfulResponse | 檢查單一 IP 地址是否有大量的成功帳戶建立請求。此規則會將受保護資源的成功回應彙總到帳戶建立請求。高評估的閾值為每個 10 分鐘時段超過 10 個請求。
此規則有助於防止大量帳戶建立嘗試。其閾值低於規則 `VolumetricIpHigh`,僅計算請求。
如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。
此規則會根據來自受保護資源的成功和失敗回應,以及來自相同 IP 地址的最近登入嘗試,將規則動作和標籤套用至來自 IP 地址的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端可能會傳送比規則在後續嘗試中開始比對之前允許的更成功的帳戶建立嘗試。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high`和 `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`
規則群組也會將下列相關標籤套用至請求,而沒有任何相關聯的動作。所有計數都適用於 10 分鐘的時段。`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium`對於 5 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low`對於 1 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high`對於 10 個以上的失敗請求,`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium`對於 5 個以上的失敗請求,以及對於 1 個`awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low`以上的失敗請求。 |
| VolumetricSessionSuccessfulResponse | 檢查從受保護資源到從單一用戶端工作階段傳送的帳戶建立請求的成功回應數量是否很低。這有助於防止大量帳戶建立嘗試。低評估的閾值是每 30 分鐘時段 1 個以上的請求。
這有助於防止大量帳戶建立嘗試。此規則使用的閾值低於只`VolumetricSessionHigh`追蹤請求的規則 。
如果您已設定規則群組來檢查回應內文或 JSON 元件, AWS WAF 可以檢查這些元件類型的前 65,536 個位元組 (64 KB) 是否有成功或失敗指標。
此規則會根據來自受保護資源的成功和失敗回應,以及來自相同用戶端工作階段的最近登入嘗試,將規則動作和標籤套用至來自用戶端工作階段的新 Web 請求。您可以在設定規則群組時,定義如何計算成功和失敗次數。 AWS WAF 只會在保護 Amazon CloudFront 分佈的保護套件 (Web ACLs) 中評估此規則。 此規則套用的閾值可能因延遲而略有不同。用戶端傳送失敗的帳戶建立嘗試次數可能超過規則在後續嘗試中開始比對之前允許的次數。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low`和 `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`
規則群組也會將下列相關標籤套用至請求。所有計數都適用於 30 分鐘的時段。`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high`對於 10 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium`對於 5 個以上的成功請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high`對於 10 個以上的失敗請求,`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium`對於 5 個以上的失敗請求,以及對於 1 個`awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low`以上的失敗請求。 |
| VolumetricSessionTokenReuseIp | 檢查帳戶建立請求是否在超過 5 個不同的 IP 地址中使用單一字符。 此規則套用的閾值可能因延遲而略有不同。在套用規則動作之前,有些請求可能會使其超過限制。
規則動作:Block
標籤: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip`和 `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp` |