ATP 示例:对缺失和泄露的凭证进行自定义处理 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

ATP 示例:对缺失和泄露的凭证进行自定义处理

默认情况下,由规则组执行的凭证检查AWSManagedRulesATPRuleSet按如下方式处理 Web 请求:

  • 缺少凭证— 标签和屏蔽请求。

  • 凭证被泄露— 标签请求,但不要屏蔽或计数。

有关规则组和规则行为的详细信息,请参阅Amazon WAF欺诈控制账户接管防范 (ATP) 规则组.

您可以通过执行以下操作,为缺少凭证或证书泄露的 Web 请求添加自定义处理功能:

  • ExcludeMissingCredential规则— 当您排除此阻止规则时,它只计算和标记匹配的请求。

  • 使用自定义处理添加标签匹配规则— 将您的规则配置为与两个 ATP 标签相匹配并执行自定义处理。例如,您可以将客户重定向到您的注册页面。

以下规则显示了前面示例中的 ATP 托管规则组,MissingCredential规则已排除。这种排除会导致规则将其标签应用于匹配的请求,然后只计算请求数,而不是阻止请求。

"Rules": [
    {
        "Priority": 1,
        "OverrideAction": {
            "None": {}
        },
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "AccountTakeOverValidationRule"
        },
        "Name": "DetectCompromisedUserCredentials",
        "Statement": {
            "ManagedRuleGroupStatement": {
                "ManagedRuleGroupConfigs": [
                    {
                        "UsernameField": {
                           "Identifier": "/form/username"
                        }
                    },
                    {
                        "PasswordField": {
                            "Identifier": "/form/password"
                        }
                    },
                    {
                        "PayloadType": "JSON"
                    },
                    {
                        "LoginPath": "/web/login"
                    }
                ],
                "VendorName": "AWS",
                "Name": "AWSManagedRulesATPRuleSet",
                "ExcludedRules": [
                  {
                    "Name": "MissingCredential"
                  }
                ]
            }
        }
    }
],

使用此配置,当此规则组评估任何缺失或泄露凭据的 Web 请求时,它将标记该请求,但不会将其阻止。

以下规则的数字优先级高于前面的规则组,因此在规则组评估后对其进行评估。它被配置为匹配任一凭证标签,并为匹配的请求发送自定义响应。

"Name": "redirectToSignup",
      "Priority": 10,
      "Statement": {
        "OrStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:missing_credential"
              }
            },
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:credential_compromised"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
             your custom response settings 
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "redirectToSignup"
      }