Erkennungsregeln anpassen

Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an. info

Sie können die Erkennungsregeln von Apigee Sense aufrufen oder anpassen, damit nur unerwünschte Anfragen erkannt werden. Mit den Erkennungsregeln von Apigee Sense werden Muster definiert, die möglicherweise unerwünschte Clientanfragen darstellen.

Weitere Informationen zum Ansehen der Ergebnisse von Erkennungsregeln finden Sie unter Erste Schritte mit der Apigee Sense Console.

Beispiel für die Optimierung

Möglicherweise haben Sie in Ihren Berichten zur Erkennung festgestellt, dass einige unerwünschte Anfragen dem Muster von Brute-Force-Angriffen entsprechen, bei denen innerhalb eines Zeitraums von 24 Stunden ein größerer Anteil an Antwortfehlern gemeldet wird. Sie stellen jedoch auch fest, dass das Muster Anfragen erfasst, die Sie über Ihre API-Proxys zulassen möchten.

Wenn Sie das Muster für den Brute-Force-Angriff anpassen (siehe folgende Tabelle), können Sie erwünschte Anfragen besser zulassen und unerwünschte Anfragen besser erkennen. Das Brute-Force-Muster definiert die Bedingungen und Werte, die in der folgenden Tabelle aufgeführt sind. Wenn eine Reihe von Anfragen innerhalb eines Zeitraums von 24 Stunden diese Bedingungen erfüllt, meldet Apigee Sense, dass diese Anfragen dem Muster eines Brute-Force-Angriffs entsprechen.

Bedingungen Wert
Mindestanzahl von Aufrufen über IP 100
Mindestprozentsatz der Fehler 90

Es kann Szenarien geben, in denen Ihr Design mehr als 90% der Fehler innerhalb von 24 Stunden zulässt. In diesem Fall werden aufgrund der Schutzeinstellung der Regel möglicherweise legitime Quellen blockiert. Mit dieser Funktion können Sie die Bedingungswerte ändern. Im vorherigen Beispiel könnten Sie als Erstes die Bedingungswerte in Folgendes ändern:

Bedingungen Wert
Mindestanzahl von Aufrufen über IP 100
Mindestprozentsatz der Fehler 95

Welche Anpassungen Sie vornehmen, hängt davon ab, was Ihre Anfragedaten über die Nutzung Ihrer APIs durch gültige Clients aussagen. Sie werden jedoch wahrscheinlich feststellen, dass der Prozess iterativ ist, d. h., dass Sie schrittweise Änderungen vornehmen, bis Sie eine nützliche Regeldefinition erhalten.

Erkennung iterativ optimieren

Bei Erkennungsregeln, die angepasst werden müssen, empfiehlt sich ein inkrementeller und iterativer Ansatz. Aufgrund des Erkennungs- und Analysezyklus von Apigee Sense kann jede Iteration etwa einen Tag dauern. In diesem Zyklus speichert Apigee Sense Metadaten zu Clientanfragen, analysiert diese Daten in einem Batch und präsentiert Ihnen die Ergebnisse dann in der Apigee Sense-Konsole.

Sie können beispielsweise den folgenden Prozess verwenden:

  1. Verwenden Sie die Erkennungsberichte in der Apigee Sense-Konsole, um eine Erkennungsregel zu identifizieren, die optimiert werden könnte, z. B. eine Regel, die zu viele Anfragen erkennt, die tatsächlich nützlich sind.
  2. Ermitteln Sie, welche der Bedingungen der Regel angepasst werden müssen, damit ein höherer Prozentsatz unerwünschter Anfragen erfasst wird.
  3. Bearbeiten Sie die Regel in der Apigee Sense Console, um die von Ihnen ermittelten Bedingungswerte geringfügig zu ändern.
  4. Nach einer Stunde können Sie anhand der Erkennungsberichte prüfen, ob die Änderung die gewünschte Wirkung erzielt hat.
  5. Wiederholen Sie den Schritt zum Eingrenzen der Auswahl gegebenenfalls, bis Sie nützliche Ergebnisse erhalten.

Richtlinien und Best Practices

Beachten Sie beim Anpassen von Erkennungsregeln Folgendes:

  • Die Bedingungen einer Regel werden in einer logischen AND-Beziehung kombiniert. Wenn also drei Bedingungen festgelegt sind, müssen alle drei erfüllt sein, damit Anfragen dem Muster der Regel entsprechen.
  • Einige Regelbedingungen definieren Mindestgrenzwerte, andere Höchstgrenzwerte.
  • Passen Sie die Regeln so an, dass genügend Anfragen erfasst werden, um unerwünschten Traffic zu identifizieren, aber nicht so viele, dass auch nützlicher Traffic erfasst wird. Als Best Practice sollten Sie lieber weniger Anfragen erfassen, um nützlichen Traffic zu vermeiden.
  • Sehr kleine Änderungen an den Bedingungswerten können sich möglicherweise nicht merklich auswirken. Überlegen Sie selbst, wie groß die Änderung sein soll.

Weitere Informationen zu Mustern, Bedingungen und Zeitfenstern finden Sie im Hilfeartikel Maßnahmen bei verdächtigen Aktivitäten ergreifen.

Erkennungsregel anpassen

Wenn Sie eine Erkennungsregel gefunden haben, die angepasst werden könnte, können Sie mit den folgenden Schritten eine Erkennungsregel aufrufen oder anpassen oder Regeln deaktivieren, die Sie für unnötig halten. Außerdem sehen Sie, wer die Regel zuletzt bearbeitet hat.

  1. Öffnen Sie die neue Edge-Version.
  2. Klicken Sie in der neuen Edge-Version auf das Menü Analysieren und dann auf Erkennen.
  3. Klicken Sie in der Navigationsleiste auf Erkennung > Regeln.
  4. Suchen Sie auf der Seite Erkennungsregeln nach der Regel, die Sie ansehen oder anpassen möchten.
  5. Bewegen Sie den Mauszeiger in der Liste auf die Zeile der Regel und klicken Sie dann auf die Schaltfläche ganz rechts in der Zeile. Im Folgenden ist die Schaltfläche „Bearbeiten“ zu sehen, die für Administratoren verfügbar ist. Sie können auch Regeln deaktivieren, sodass Apigee Sense keine Anfragen an Ihre APIs mehr anhand dieses Musters bewertet.
  6. Rufen Sie im Dialogfeld der Regel die Bedingungswerte auf oder passen Sie sie an.
  7. Klicken Sie auf Speichern.
  8. Nach einer Stunde können Sie die Analyseergebnisse im Bericht „Erkennung“ prüfen, um zu sehen, ob Ihre Änderungen das gewünschte Ergebnis erzielt haben.