Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen
In diesem Thema erhalten Sie eine Einführung in die Apigee Sense-Konsole. In der Konsole können Sie die Ergebnisse der Apigee Sense-Analyse des Traffics zu Ihren API-Proxys anzeigen. Wenn Sie Clients identifizieren, die verdächtige Anfragen stellen, z. B. bei einem Bot-Angriff, können Sie über die Console Anfragen von der IP-Adresse des jeweiligen Clients blockieren oder melden.
Wie unter Was ist Apigee Sense? beschrieben, Apigee Sense sammelt und analysiert Daten zu Anfragen an Ihre APIs. Anhand dieser Analyse identifiziert Apigee Sense Muster, die verdächtige Anfragen darstellen könnten. Mit der Apigee Sense-Konsole können Sie Anfrageanalyseergebnisse ansehen und darauf reagieren.
- Öffnen Sie New Edge.
Klicken Sie in der New Edge-Umgebung auf das Menü Analysieren und dann auf Sense.
Auf der Seite Sense sehen Sie eine grafische Übersicht der Anfrageaktivitäten, einschließlich verdächtiger Anfragen.
Wählen Sie in der oberen rechten Ecke der Konsole die Organisation Apigee Edge aus, für die Sie Anfragedaten anzeigen möchten.
Dies ist die Organisation mit API-Proxys, für die Apigee Sense Anfragedaten erfasst.
Wählen Sie oben links ein Datum aus, für das Apigee Sense-Analysedaten vorliegen.
Wenn ein Datum ausgewählt ist, bieten die Diagramme auf dieser Seite einen sehr allgemeinen Überblick über die Apigee Sense-Analyse, einschließlich des Anforderungstraffics.
Zusammenfassung der Anfrageanalyse ansehen
Sie können sich einen groben Überblick über verdächtige Aktivitäten verschaffen. Damit können Sie weitere Details aufschlüsseln.
Klicken Sie oben auf der Seite auf das Menü Erkennung > Melden, um Daten zu verdächtigen Aktivitäten in Anfragen aufzurufen.
Auf der Seite Bot-Analysebericht wird im Abschnitt Verdächtiger Bot-Traffic der Traffic zusammengefasst. Dabei werden spezielle Messwerte für verdächtige Anfragen angezeigt.
Die Seite „Erkennung“ bietet außerdem zwei Ansichten zu verdächtigen Aktivitäten.
- Die Partitionsansicht gruppiert Clients nach dem Grund, aus dem Apigee Sense sie als verdächtig darstellt.
- In der Listenansicht werden die Anfrageclients sowie verschiedene andere Aspekte der Daten anhand ihrer IP-Adresse aufgelistet.
In der Partitionsansicht können Sie den nach Mustern kategorisierten Traffic ansehen, der verdächtige Aktivitäten darstellt. Weitere Informationen zu Mustern finden Sie unter Maßnahmen bei verdächtigen Aktivitäten ergreifen. Der in diese Muster gruppierte Anfragetraffic ist ein Produkt der Analyse Ihrer Anfragedaten durch Apigee Sense.
Nicht alle Anfragen, die einem Muster entsprechen, sind missbräuchlich. Sie suchen nach einer sehr hohen Anzahl an Bots und/oder sehr hohen Zugriffszahlen.
Das Muster Anmeldeversuche stellt beispielsweise eine große Anzahl von Versuchen dar, einen Anmelde-Proxy innerhalb von 24 Stunden zu erreichen. In der folgenden Abbildung weist eine im Vergleich zu anderen Mustern sehr hohe Bot Count (Anzahl der Bots) darauf hin, dass eine große Anzahl von Clients versucht, den Anmelde-Proxy an einem einzigen Tag zu erreichen. Deshalb lohnt es sich, dieses Muster zu untersuchen.
Analysedetails verwenden
Sobald Sie eine Reihe von Anfragen ermittelt haben, die verdächtige Aktivitäten umfassen könnten, z. B. einen Bot-Angriff, können Sie sich eine detailliertere Ansicht der Anfragen anzeigen lassen. Um echte Bot-Angriffe zu isolieren, müssen Sie die Apigee Sense-Analyse mit Ihrem eigenen Wissen über Clients kombinieren, die Ihre APIs aufrufen.
Suchen Sie in der Partitionsansicht auf der Seite Erkennung ein Muster, das Sie interessiert, z. B. eines mit einer sehr hohen Anzahl von Bots. Klicken Sie dann auf die Schaltfläche Ansicht, um Details zum Muster aufzurufen.
Hier sehen Sie eine Aufschlüsselungsansicht der Aktivitäten, die dem ausgewählten Muster entsprechen. Die hier gezeigte Liste enthält einige erwähnenswerte Daten:
- Es gibt sehr viele IP-Adressen – fast tausend in 24 Stunden.
- Hinter diesen IP-Adressen steht eine vergleichsweise kleine Anzahl autonomer Systeme (AS), und die AS-Organisationen sind geografisch weit verteilt.
- Die Anzahl der Bot-Zugriffe ist auf den IP-Adressen ziemlich konsistent und liegt bei 250 bis 260. Dies wird auch durch den Messwert % der Bot-Zugriffe dargestellt.
Zusammengenommen deuten diese Informationen darauf hin, dass Anfragen von diesen IP-Adressen einen koordinierten, mechanischen Angriff auf die Anmelde-URI darstellen.
Wenn Sie noch mehr Details zu einem einzelnen Client sehen möchten, klicken Sie auf eine der IP-Adressen in der linken Spalte.
Klicken Sie auf den Tab Erkennung, um zu sehen, was Apigee Sense über Anfragen von der IP-Adresse gefunden hat.
Oben im Dialogfeld sehen Sie eine Liste der Verhaltensweisen, die von Apigee Sense bei Anfragen von dieser IP-Adresse erkannt wurden.
Verwenden Sie unter Erkennung die Kategorien im Drop-down-Menü, um zu entscheiden, ob die Anfragen von einer IP-Adresse von Apigee Edge anders verarbeitet werden sollen. Mit den folgenden Wertkategorien können Sie beispielsweise herausfinden, ob die IP-Adresse einen Angriff darstellt:
- Antwortstatuscode: Eine Liste, die von einer hohen Anzahl von Fehlercodes wie 500 dominiert wird, deutet darauf hin, dass ein Client es wiederholt mit der falschen Anforderung versucht. Mit anderen Worten, ein Client, der die Anfrage einfach wiederholt sendet, ohne ein Fehlerergebnis zu bemerken.
- Anfrage-URI: Einige URIs sind als Angriffspunkte besonders wichtig. Dazu gehört auch ein Anmelde-URI.
Klicken Sie auf den Tab Schutz, um eine Liste der Schutzregeln aufzurufen, die bereits für Anfragen von dieser IP-Adresse aktiviert wurden.
Die Regeln sind nach Priorität geordnet, wobei die Aktion mit der höchsten Priorität (Zulassen) oben und die Aktion (Flag) mit der niedrigsten Priorität unten steht. In Apigee Sense können Sie mehrere Arten von Aktionen für eine einzelne IP-Adresse ausführen. Normalerweise liegt das daran, dass Sie Aktionen aufgrund eines Verhaltens ausführen, das mehrere IP-Adressen umfasst, z. B. Brute-Rätselraten. Einige IP-Adressen entsprechen möglicherweise unerwünschten Verhaltensmustern, wie z. B. „Burte Guessor“, sind aber dennoch nutzerfreundliche IP-Adressen, z. B. wenn Sie oder ein Partner Ihr System testen. In diesem Fall sollten Sie diese IP-Adressen unabhängig von ihrem Verhalten zulassen. Obwohl also Aktionen aller drei Typen für die IP-Adresse aktiviert werden, hat die Zulassungsaktion Vorrang vor einer Sperr- oder Markierungsaktion.
Nachdem Sie sich vergewissert haben, dass eine IP-Adresse wahrscheinlich einen Client darstellt, für den Sie eine Aktion ausführen möchten, können Sie Anfragen von diesem Client abfangen.
Klicken Sie in der Detailansicht auf die Schaltfläche Schließen.
Maßnahmen bei Kunden ergreifen, die verdächtige Anfragen stellen
Sind Sie sicher, dass Sie einen Client haben, dessen Anfragen Sie abfangen möchten, z. B. einen Bot-Angriff? Erstellen Sie eine Regel, um Anfragen des Clients zu blockieren oder zu kennzeichnen, bevor die Anfrage Ihre Proxys erreicht.
Klicken Sie auf der Seite Erkennung im Bot-Analysebericht auf den Tab Partitionsansicht, um zur Musterliste zurückzukehren.
Beachten Sie, dass die Musterliste in der Partitionsansicht gekürzt wurde und nur das Muster enthält, das Sie zuvor für die Ansicht ausgewählt haben. Das liegt daran, dass Sie begonnen haben, die gesamte Ergebnisliste nach diesem Muster zu filtern, als Sie die Anzeige des Musters ausgewählt hatten. Die Muster, nach denen Sie filtern, werden im Feld Filter oben auf der Seite angezeigt.
Klicken Sie in der Zeile für das Muster auf die Schaltfläche Handeln, um eine Aktion anzugeben, die für Anfragen von IP-Adressen ausgeführt werden soll, die dem Muster entsprechen.
Legen Sie im Dialogfeld Compose Rule (Regel erstellen) fest, wie Apigee Edge auf Anfragen von IP-Adressen reagiert, die Aufrufe in dem von Ihnen ausgewählten Muster ausführen.
Hier geben Sie eine Regel an, die Apigee Edge verwendet, wenn Anfragen von einer IP-Adresse im Muster empfangen werden.
- Geben Sie einen Namen für die neue Regel ein, z. B.
Block login attempters
. Wählen Sie in der Filterliste die Aktion aus, die Apigee Edge ausführen soll:
- Zulassen, dass die Anfrage wie zuvor an Ihren Proxy weitergeleitet wird.
- Blockieren Sie die Anfrage vollständig, bevor der Proxy mit ihrer Verarbeitung beginnt.
- Kennzeichnen Sie die Anfrage, indem Sie Apigee Edge bitten, einen speziellen HTTP-Header hinzuzufügen, nach dem Ihr Proxy suchen kann. Apigee Edge fügt einen
X-SENSE-BOT-DETECTED
-Header mit dem WertSENSE
hinzu. Sie können Ihren Proxy beispielsweise so einrichten, dass Sie bei Erhalt einer Anfrage von einem bestimmten Client Dummy-Daten zurücksenden können, um diese in die Irre zu führen. In Ihrem Proxy prüfen Sie die Header eingehender Anfragen und reagieren entsprechend, wenn eine markierte Anfrage eingeht.
Bestätigen Sie im Feld Regeln, dass die angezeigten Regeln den Regeln entsprechen, die Apigee Sense beim Erstellen der Regel verwenden soll.
Wählen Sie unter Aktiv die Option Ja aus, um die Regel zu aktivieren.
Wählen Sie einen Zeitraum aus, nach dem die Regel ablaufen soll (damit Apigee Edge die Regel nicht mehr erzwingen soll).
- Geben Sie einen Namen für die neue Regel ein, z. B.
Klicken Sie auf Erstellen, um die Regel an Apigee Edge zu senden.
Erstellte Regeln überprüfen
Wenn Sie Regeln festgelegt haben, um auf bestimmte Kunden zu reagieren, können Sie die Regeln auf der Seite „Schutzregeln“ verwalten.
- Klicken Sie oben auf der Seite auf das Menü Schutz > Regeln, um eine Liste der vorhandenen Regeln aufzurufen.
- Auf der Seite Schutzmaßnahmen können Sie eine Liste der von Ihnen erstellten Regeln aufrufen. Hier können Sie Folgendes tun:
- Geben Sie einen Wert in das Suchfeld ein, um Regeln nach Werten in der Liste zu filtern, z. B. nach Name oder IP-Adresse.
- Sehen Sie sich die Details einer Regel an oder finden Sie heraus, für welche IP-Adressen Sie Aktionen ausführen.
- Klicken Sie auf einen Wert in der Spalte Filterregeln, um zu sehen, worin die Regel besteht.
- Regeln aktivieren oder deaktivieren