Primeiros passos com o console do Apigee Sense

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Use este tópico para uma introdução ao console do Apigee Sense. No console, você pode conferir os resultados da análise do tráfego do Apigee Sense para os proxies de API. Quando você identifica clientes que fazem solicitações suspeitas, como em um ataque de bot, é possível usar o console para bloquear ou sinalizar solicitações a partir do endereço IP do cliente.

Conforme descrito em O que é o Apigee Sense?, O Apigee Sense coleta e analisa dados sobre solicitações às suas APIs. Por meio dessa análise, o Apigee Sense identifica padrões que podem representar solicitações suspeitas. Com o console do Apigee Sense, você pode ver e realizar ações de acordo com os resultados da análise das solicitações.

  1. Abra a nova experiência do Edge.
  2. Na nova experiência do Edge, clique no menu Analyze e em Sense.

  3. Na página Sense, você verá um resumo gráfico da atividade da solicitação, incluindo solicitações suspeitas.

  4. No canto superior direito do console, selecione a organização do Apigee Edge para a qual você quer visualizar os dados de solicitação.

    Esta é a organização que contém proxies de API para os quais o Apigee Sense está coletando dados de solicitação.

  5. No canto superior esquerdo, selecione uma data com dados de análise do Apigee Sense.

    Com uma data selecionada, os gráficos nesta página fornecem uma visão geral de alto nível da análise do Apigee Sense, incluindo o tráfego de solicitações.

Ver o resumo da análise da solicitação

É possível ter uma visualização de alto nível das atividades suspeitas. Com isso, é possível detalhar para mais detalhes.

  1. Na parte superior da página, clique no menu Detecção > Relatório para ver dados sobre atividades suspeitas encontradas entre solicitações.

    Na página Bot Analysis Report, a seção Suspected Bot Traffic na parte de cima resume o tráfego, com medidas específicas para solicitações suspeitas.

    A página "Detecção" também mostra duas visualizações de atividades suspeitas.

    • A opção Particion View agrupa os clientes de acordo com o motivo pelo qual o Apigee Sense os apresenta como suspeitos.
    • Visualização em lista: lista os clientes de solicitações por endereço IP, com vários outros aspectos dos dados.
  2. Na Visualização de partições, é possível ver o tráfego categorizado em padrões que representam atividade suspeita. Para saber mais sobre padrões, consulte Como tomar medidas em relação a atividades suspeitas. O tráfego de solicitação agrupado nesses padrões é um produto da análise dos dados de solicitação do Apigee Sense.

    Nem todas as solicitações que seguem um padrão são abusivas. Você está procurando uma contagem de bots e/ou tráfego muito altos.

    Por exemplo, o padrão Login Attempter representa um grande número de tentativas de acessar um proxy de login em uma janela de 24 horas. Na imagem a seguir, um número muito alto em Contagem de bots (em relação a outros padrões) indica que um grande número de clientes está tentando, em um único dia, acessar o proxy de login. Por isso, vale a pena investigar esse padrão.

Investigar usando os detalhes da análise

Depois de identificar um conjunto de solicitações que podem abranger atividade suspeita, como um ataque de bot, é possível ter uma visão mais detalhada das solicitações. Para isolar os ataques de bots genuínos, é necessário combinar a análise do Apigee Sense com seu próprio conhecimento de clientes que chamam suas APIs.

  1. Na Visualização de partição na página Detecção, localize um padrão em que você tem interesse, como um com uma contagem de bots muito alta, e clique no botão Visualizar para ver detalhes sobre o que o padrão representa.

    Aqui, você tem uma visualização detalhada da atividade de acordo com o padrão selecionado. Há alguns dados importantes da lista mostrada aqui:

    • Há um grande número de endereços IP - quase mil em 24 horas.
    • Há um número relativamente pequeno de organizações de sistema autônomo (AS) por trás desses IPs, e as organizações de AS são amplamente distribuídas geograficamente.
    • A contagem de tráfego de bots é bastante consistente, em torno de 250 a 260 cada em IPs. Isso também é representado pela medição de % de tráfego de bots.

    Juntas, essas informações sugerem que as solicitações desses IPs representam um ataque coordenado e mecanizado no URI de login.

  2. Para conferir mais detalhes sobre um único cliente, clique em um dos endereços IP na coluna à esquerda.

  3. Clique na guia Detecção para ver o que o Apigee Sense descobriu sobre as solicitações do endereço IP.

    Na parte superior da caixa de diálogo, você verá uma lista dos comportamentos detectados pelo Apigee Sense para solicitações desse endereço IP.

    Em Detecção, use as categorias no menu suspenso para decidir se as solicitações provenientes de um endereço IP devem ser tratadas de forma diferente pelo Apigee Edge. Por exemplo, as categorias de valor a seguir podem ajudar a descobrir se o endereço IP representa um ataque:

    • Código do status de resposta: Uma lista com um grande número de códigos de erro, como 500, sugere que um cliente está tentando repetidamente com a solicitação errada. Em outras palavras, um cliente que está simplesmente enviando a solicitação repetidamente sem estar ciente de um resultado de erro.
    • URI de solicitação. Alguns URIs são especialmente importantes como pontos de ataque. Uma delas é um URI de login.
  4. Clique na guia Proteção para ver uma lista de regras de proteção que já foram ativadas para solicitações desse endereço IP.

    As regras são listadas em ordem de precedência, com a ação de precedência mais alta (Permitir) na parte de cima e a mais baixa (Flag) na parte de baixo. No Apigee Sense, é possível realizar vários tipos de ações em um único endereço IP. Geralmente, isso ocorre porque você está realizando uma ação em um comportamento que inclui vários endereços IP, como o bloqueio de adivinhações brutas. No entanto, alguns endereços IP podem se enquadrar em padrões de comportamento indesejado, como o Brute Guessor, mas ainda serem IPs amigáveis, como quando você ou um parceiro estão testando o sistema. Nesse caso, você permitiria esses endereços IP específicos, independentemente do comportamento deles. Embora as ações dos três tipos sejam ativadas para o endereço IP, a ação "Permitir" tem precedência sobre uma ação "Bloquear" ou "Sinalizar".

    Depois de confirmar que um IP provavelmente representa um cliente em que você quer realizar ações, é possível interceptar as solicitações desse cliente.

  5. Em Visualização detalhada, clique no botão Fechar.

Realizar ações quando os clientes fizerem solicitações suspeitas

Você está confiante de que tem um cliente cujas solicitações você quer interceptar, como um ataque de bot? Crie uma regra para bloquear ou sinalizar solicitações do cliente antes que elas cheguem aos proxies.

  1. Na página Detecção, no Relatório de análise de bot, clique na guia Visualização da partição para voltar à visualização da lista de padrões.

    Na Visualização da partição, observe que a lista de padrões foi reduzida para incluir apenas o padrão que você selecionou para visualizar anteriormente. Isso ocorre porque, ao selecionar visualizar o padrão, você começou a filtrar a lista completa de resultados apenas para esse padrão. Os padrões que você está filtrando são mostrados na caixa Filtros perto da parte de cima da página.

  2. Na linha do padrão, clique no botão Agir para especificar uma ação a ser realizada para solicitações de IPs que correspondem ao padrão.

  3. Na caixa de diálogo Compor regra, defina como o Apigee Edge responderá a solicitações de IPs que fazem chamadas no padrão selecionado.

    Aqui você vai especificar uma regra que o Apigee Edge usa quando as solicitações são recebidas de um IP no padrão.

    1. Digite um nome para a nova regra, como Block login attempters.
    2. Na Lista de filtros, selecione a ação que você quer que o Apigee Edge realize:

      • Permita que a solicitação continue no proxy como antes.
      • Bloqueie a solicitação completamente antes que o proxy comece a processá-la.
      • Sinalize a solicitação fazendo com que o Apigee Edge adicione um cabeçalho HTTP especial que seu proxy possa procurar. O Apigee Edge adicionará um cabeçalho X-SENSE-BOT-DETECTED com um valor de SENSE. Por exemplo, é possível configurar seu proxy de modo que, ao receber uma solicitação de um cliente específico, você possa enviar dados fictícios para enganá-lo. Em seu proxy, você deve examinar os cabeçalhos das solicitações recebidas e responder de forma adequada quando uma solicitação sinalizada for recebida.
    3. Na caixa Regras, confirme se as regras exibidas são aquelas que você quer que o Apigee Sense use ao criar a regra.

    4. Em Ativo, selecione Sim para ativar a regra.

    5. Selecione um período após o qual você quer que a regra expire para que o Apigee Edge interrompa a aplicação.

  4. Clique em Criar para enviar a regra para o Apigee Edge.

Revise as regras que você criou

Se você tiver implementado regras para responder a determinados clientes, poderá gerenciá-las na página "Regras de proteção".

  1. Na parte de cima da página, clique no menu Proteção > Regras para conferir uma lista das regras em vigor.
  2. Na página Regras de proteção, é possível ver a lista das regras que você criou. Nessa página, você pode:
    • Digite um valor na caixa de pesquisa para filtrar as regras por valores da lista, como nome ou endereço IP.
    • Confira os detalhes de uma regra ou descubra em quais IPs você está realizando ações.
    • Clique em um valor na coluna Regras de filtro para ver o que compõe a regra na coluna.
    • Ative ou desative regras.