Apigee Sense 控制台使用入门

您正在查看 Apigee Edge 文档。
前往 Apigee X 文档 信息

通过本主题,您可以简要了解 Apigee Sense 控制台。在控制台中,您可以查看 Apigee Sense 对 API 代理流量进行分析的结果。如果您发现发出可疑请求的客户端(例如在遭到机器人攻击时),可以使用控制台采取措施,屏蔽或标记来自该客户端 IP 地址的请求。

Apigee Sense 是什么?中所述,Apigee Sense 会收集和分析与 API 请求相关的数据。通过此分析,Apigee Sense 会识别可能代表可疑请求的模式。借助 Apigee Sense 控制台,您可以查看请求分析结果并据此采取行动。

  1. 打开全新 Edge 体验

  2. 在新版 Edge 中,点击分析菜单,然后点击 Sense

  3. 感知页面上,您会看到请求活动(包括可疑请求)的图形快照。

  4. 在控制台的右上角,选择要查看其请求数据的 Apigee Edge 组织

    这是包含 Apigee Sense 正在收集请求数据的 API 代理的组织。

  5. 在左上角,选择您有 Apigee Sense 分析数据的日期。

    选择日期后,此页面上的图表会提供 Apigee Sense 分析(包括请求流量)的概览。

查看请求分析摘要

您可以大致了解可疑活动。借助此功能,您可以展开细目,了解更多详情。

  1. 在页面顶部,依次点击检测 > 报告菜单,查看在请求中发现的可疑活动的相关数据。

    聊天机器人分析报告页面上,顶部的疑似聊天机器人流量部分会汇总流量,并提供针对可疑请求的具体衡量结果。

    “检测”页面还提供了两种可疑活动视图。

    • 分区视图会按 Apigee Sense 将客户端列为可疑的原因对客户端进行分组。
    • 列表视图会按 IP 地址列出请求客户端,以及数据的其他几个方面。

  2. 分区视图中,您可以查看被分类为代表可疑活动的模式的流量。如需详细了解模式,请参阅在遇到可疑活动时采取针对性措施。划分为这些模式的请求流量是 Apigee Sense 对请求数据进行分析的结果。

    并非所有符合某种模式的请求都是滥用请求。您希望查找非常高的聊天机器人数量和/或流量数据。

    例如,“登录尝试者”模式表示在 24 小时内有大量尝试访问登录代理的行为。在下图中,聊天机器人数量数值非常高(与其他模式相比),表示大量客户在一天内尝试访问登录代理。因此,值得研究这种模式。

使用分析详情进行调查

确定一组可能包含可疑活动(例如聊天机器人攻击)的请求后,您可以更详细地了解这些请求。若要隔离真正的漫游器攻击,您需要将 Apigee Sense 分析与您对调用 API 的客户端的了解相结合。

  1. 检测页面的分区视图中,找到您感兴趣的模式(例如机器人数量非常高的模式),然后点击其查看按钮,详细了解该模式代表的内容。

    在这里,您可以按您选择的模式查看活动的展开视图。此处列表中有一些值得注意的数据:

    • 有大量 IP 地址(24 小时内将近 1,000 个)。
    • 这些 IP 背后的自治系统 (AS) 组织数量相对较少,并且这些 AS 组织在地域上分布广泛。
    • 每个 IP 地址的聊天机器人流量数非常稳定,约为 250-260 次。这也通过聊天机器人流量占比衡量指标表示。

    综合来看,这些信息表明来自这些 IP 地址的请求是对登录 URI 进行协调的自动化攻击。

  2. 如需查看单个客户端的更多详细信息,请点击左侧列中的某个 IP 地址。

  3. 点击检测标签页,查看 Apigee Sense 发现的来自该 IP 地址的请求相关信息。

    在对话框顶部,您会看到 Apigee Sense 针对来自此 IP 地址的请求检测到的行为列表。

    检测下,使用下拉菜单中的类别来确定 Apigee Edge 是否应对来自某个 IP 地址的请求采用不同的处理方式。例如,以下值类别可帮助您确定 IP 地址是否代表攻击:

    • 响应状态代码。如果列表中大量出现 500 等错误代码,则表明客户端反复尝试使用错误的请求。换句话说,客户端只是重复发送请求,而没有意识到错误结果。
    • 请求 URI。某些 URI 作为攻击点尤为重要。登录 URI 就是其中之一。

  4. 点击保护标签页,查看已针对来自此 IP 地址的请求启用的保护规则列表。

    规则按优先级顺序列出,优先级最高的操作(允许)位于顶部,优先级最低的操作(标记)位于底部。在 Apigee Sense 中,您可以对单个 IP 地址执行多种操作。通常,这是因为您针对包含多个 IP 地址的行为采取了措施,例如屏蔽暴力猜测攻击者。不过,某些 IP 地址可能符合不良行为模式(例如暴力破解),但仍然是友好的 IP,例如您或合作伙伴在测试系统时。在这种情况下,您可以允许这些特定 IP 地址,无论其行为如何。因此,虽然系统会为该 IP 地址启用这三种类型的操作,但“允许”操作的优先级高于“屏蔽”或“标记”操作。

    确认某个 IP 地址可能代表您要采取措施的客户端后,您可以采取措施来拦截来自该客户端的请求。

  5. 详细视图中,点击关闭按钮。

对发出可疑请求的客户端采取措施

确定您有需要拦截请求的客户端(例如漫游器攻击)吗?编写规则,以便在请求到达代理之前屏蔽或标记来自客户端的请求。

  1. 检测页面的聊天机器人分析报告中,点击分区视图标签页,即可返回查看模式列表。

    请注意,在分区视图中,模式列表已缩短,仅包含您之前选择查看的模式。这是因为,当您选择查看该模式时,系统会开始过滤完整的结果列表,只显示与该模式匹配的结果。您要过滤的模式会显示在页面顶部附近的过滤条件框中。

  2. 在相应模式对应的行中,点击操作按钮,指定针对与模式匹配的 IP 地址发来的请求要执行的操作。

  3. Compose Rule 对话框中,定义 Apigee Edge 将如何响应以您所选模式进行调用的 IP 地址发来的请求。

    在这里,您将指定 Apigee Edge 在收到来自模式中的 IP 的请求时要使用的规则。

    1. 输入新规则的名称,例如 Block login attempters

    2. 过滤条件列表中,选择您希望 Apigee Edge 执行的操作:

      • 允许请求继续进入您的代理,就像之前一样。
      • 在代理开始处理请求之前,请完全屏蔽该请求。
      • 通过让 Apigee Edge 添加代理可以查找的特殊 HTTP 标头来标记请求。Apigee Edge 会添加一个值为 SENSEX-SENSE-BOT-DETECTED 标头。例如,您可能需要设置代理,以便在收到特定客户端的请求时,您可以发回虚构数据来误导他们。在代理中,您需要检查传入请求的标头,然后在收到被标记的请求时做出适当响应。

    3. 规则框中,确认显示的规则是您希望 Apigee Sense 在创建规则时使用的规则。

    4. 对于活跃,请选择以启用该规则。

    5. 选择您希望规则在多长时间后过期(以便 Apigee Edge 停止强制执行该规则)。

  4. 点击创建以将规则发送到 Apigee Edge。

查看您创建的规则

如果您已采取措施来制定规则来应对特定客户,则可以在“保护规则”页面上管理这些规则。

  1. 在页面顶部,依次点击保护 > 规则菜单,查看您已设置的规则列表。
  2. 保护规则页面上,您可以查看自己创建的规则列表。之后,您可以:
    • 在搜索框中输入一个值,即可按列表中的值(例如名称或 IP 地址)过滤规则。
    • 查看规则的详细信息,或了解您要对哪些 IP 执行操作。
    • 点击“过滤规则”列中的某个值,即可查看该规则的组成部分。
    • 启用或停用规则。