Comienza a usar la consola de Apigee Sense

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

Usa este tema para obtener una introducción a la consola de Apigee Sense. En la consola, puedes ver los resultados del análisis del tráfico de Apigee Sense a tus proxies de API. Cuando identificas clientes que realizan solicitudes sospechosas, como en un ataque de bot, puedes usar la consola y bloquear o marcar solicitudes desde la dirección IP de ese cliente para tomar medidas.

Tal como se describe en la sección ¿Qué es Apigee Sense?, Apigee Sense recopila y analiza datos sobre las solicitudes a tus APIs. A través de este análisis, Apigee Sense identifica patrones que podrían representar solicitudes sospechosas. Con la consola de Apigee Sense, puedes ver los resultados del análisis de solicitudes y tomar medidas al respecto.

  1. Abre la nueva experiencia de Edge.
  2. En la nueva experiencia de Edge, haz clic en el menú Analyze y, luego, en Sense.

  3. En la página de Sense, verás una instantánea gráfica de la actividad de la solicitud, incluidas las solicitudes sospechosas.

  4. En la esquina superior derecha de la consola, selecciona la organización de Apigee Edge de la que deseas ver los datos de solicitud.

    Esta es la organización que contiene los proxies de API para los que Apigee Sense recopila datos de solicitudes.

  5. En la esquina superior izquierda, selecciona una fecha para la que tengas datos de análisis de Apigee Sense.

    Con una fecha seleccionada, los gráficos de esta página proporcionan una descripción general de muy alto nivel del análisis de Apigee Sense, incluido el tráfico de solicitudes.

Cómo ver el resumen del análisis de solicitudes

Puedes obtener una vista de alto nivel de la actividad sospechosa. Con esto, puedes desglosar la información para obtener más detalles.

  1. En la parte superior de la página, haz clic en el menú Detección > Informar para ver los datos sobre la actividad sospechosa que se encontró entre las solicitudes.

    En la página Informe de análisis de bots, en la sección Tráfico sospechoso de bots que se encuentra en la parte superior, se resume el tráfico, con mediciones específicas de las solicitudes sospechosas.

    La página Detección también proporciona dos vistas de actividad sospechosa.

    • Vista de partición agrupa a los clientes según el motivo por el que Apigee Sense los presenta como sospechosos.
    • En la vista de lista, se muestran los clientes de solicitud según su dirección IP, junto con otros aspectos de los datos.
  2. En la Vista de partición, puede ver el tráfico categorizado en patrones que representan actividad sospechosa. Para obtener más información sobre los patrones, consulta Cómo realizar acciones ante actividad sospechosa. El tráfico de solicitudes agrupado en estos patrones es un producto del análisis de Apigee Sense de tus datos de solicitudes.

    No todas las solicitudes que se ajustan a un patrón son abusivas. Si buscas cifras muy altas de tráfico o bots.

    Por ejemplo, el patrón Intent de acceso representa una gran cantidad de intentos para acceder a un proxy de acceso en un período de 24 horas. En la siguiente imagen, un número muy alto de Bot Count (recuento de bots) (en relación con otros patrones) indica que una gran cantidad de clientes están intentando acceder al proxy de acceso en un solo día. Por eso, vale la pena investigar este patrón.

Investiga con los detalles del análisis

Una vez que hayas identificado el conjunto de solicitudes que podrían comprender actividad sospechosa, como un ataque de bot, podrás obtener una vista más detallada de las solicitudes. Para aislar los ataques genuinos de bots, deberás combinar el análisis de Apigee Sense con tu propio conocimiento de los clientes que llaman a tus APIs.

  1. En la Vista de partición, en la página Detección, busca un patrón que te interese, como uno con una cantidad muy alta de bots, y haz clic en el botón Ver para ver los detalles sobre lo que representa el patrón.

    Aquí, se mostrará una vista desglosada de la actividad que se ajusta al patrón que seleccionaste. Hay algunos datos notables de la lista que se muestra a continuación:

    • Existe una gran cantidad de direcciones IP: casi mil en 24 horas.
    • Hay una cantidad comparativamente pequeña de organizaciones de sistemas autónomos (AS) detrás de esas IP, y estas organizaciones están ampliamente distribuidas geográficamente.
    • El recuento de tráfico de bots es bastante coherente, de alrededor de 250 a 260 en cada IP. Esto también se representa mediante la medición del % de tráfico de bots.

    En conjunto, esta información sugiere que las solicitudes de estas IP representan un ataque coordinado y mecanizado en el URI de acceso.

  2. Para ver más detalles sobre un solo cliente, haz clic en una de las direcciones IP de la columna de la izquierda.

  3. Haz clic en la pestaña Detección para ver lo que Apigee Sense descubrió sobre las solicitudes provenientes de la dirección IP.

    En la parte superior del cuadro de diálogo, verás una lista de los comportamientos que detecta Apigee Sense para las solicitudes que provienen de esta dirección IP.

    En Detección, usa las categorías del menú desplegable para decidir si Apigee Edge debería manejar de manera diferente las solicitudes que provienen de una dirección IP. Por ejemplo, las siguientes categorías de valores pueden ayudarte a determinar si la dirección IP representa un ataque:

    • Código de estado de la respuesta. Una lista dominada por una gran cantidad de códigos de error, como el 500, sugiere que un cliente intenta varias veces con una solicitud incorrecta. En otras palabras, un cliente que simplemente envía la solicitud de manera repetida sin estar al tanto de un resultado de error.
    • URI de la solicitud. Algunos URI son particularmente significativos como puntos de ataque. Un URI de acceso es uno de ellos.
  4. Haz clic en la pestaña Protección para ver una lista de las reglas de protección que ya se habilitaron para las solicitudes de esta dirección IP.

    Las reglas se enumeran en orden de prioridad, con la acción de mayor precedencia (Permitir) en la parte superior y la más baja (Marcar) en la parte inferior. Con Apigee Sense, puedes realizar varios tipos de acciones en una sola dirección IP. En general, esto se debe a que estás tomando medidas en función de un comportamiento que incluye varias direcciones IP, por ejemplo, para bloquear a los adivinadores. Sin embargo, algunas direcciones IP podrían adaptarse a patrones de comportamiento no deseados, como Brute Guessor, pero aun así ser IP compatibles, como cuando tú o un socio prueban tu sistema. En ese caso, usted permitiría esas direcciones IP específicas, independientemente de su comportamiento. Por lo tanto, aunque las acciones de los tres tipos se habilitarían para la dirección IP, la acción Permitir tendrá prioridad sobre una acción Bloquear o Marcar.

    Después de confirmar que es probable que una IP represente a un cliente sobre el que deseas realizar acciones, puedes interceptar las solicitudes de ese cliente.

  5. En Vista detallada, haga clic en el botón Cerrar.

Toma medidas respecto de los clientes que realizan solicitudes sospechosas

¿Seguro que tienes un cliente cuyas solicitudes quieres interceptar, como un ataque de bot? Redacta una regla para bloquear o marcar solicitudes del cliente antes de que la solicitud llegue a tus proxies.

  1. En la página Detección, en el Informe de análisis de bots, haga clic en la pestaña Vista de partición para volver a ver la lista de patrones.

    En la Vista de partición, observa que la lista de patrones se acortó para incluir solo el patrón que seleccionaste para ver antes. Esto se debe a que cuando seleccionaste ver el patrón, comenzaste a filtrar la lista completa de resultados para incluir solo ese patrón. Los patrones que estás filtrando se muestran en el cuadro Filtros cerca de la parte superior de la página.

  2. En la fila del patrón, haga clic en el botón Act para especificar la acción que se llevará a cabo para las solicitudes de las IP que coincidan con el patrón.

  3. En el diálogo Compose Rule, define cómo Apigee Edge responderá a las solicitudes de IP que realizan llamadas en el patrón que seleccionaste.

    Aquí especificarás una regla que Apigee Edge usa cuando se reciben solicitudes de una IP en el patrón.

    1. Ingresa un nombre para la regla nueva, como Block login attempters.
    2. En la Lista de filtros, selecciona la acción que deseas que realice Apigee Edge:

      • Permite que la solicitud continúe hacia tu proxy como antes.
      • Bloquea la solicitud por completo antes de que el proxy comience a procesarla.
      • Marca la solicitud. Para ello, pídele a Apigee Edge que agregue un encabezado HTTP especial que tu proxy pueda buscar. Apigee Edge agregará un encabezado X-SENSE-BOT-DETECTED con un valor de SENSE. Por ejemplo, es posible que desees configurar tu proxy para que, cuando recibas una solicitud de un cliente en particular, puedas devolver datos ficticios para engañarlo. En tu proxy, examinarás los encabezados de las solicitudes entrantes y, luego, responderás de manera apropiada cuando se reciba una solicitud marcada.
    3. En el cuadro Reglas, confirma que las reglas que se muestran sean las que quieres que use Apigee Sense cuando cree la regla.

    4. En Activa, selecciona para activar la regla.

    5. Selecciona un período después del cual quieras que venza la regla (para que Apigee Edge deje de aplicarla).

  4. Haz clic en Crear para enviar la regla a Apigee Edge.

Revisa las reglas que creaste

Si estableciste reglas para responder a determinados clientes, puedes administrarlas en la página Reglas de protección.

  1. En la parte superior de la página, haz clic en el menú Protection > Rules para ver una lista de las reglas que implementaste.
  2. En la página Reglas de protección, puedes ver la lista de reglas que creaste. Desde este paso, puedes hacer lo siguiente:
    • Ingresa un valor en el cuadro de búsqueda para filtrar las reglas según los valores de la lista, como nombre o dirección IP.
    • Consulta los detalles de una regla o descubre en qué IP estás tomando medidas.
    • Haz clic en un valor de la columna Reglas de filtro para ver qué constituye la regla.
    • Habilitar o inhabilitar reglas