Apigee Sense 控制台使用入门

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

本主题介绍 Apigee Sense 控制台。在控制台中,您可以查看 Apigee Sense 对 API 代理的流量的分析结果。当您发现发出可疑请求的客户端(例如在机器人攻击中)时,可以使用控制台采取措施,通过屏蔽或标记来自该客户端 IP 地址的请求。

什么是 Apigee Sense?中所述,Apigee Sense 会收集并分析与您的 API 相关的请求数据。通过这一分析,Apigee Sense 能够识别可能代表可疑请求的模式。借助 Apigee Sense 控制台,您可以查看请求分析结果并采取相应措施。

  1. 打开新版 Edge 体验
  2. 在新版 Edge 中,点击 Analyze 菜单,然后点击 Sense

  3. Sense 页面上,您将看到请求活动(包括可疑请求)的图形快照。

  4. 在控制台的右上角,选择要查看哪个 Apigee Edge 组织的请求数据。

    此组织包含 Apigee Sense 正在为其收集请求数据的 API 代理。

  5. 在左上角,选择您拥有 Apigee Sense 分析数据的日期。

    选择日期后,此页面上的图表将提供 Apigee Sense 分析的简要概览,包括请求流量。

查看请求分析摘要

您可以大致了解可疑活动。利用此指标,您可以展开细目查看更多详细信息。

  1. 在页面顶部,依次点击检测 > 报告菜单,以查看所发现的可疑活动的相关数据。

    漫游器分析报告页面上,顶部的疑似漫游器流量部分汇总了流量,并针对可疑请求提供了衡量结果。

    “检测”页面还提供可疑活动的两种视图。

    • 分区视图按 Apigee Sense 认为可疑客户端的原因对客户进行分组。
    • 列表视图按 IP 地址以及数据的其他几个方面列出请求客户端。
  2. 分区视图中,您可以查看按表示可疑活动的模式分类的流量。如需详细了解模式,请参阅对可疑活动采取措施。分组到这些模式的请求流量是 Apigee Sense 对您的请求数据的分析结果。

    并非所有符合某种格式的请求都是滥用的。您寻找的漫游器数量和/或流量非常多。

    例如,“登录尝试者”格式表示在 24 小时内尝试登录代理的次数达到上限。在下图中,漫游器计数值非常高(相对于其他模式)表示有大量客户端在一天内尝试访问登录代理。因此,这种模式值得研究。

使用分析详细信息进行调查

一旦确定了一组可能包含可疑活动(例如机器人攻击)的请求,您就可以更详细地查看这些请求。要隔离真实的机器人攻击,您需要将 Apigee Sense 的分析与您自己对调用您 API 的客户端的了解相结合。

  1. 检测页面的分区视图中,找到您感兴趣的模式(例如机器人数量非常多的模式),然后点击其 View 按钮,详细了解该模式所代表的含义。

    在这里,您会看到符合所选模式的活动的展开视图。此处显示的列表中有一些值得注意的数据:

    • IP 地址数量过多,24 小时内的 IP 地址数将近一千。
    • 这些 IP 背后有相对少数的自治系统 (AS) 组织,并且这些 AS 组织在地理位置上分布广泛。
    • 漫游器流量相当稳定,不同 IP 的流量在 250 到 260 之间。这也可表示为漫游器流量的百分比

    总而言之,这些信息表明,来自这些 IP 的请求代表着对登录 URI 的协同机械攻击。

  2. 若要查看有关单个客户端的更多详细信息,请点击左列中的某个 IP 地址。

  3. 点击检测标签页,查看 Apigee Sense 对来自该 IP 地址的请求有何发现。

    在对话框的顶部,您将看到 Apigee Sense 针对来自此 IP 地址的请求所检测到的行为列表。

    检测下,使用下拉菜单中的类别来确定 Apigee Edge 是否应以不同方式处理来自某个 IP 地址的请求。例如,以下值类别可以帮助您确定 IP 地址是否代表攻击:

    • 响应状态代码。以大量错误代码(如 500)为主的列表表明客户端反复尝试错误的请求。换句话说,客户端只是重复发送请求,而不知道错误结果。
    • 请求 URI。某些 URI 作为攻击点特别重要。登录 URI 就是其中之一。
  4. 点击保护标签页,查看已针对来自此 IP 地址的请求启用的保护规则列表。

    这些规则按优先级顺序列出,优先级最高的操作(允许)在顶部,最低优先级(标记)位于底部。在 Apigee Sense 中,您可以对单个 IP 地址执行多种操作。这通常是因为您要对涉及多个 IP 地址的行为采取相应措施,例如屏蔽暴力破解者。但是,某些 IP 地址可能符合不必要的行为模式(例如 Brute Guessor),但仍然使用友好的 IP(例如当您或合作伙伴测试系统时)。在这种情况下,您应允许这些特定 IP 地址,而不考虑其行为。因此,尽管系统会为 IP 地址启用所有三种类型的操作,但“允许”操作优先于“禁止”或“标记”操作。

    在确认 IP 地址可能代表了您要执行操作的客户端后,您可以采取行动拦截来自该客户端的请求。

  5. 详细视图中,点击关闭按钮。

对发出可疑请求的客户采取措施

确信您已有一个客户端,您想拦截其请求(例如机器人攻击)。编写一条规则,在请求到达您的代理之前屏蔽或标记来自客户端的请求。

  1. Detection(检测)页面的 Bot Analysis Report(聊天机器人分析报告)中,点击 Section View(分区视图)标签页返回以返回模式列表。

    请注意,在 分区视图中,模式列表已被缩短,只包含您先前选择查看的模式。这是因为当您选择查看该模式时,便开始对完整的结果列表进行过滤,使其仅显示该模式。您作为过滤依据的模式将显示在页面顶部附近的过滤条件框中。

  2. 在该模式对应的行中,点击执行按钮,以指定对来自与该模式匹配的 IP 的请求执行的操作。

  3. 编写规则对话框中,定义 Apigee Edge 将如何响应来自以您所选模式进行调用的 IP 的请求。

    在这里,您将指定当 Apigee Edge 在收到来自模式中的 IP 的请求时使用的规则。

    1. 为新规则输入一个名称,例如 Block login attempters
    2. 过滤条件列表中,选择您希望 Apigee Edge 执行的操作:

      • 允许请求像以前一样进入您的代理。
      • 在代理开始处理请求之前,完全阻止该请求。
      • 通过让 Apigee Edge 添加代理可以查找的特殊 HTTP 标头来标记请求。Apigee Edge 将添加一个值为 SENSEX-SENSE-BOT-DETECTED 标头。例如,您可能希望将代理设置为,当您收到来自特定客户端的请求时,可以发回虚拟数据以误导用户。在代理中,您应检查传入请求的标头,然后在收到标记的请求时进行适当的响应。
    3. 规则框中,确认显示的规则是您希望 Apigee Sense 在创建规则时使用的规则。

    4. 对于活跃,请选择以启用规则。

    5. 选择您希望规则到期的时间段(以便 Apigee Edge 停止强制执行此规则)。

  4. 点击创建以将规则发送到 Apigee Edge。

查看您创建的规则

如果您已针对某些客户实施了规则,则可以在“保护措施规则”页面上管理这些规则。

  1. 在页面顶部,依次点击保护 > 规则菜单,查看您已设置的规则的列表。
  2. 保护规则页面上,您可以查看已创建规则的列表。之后,您便可以:
    • 在搜索框中输入值,按列表中的值(例如名称或 IP 地址)过滤规则。
    • 查看规则的详细信息,或了解您正在对哪些 IP 采取措施。
    • 点击过滤规则列中的值,查看该规则的组成部分。
    • 启用或停用规则。