您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
本主题介绍 Apigee Sense 控制台。在控制台中,您可以查看 Apigee Sense 对 API 代理的流量的分析结果。当您发现发出可疑请求的客户端(例如在机器人攻击中)时,可以使用控制台采取措施,通过屏蔽或标记来自该客户端 IP 地址的请求。
如什么是 Apigee Sense?中所述,Apigee Sense 会收集并分析与您的 API 相关的请求数据。通过这一分析,Apigee Sense 能够识别可能代表可疑请求的模式。借助 Apigee Sense 控制台,您可以查看请求分析结果并采取相应措施。
- 打开新版 Edge 体验。
在新版 Edge 中,点击 Analyze 菜单,然后点击 Sense。
在 Sense 页面上,您将看到请求活动(包括可疑请求)的图形快照。
在控制台的右上角,选择要查看哪个 Apigee Edge 组织的请求数据。
此组织包含 Apigee Sense 正在为其收集请求数据的 API 代理。
在左上角,选择您拥有 Apigee Sense 分析数据的日期。
选择日期后,此页面上的图表将提供 Apigee Sense 分析的简要概览,包括请求流量。
查看请求分析摘要
您可以大致了解可疑活动。利用此指标,您可以展开细目查看更多详细信息。
在页面顶部,依次点击检测 > 报告菜单,以查看所发现的可疑活动的相关数据。
在漫游器分析报告页面上,顶部的疑似漫游器流量部分汇总了流量,并针对可疑请求提供了衡量结果。
“检测”页面还提供可疑活动的两种视图。
- 分区视图按 Apigee Sense 认为可疑客户端的原因对客户进行分组。
- 列表视图按 IP 地址以及数据的其他几个方面列出请求客户端。
在分区视图中,您可以查看按表示可疑活动的模式分类的流量。如需详细了解模式,请参阅对可疑活动采取措施。分组到这些模式的请求流量是 Apigee Sense 对您的请求数据的分析结果。
并非所有符合某种格式的请求都是滥用的。您寻找的漫游器数量和/或流量非常多。
例如,“登录尝试者”格式表示在 24 小时内尝试登录代理的次数达到上限。在下图中,漫游器计数值非常高(相对于其他模式)表示有大量客户端在一天内尝试访问登录代理。因此,这种模式值得研究。
使用分析详细信息进行调查
一旦确定了一组可能包含可疑活动(例如机器人攻击)的请求,您就可以更详细地查看这些请求。要隔离真实的机器人攻击,您需要将 Apigee Sense 的分析与您自己对调用您 API 的客户端的了解相结合。
在检测页面的分区视图中,找到您感兴趣的模式(例如机器人数量非常多的模式),然后点击其 View 按钮,详细了解该模式所代表的含义。
在这里,您会看到符合所选模式的活动的展开视图。此处显示的列表中有一些值得注意的数据:
- IP 地址数量过多,24 小时内的 IP 地址数将近一千。
- 这些 IP 背后有相对少数的自治系统 (AS) 组织,并且这些 AS 组织在地理位置上分布广泛。
- 漫游器流量相当稳定,不同 IP 的流量在 250 到 260 之间。这也可表示为漫游器流量的百分比。
总而言之,这些信息表明,来自这些 IP 的请求代表着对登录 URI 的协同机械攻击。
若要查看有关单个客户端的更多详细信息,请点击左列中的某个 IP 地址。
点击检测标签页,查看 Apigee Sense 对来自该 IP 地址的请求有何发现。
在对话框的顶部,您将看到 Apigee Sense 针对来自此 IP 地址的请求所检测到的行为列表。
在检测下,使用下拉菜单中的类别来确定 Apigee Edge 是否应以不同方式处理来自某个 IP 地址的请求。例如,以下值类别可以帮助您确定 IP 地址是否代表攻击:
- 响应状态代码。以大量错误代码(如 500)为主的列表表明客户端反复尝试错误的请求。换句话说,客户端只是重复发送请求,而不知道错误结果。
- 请求 URI。某些 URI 作为攻击点特别重要。登录 URI 就是其中之一。
点击保护标签页,查看已针对来自此 IP 地址的请求启用的保护规则列表。
这些规则按优先级顺序列出,优先级最高的操作(允许)在顶部,最低优先级(标记)位于底部。在 Apigee Sense 中,您可以对单个 IP 地址执行多种操作。这通常是因为您要对涉及多个 IP 地址的行为采取相应措施,例如屏蔽暴力破解者。但是,某些 IP 地址可能符合不必要的行为模式(例如 Brute Guessor),但仍然使用友好的 IP(例如当您或合作伙伴测试系统时)。在这种情况下,您应允许这些特定 IP 地址,而不考虑其行为。因此,尽管系统会为 IP 地址启用所有三种类型的操作,但“允许”操作优先于“禁止”或“标记”操作。
在确认 IP 地址可能代表了您要执行操作的客户端后,您可以采取行动拦截来自该客户端的请求。
在详细视图中,点击关闭按钮。
对发出可疑请求的客户采取措施
确信您已有一个客户端,您想拦截其请求(例如机器人攻击)。编写一条规则,在请求到达您的代理之前屏蔽或标记来自客户端的请求。
在 Detection(检测)页面的 Bot Analysis Report(聊天机器人分析报告)中,点击 Section View(分区视图)标签页返回以返回模式列表。
请注意,在 分区视图中,模式列表已被缩短,只包含您先前选择查看的模式。这是因为当您选择查看该模式时,便开始对完整的结果列表进行过滤,使其仅显示该模式。您作为过滤依据的模式将显示在页面顶部附近的过滤条件框中。
在该模式对应的行中,点击执行按钮,以指定对来自与该模式匹配的 IP 的请求执行的操作。
在编写规则对话框中,定义 Apigee Edge 将如何响应来自以您所选模式进行调用的 IP 的请求。
在这里,您将指定当 Apigee Edge 在收到来自模式中的 IP 的请求时使用的规则。
- 为新规则输入一个名称,例如
Block login attempters
。 在过滤条件列表中,选择您希望 Apigee Edge 执行的操作:
- 允许请求像以前一样进入您的代理。
- 在代理开始处理请求之前,完全阻止该请求。
- 通过让 Apigee Edge 添加代理可以查找的特殊 HTTP 标头来标记请求。Apigee Edge 将添加一个值为
SENSE
的X-SENSE-BOT-DETECTED
标头。例如,您可能希望将代理设置为,当您收到来自特定客户端的请求时,可以发回虚拟数据以误导用户。在代理中,您应检查传入请求的标头,然后在收到标记的请求时进行适当的响应。
在规则框中,确认显示的规则是您希望 Apigee Sense 在创建规则时使用的规则。
对于活跃,请选择是以启用规则。
选择您希望规则到期的时间段(以便 Apigee Edge 停止强制执行此规则)。
- 为新规则输入一个名称,例如
点击创建以将规则发送到 Apigee Edge。
查看您创建的规则
如果您已针对某些客户实施了规则,则可以在“保护措施规则”页面上管理这些规则。
- 在页面顶部,依次点击保护 > 规则菜单,查看您已设置的规则的列表。
- 在保护规则页面上,您可以查看已创建规则的列表。之后,您便可以:
- 在搜索框中输入值,按列表中的值(例如名称或 IP 地址)过滤规则。
- 查看规则的详细信息,或了解您正在对哪些 IP 采取措施。
- 点击过滤规则列中的值,查看该规则的组成部分。
- 启用或停用规则。