Erste Schritte mit der Apigee Sense Console

Sie sehen sich die Apigee Edge-Dokumentation an.
Sehen Sie sich die Apigee X-Dokumentation an.

In diesem Artikel erhalten Sie eine Einführung in die Apigee Sense-Konsole. In der Console können Sie die Ergebnisse der Apigee Sense-Analyse des Traffics zu Ihren API-Proxys ansehen. Wenn Sie Clients ermitteln, die verdächtige Anfragen stellen, z. B. bei einem Bot-Angriff, können Sie mit der Konsole Maßnahmen ergreifen, indem Sie Anfragen von der IP-Adresse des Kunden blockieren oder melden.

Wie unter Was ist Apigee Sense? beschrieben, Apigee Sense erfasst und analysiert Daten zu Anfragen an Ihre APIs. Mit dieser Analyse erkennt Apigee Sense Muster, die verdächtige Anfragen darstellen könnten. Mit der Apigee Sense-Konsole können Sie Anforderungsanalyseergebnisse anzeigen und auf diese reagieren.

  1. Öffnen Sie New Edge.
  2. Klicken Sie in New Edge auf das Menü Analysieren und dann auf Sense.

  3. Auf der Seite Sense sehen Sie eine grafische Übersicht der Anfrageaktivitäten, einschließlich verdächtiger Anfragen.

  4. Wählen Sie rechts oben in der Console die Apigee Edge-Organisation aus, für die Sie Anfragedaten aufrufen möchten.

    Dies ist die Organisation mit API-Proxys, für die Apigee Sense Anfragedaten erfasst.

  5. Wählen Sie oben links ein Datum aus, für das Sie Apigee Sense-Analysedaten haben.

    Wenn Sie ein Datum auswählen, enthalten die Grafiken auf dieser Seite einen sehr allgemeinen Überblick über die Apigee Sense-Analyse, einschließlich des Zugriffs der Anfragen.

Zusammenfassung der Anfrageanalyse aufrufen

Sie können sich einen Überblick über verdächtige Aktivitäten verschaffen. Mit dieser Option können Sie weitere Details aufrufen.

  1. Klicken Sie oben auf der Seite auf das Menü Erkennung > Bericht, um Daten zu verdächtigen Aktivitäten zwischen Anfragen aufzurufen.

    Oben auf der Seite Bot-Analysebericht im Abschnitt Verdächtiger Bot-Traffic finden Sie eine Zusammenfassung des Traffics mit Messwerten für verdächtige Anfragen.

    Auf der Seite „Erkennung“ finden Sie außerdem zwei Ansichten verdächtiger Aktivitäten.

    • In der Partition View (Partitionsansicht) werden Clients nach dem Grund gruppiert, aus dem Apigee Sense sie als verdächtig eingestuft hat.
    • In der Listenansicht werden die Anfrageclients nach IP-Adresse und verschiedenen anderen Aspekten der Daten aufgelistet.
  2. In der Partitionierungsansicht können Sie sich die Zugriffe, die in verdächtige Aktivitäten unterteilt wurden, ansehen. Weitere Informationen zu Mustern finden Sie unter Maßnahmen bei verdächtigen Aktivitäten. Der nach diesen Mustern gruppierte Anfrage-Traffic ist ein Produkt der Apigee Sense-Analyse Ihrer Anfragedaten.

    Nicht alle Anfragen, die einem Muster entsprechen, sind missbräuchlich. Sie suchen nach einer sehr hohen Anzahl von Bots und/oder vielen Zugriffen.

    Das Muster Anmeldeversuch stellt beispielsweise eine große Anzahl von Versuchen dar, einen Anmelde-Proxy in einem 24-Stunden-Fenster zu erreichen. In der folgenden Abbildung zeigt eine sehr hohe Bot-Anzahl (im Vergleich zu anderen Mustern) an, dass eine große Anzahl von Clients versucht, den Anmelde-Proxy an einem einzelnen Tag zu erreichen. Daher lohnt es sich, dieses Muster zu untersuchen.

Anhand von Analysedetails untersuchen

Wenn Sie eine Reihe von Anfragen ermittelt haben, die möglicherweise verdächtige Aktivitäten darstellen, z. B. einen Bot-Angriff, können Sie eine detaillierte Ansicht der Anfragen erhalten. Für die Isolierung echter Bot-Angriffe ist es erforderlich, Apigee Sense mit Ihren eigenen Kenntnissen von Clients zu kombinieren, die Ihre APIs aufrufen.

  1. Suchen Sie in der Partitionansicht auf der Seite Erkennung nach einem Muster, das Sie interessiert, z. B. eines mit einer sehr hohen Bot-Anzahl, und klicken Sie auf die Schaltfläche Ansicht, um Details zum Muster aufzurufen.

    Hier sehen Sie eine Aufschlüsselung der Aktivität, die dem von Ihnen ausgewählten Muster entspricht. Hier sind einige nennenswerte Daten aus der Liste:

    • Das System hat eine große Anzahl von IP-Adressen – fast 1.000 in 24 Stunden.
    • Hinter diesen IPs stehen vergleichsweise wenige autonome Systeme und die AS-Organisationen sind geografisch weit verbreitet.
    • Die Anzahl der Bot-Zugriffe ist bei den IP-Adressen ziemlich konstant bei ungefähr 250 bis 260. Dies wird auch durch die Messung des Bot-Traffics in% dargestellt.

    Zusammengenommen deuten diese Informationen darauf hin, dass die Anfragen von diesen IP-Adressen einen koordinierten, mechanischen Angriff auf den Anmelde-URI darstellen.

  2. Wenn Sie weitere Details zu einem einzelnen Client aufrufen möchten, klicken Sie in der linken Spalte auf eine der IP-Adressen.

  3. Klicken Sie auf den Tab Erkennung, um zu sehen, was Apigee Sense über Anfragen von der IP-Adresse gefunden hat.

    Oben im Dialogfeld sehen Sie eine Liste der Verhaltensweisen, die Apigee Sense für Anfragen von dieser IP-Adresse erkannt hat.

    Legen Sie unter Erkennung mithilfe der Kategorien im Drop-down-Menü fest, ob Anfragen von einer IP-Adresse von Apigee Edge anders verarbeitet werden sollen. Anhand der folgenden Wertkategorien können Sie beispielsweise herausfinden, ob die IP-Adresse einen Angriff darstellt:

    • Antwortstatuscode: Eine Liste mit einer hohen Anzahl von Fehlercodes wie 500 deutet darauf hin, dass ein Client es wiederholt mit der falschen Anfrage versucht. Mit anderen Worten: Ein Client, der die Anfrage wiederholt sendet, ohne dass ein Fehlerergebnis erkannt wird.
    • Anfrage-URI. Einige URIs sind besonders wichtig als Angriffspunkte. Einer davon ist ein Anmelde-URI.
  4. Klicken Sie auf den Tab Schutz, um eine Liste der Regeln aufzurufen, die bereits für Anfragen von dieser IP-Adresse aktiviert wurden.

    Die Regeln sind in der Reihenfolge ihrer Priorität aufgelistet. Die Aktion mit der höchsten Priorität (Zulassen) befindet sich ganz oben, die niedrigste sind Flaggen. In Apigee Sense können Sie mehrere Arten von Aktionen an einer einzelnen IP-Adresse ausführen. In der Regel liegt das daran, dass Sie eine Aktion für ein Verhalten durchführen, das mehrere IP-Adressen umfasst, z. B. Brute-Guard-Nutzer. Es kann jedoch vorkommen, dass einige IP-Adressen unerwünschtes Verhaltensmuster erkennen (z. B. Brute Guessor), aber dennoch freundliche IP-Adressen sind, z. B. wenn Sie oder ein Partner Ihr System testen. In diesem Fall können Sie die entsprechenden IP-Adressen unabhängig vom Verhalten zulassen. Obwohl Aktionen aller drei Typen für die IP-Adresse aktiviert werden würden, würde die Aktion „Zulassen“ Vorrang vor einer Aktion „Blockieren“ oder „Melden“ haben.

    Nachdem Sie bestätigt haben, dass eine IP wahrscheinlich einen Client repräsentiert, für den Sie Aktionen ausführen möchten, können Sie Maßnahmen abfangen.

  5. Klicken Sie in der Detailansicht auf die Schaltfläche Schließen.

Bei verdächtigen Anfragen entsprechende Maßnahmen ergreifen

Sie haben einen Client, dessen Anfragen Sie abfangen möchten, z. B. einen Bot-Angriff? Erstellen Sie eine Regel, um Anfragen vom Client zu blockieren oder zu markieren, bevor die Anfrage Ihre Proxys erreicht.

  1. Klicken Sie auf der Seite Erkennung im Bot-Analyse-Bericht auf den Tab Partitionansicht, um zur Liste der Muster zurückzukehren.

    Beachten Sie, dass in der Partitionsansicht die Musterliste gekürzt wurde und nur das Muster enthält, das Sie zuvor ausgewählt haben. Der Grund dafür ist, dass Sie mit der Auswahl des Musters damit begonnen haben, die vollständige Ergebnisliste nach diesem Muster zu filtern. Die Muster, nach denen Sie filtern, werden im Feld Filter oben auf der Seite angezeigt.

  2. Klicken Sie in der Zeile für das Muster auf die Schaltfläche Akt, um eine Aktion anzugeben, die für Anfragen von IP-Adressen ausgeführt werden soll, die dem Muster entsprechen.

  3. Legen Sie im Dialogfeld Regel erstellen fest, wie Apigee Edge auf Anfragen von IP-Adressen reagieren soll, die Aufrufe im ausgewählten Muster senden.

    Hier geben Sie eine Regel an, die Apigee Edge verwendet, wenn Anfragen von einer IP-Adresse im Muster eingehen.

    1. Geben Sie einen Namen für die neue Regel ein, z. B. Block login attempters.
    2. Wählen Sie in der Filterliste die Aktion aus, die Apigee Edge ausführen soll:

      • Zulassen, dass die Anfrage wie zuvor in den Proxy weitergeleitet wird.
      • Blockieren Sie die Anfrage vollständig, bevor der Proxy mit der Verarbeitung beginnt.
      • Kennzeichnen Sie die Anfrage, indem Sie Apigee Edge einen speziellen HTTP-Header hinzufügen lassen, nach dem Ihr Proxy suchen kann. Apigee Edge fügt einen X-SENSE-BOT-DETECTED-Header mit dem Wert SENSE hinzu. Sie können zum Beispiel Ihren Proxy so einrichten, dass Sie bei einer Anfrage von einem bestimmten Client Dummy-Daten senden können, um diese in die Irre zu führen. Überprüfen Sie in Ihrem Proxy die Header der eingehenden Anfragen und antworten Sie entsprechend, wenn eine gemeldete Anfrage eingeht.
    3. Prüfen Sie im Feld Regeln, ob die Regeln angezeigt werden, die Apigee Sense beim Erstellen der Regel verwenden soll.

    4. Wählen Sie unter Aktiv die Option Ja aus, um die Regel zu aktivieren.

    5. Wählen Sie einen Zeitraum aus, nach dem die Regel abläuft (damit Apigee Edge die Erzwingung beendet).

  4. Klicken Sie auf Erstellen, um die Regel an Apigee Edge zu senden.

Von Ihnen erstellte Regeln prüfen

Wenn Sie bereits Regeln für bestimmte Clients festgelegt haben, können Sie diese auf der Seite „Schutzregeln“ verwalten.

  1. Klicken Sie oben auf der Seite auf das Menü Schutz > Regeln, um eine Liste der vorhandenen Regeln aufzurufen.
  2. Auf der Seite Schutzmaßnahmen finden Sie eine Liste mit den von Ihnen erstellten Regeln. Hier können Sie Folgendes tun:
    • Geben Sie einen Wert in das Suchfeld ein, um die Regeln nach Werten wie Name oder IP-Adresse zu filtern.
    • Rufen Sie die Details einer Regel auf oder sehen Sie nach, welche IP-Adressen Sie ergreifen.
    • Klicken Sie auf einen Wert in der Spalte Filterregeln, um die Regel der entsprechenden Regel aufzurufen.
    • Regeln aktivieren oder deaktivieren