Comienza a usar la consola de Apigee Sense

Estás viendo la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Más información

Usa este tema para obtener una introducción a la consola de Apigee Sense. En la consola, puedes ver los resultados del análisis de tráfico de Apigee Sense a tus proxies de API. Cuando identificas clientes que realizan solicitudes sospechosas, como en un ataque de bots, puedes usar la consola para tomar medidas bloqueando o marcando las solicitudes provenientes de la dirección IP de ese cliente.

Como se describe en ¿Qué es Apigee Sense?, Apigee Sense recopila y analiza datos sobre las solicitudes a tus API. Mediante este análisis, Apigee Sense identifica patrones que podrían representar solicitudes sospechosas. Con la consola de Apigee Sense, puedes ver los resultados del análisis de solicitudes y tomar medidas al respecto.

  1. Abre la nueva experiencia de Edge.
  2. En la nueva experiencia Edge, haz clic en el menú Analyze y, luego, en Sense.

  3. En la página de Sense, verás una instantánea gráfica de la actividad de las solicitudes, incluidas las solicitudes sospechosas.

  4. En la esquina superior derecha de la consola, selecciona la organización de Apigee Edge de la que quieres ver los datos de la solicitud.

    Esta es la organización que contiene los proxies de API para los que Apigee Sense recopila datos de solicitudes.

  5. En la esquina superior izquierda, selecciona una fecha para la que tengas datos de análisis de Apigee Sense.

    Con una fecha seleccionada, en los gráficos de esta página se proporciona una descripción general de alto nivel del análisis de Apigee Sense, incluido el tráfico de solicitudes.

Cómo ver el resumen del análisis de solicitudes

Puedes obtener una vista de alto nivel de la actividad sospechosa. Con esta opción, puedes desglosar para obtener más detalles.

  1. En la parte superior de la página, haz clic en el menú Detección > Informar para ver los datos sobre la actividad sospechosa que se encontró entre las solicitudes.

    En la página Informe de análisis de bots, en la sección Tráfico sospechoso de bots en la parte superior, se resume el tráfico, con mediciones específicas para solicitudes sospechosas.

    La página Detección también proporciona dos vistas de actividad sospechosa.

    • Partición de View agrupa los clientes según el motivo por el que Apigee Sense los presenta como sospechosos.
    • En la vista de lista, se enumeran los clientes de solicitud según su dirección IP, junto con muchos otros aspectos de los datos.
  2. En la Vista de partición, puede ver el tráfico categorizado en patrones que representan actividad sospechosa. Para obtener más información sobre los patrones, consulta Cómo realizar acciones ante actividad sospechosa. El tráfico de solicitudes agrupado en estos patrones es un producto del análisis de Apigee Sense de tus datos de solicitudes.

    No todas las solicitudes que se ajustan a un patrón son abusivas. Si buscas una cantidad muy alta de bots o tráfico

    Por ejemplo, el patrón Intent de acceso representa una gran cantidad de intentos para alcanzar un proxy de acceso en un período de 24 horas. En la siguiente imagen, un número muy alto de Bot Count (relativo a otros patrones) indica que una gran cantidad de clientes intenta llegar al proxy de acceso en un solo día. Por ello, vale la pena investigar este patrón.

Investiga mediante los detalles del análisis

Cuando hayas identificado un conjunto de solicitudes que podrían incluir actividad sospechosa, como un ataque de bots, podrás obtener una vista más detallada de las solicitudes. Para aislar los ataques genuinos de bots, deberás combinar el análisis de Apigee Sense con tu propio conocimiento de los clientes que llaman a tus APIs.

  1. En la Vista de partición en la página Detección, localiza un patrón que te interese, como uno con un recuento muy alto de bots, y haz clic en el botón Ver para ver los detalles de lo que representa el patrón.

    A continuación, se muestra una vista desglosada de la actividad que se ajusta al patrón que seleccionaste. Hay algunos datos notables de la lista que se muestra aquí:

    • Existe una gran cantidad de direcciones IP: casi mil en 24 horas.
    • Hay una cantidad comparativamente pequeña de organizaciones de sistemas autónomos (AS) detrás de esas IP, y las organizaciones de AS están ampliamente distribuidas geográficamente.
    • El recuento de tráfico de bots es bastante coherente, de 250 a 260 cada uno en todas las IP. Esto también se representa en la medición del % del tráfico de bots.

    En conjunto, esta información sugiere que las solicitudes de esas IP representan un ataque coordinado y mecanizado contra el URI de acceso.

  2. Para ver aún más detalles de un solo cliente, haga clic en una de las direcciones IP de la columna izquierda.

  3. Haz clic en la pestaña Detection para ver lo que Apigee Sense descubrió sobre las solicitudes que provienen de la dirección IP.

    En la parte superior del diálogo, verás una lista de los comportamientos que detecta Apigee Sense para las solicitudes que provienen de esta dirección IP.

    En Detección, usa las categorías del menú desplegable para decidir si Apigee Edge debe administrar de manera diferente las solicitudes que provienen de una dirección IP. Por ejemplo, las siguientes categorías de valor pueden ayudarte a determinar si la dirección IP representa un ataque:

    • Código de estado de la respuesta. Una lista dominada por una gran cantidad de códigos de error, como el 500, sugiere que un cliente intenta repetidamente con la solicitud incorrecta. En otras palabras, un cliente que simplemente envía la solicitud repetidas veces sin estar al tanto de un resultado de error.
    • URI de solicitud Algunos URI son particularmente significativos como puntos de ataque. Un URI de acceso es uno de ellos.
  4. Haga clic en la pestaña Protección para ver una lista de las reglas de protección que ya se habilitaron para las solicitudes de esta dirección IP.

    Las reglas se enumeran en orden de prioridad, con la acción de mayor precedencia (Permitir) en la parte superior y la más baja (marca) en la parte inferior. En Apigee Sense, puedes realizar varios tipos de acciones en una sola dirección IP. En general, esto se debe a que estás tomando medidas respecto de un comportamiento que incluye varias direcciones IP, como bloquear a los adivinadores brutas. Sin embargo, es posible que algunas direcciones IP se ajusten a patrones de comportamiento no deseados, como la intención brutal, pero aun así sean IP compatibles, como cuando tú o un socio prueban tu sistema. En ese caso, debería permitir esas direcciones IP específicas, independientemente de su comportamiento. Por lo tanto, aunque se habilitarían las acciones de los tres tipos para la dirección IP, la acción Permitir tiene prioridad sobre una acción Bloquear o Marcar.

    Después de confirmar que es probable que una IP represente a un cliente sobre el que quieres tomar medidas, puedes interceptar las solicitudes de ese cliente.

  5. En Vista detallada, haga clic en el botón Cerrar.

Toma medidas respecto de los clientes que realizan solicitudes sospechosas

¿Seguro que tienes un cliente cuyas solicitudes quieres interceptar, como un ataque de bots? Redacta una regla para bloquear o marcar las solicitudes del cliente antes de que la solicitud llegue a tus proxies.

  1. En la página Detección, en el Informe de análisis de bots, haga clic en la pestaña Vista de partición para volver a ver la lista de patrones.

    En la Vista de partición, tenga en cuenta que la lista de patrones se acortó para incluir solo el patrón que seleccionó para ver anteriormente. Esto se debe a que, cuando seleccionaste ver el patrón, comenzaste a filtrar la lista completa de resultados solo para ese patrón. Los patrones que está filtrando se muestran en el cuadro Filtros cerca de la parte superior de la página.

  2. En la fila del patrón, haga clic en el botón Act para especificar una acción que se llevará a cabo para las solicitudes de IP que coincidan con el patrón.

  3. En el diálogo Compose Rule, define la forma en que Apigee Edge responderá a las solicitudes de IP que realizan llamadas en el patrón que seleccionaste.

    Aquí, especificarás una regla que Apigee Edge usa cuando se reciben solicitudes de una IP en el patrón.

    1. Ingresa un nombre para la regla nueva, como Block login attempters.
    2. En la Lista de filtros, selecciona la acción que deseas que realice Apigee Edge:

      • Permite que la solicitud continúe a tu proxy como antes.
      • Bloquea la solicitud por completo antes de que el proxy comience a procesarla.
      • Para marcar la solicitud, Apigee Edge agregue un encabezado HTTP especial que pueda buscar tu proxy. Apigee Edge agregará un encabezado X-SENSE-BOT-DETECTED con un valor de SENSE. Por ejemplo, es posible que desees configurar tu proxy para que, cuando recibas una solicitud de un cliente en particular, puedas devolverle datos ficticios para engañarlo. En el proxy, debes examinar los encabezados de las solicitudes entrantes y, luego, responder adecuadamente cuando se recibe una solicitud marcada.
    3. En el cuadro Reglas, confirma que las reglas que se muestran sean las que quieres que Apigee Sense use cuando cree la regla.

    4. En Activa, selecciona para activar la regla.

    5. Selecciona un período después del cual quieras que venza la regla (para que Apigee Edge deje de aplicarla).

  4. Haga clic en Crear para enviar la regla a Apigee Edge.

Revisa las reglas que creaste

Si estableciste reglas para responder a determinados clientes, puedes administrarlas en la página Reglas de protección.

  1. En la parte superior de la página, haz clic en el menú Protección > Reglas para ver una lista de las reglas que implementaste.
  2. En la página Reglas de protección, puedes ver la lista de reglas que creaste. Desde este paso, puedes hacer lo siguiente:
    • Ingresa un valor en el cuadro de búsqueda para filtrar las reglas según los valores de la lista, como nombre o dirección IP.
    • Consulta los detalles de una regla o averigua en qué IP estás tomando medidas.
    • Haga clic en un valor de la columna Reglas de filtro para ver qué constituye la regla.
    • Habilita o inhabilita reglas.