Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Utilizza questo argomento per un'introduzione alla console Apigee Sense. Nella console puoi visualizzare i risultati dell'analisi di Apigee Sense del traffico indirizzato ai proxy API. Quando identifichi i client che effettuano richieste sospette, ad esempio un attacco di bot, puoi utilizzare la console per intervenire bloccando o segnalando le richieste provenienti dall'indirizzo IP di quel client.
Come descritto in Che cos'è Apigee Sense?, Apigee Sense raccoglie e analizza i dati sulle richieste alle tue API. Attraverso questa analisi, Apigee Sense identifica pattern che potrebbero rappresentare richieste sospette. Con la console Apigee Sense puoi visualizzare e intervenire sui risultati dell'analisi delle richieste.
- Apri la nuova esperienza Edge.
Nella nuova esperienza Edge, fai clic sul menu Analizza, quindi su Sense.
Nella pagina Sense viene visualizzata un'istantanea grafica delle attività delle richieste, incluse le richieste sospette.
Nell'angolo in alto a destra della console, seleziona l'organizzazione Apigee Edge di cui vuoi visualizzare i dati della richiesta.
Questa è l'organizzazione che contiene i proxy API per i quali Apigee Sense sta raccogliendo i dati delle richieste.
Nell'angolo in alto a sinistra, seleziona una data per la quale disponi dei dati di analisi di Apigee Sense.
Con una data selezionata, i grafici in questa pagina forniscono una panoramica molto generale dell'analisi di Apigee Sense, incluso il traffico delle richieste.
Visualizzare il riepilogo dell'analisi delle richieste
Puoi ottenere una panoramica generale delle attività sospette. In questo modo, puoi visualizzare in dettaglio più dettagli.
Nella parte superiore della pagina, fai clic sul menu Rilevamento > Report per visualizzare i dati relativi alle attività sospette rilevate tra le richieste.
Nella pagina Report Analisi bot, la sezione Traffico di bot presunto nella parte superiore riassume il traffico, con misurazioni specifiche per le richieste sospette.
La pagina Rilevamento fornisce inoltre due visualizzazioni delle attività sospette.
- La Visualizzazione partizione raggruppa i client in base al motivo per cui Apigee Sense li presenta come sospetti.
- Visualizzazione elenco elenca i client di richiesta in base al loro indirizzo IP, insieme a diversi altri aspetti dei dati.
In Visualizzazione partizione, puoi visualizzare il traffico classificato in pattern che rappresentano attività sospette. Per ulteriori informazioni sui pattern, vedi Prendi provvedimenti in caso di attività sospette. Il traffico delle richieste raggruppato in questi pattern è un prodotto dell'analisi Apigee Sense dei dati delle tue richieste.
Non tutte le richieste conformi a un pattern sono illecite. Stai cercando numeri di bot e/o dati sul traffico molto elevati.
Ad esempio, il pattern Tentativo di accesso rappresenta un numero elevato di tentativi di accedere a un proxy di accesso in un periodo di 24 ore. Nell'immagine seguente, un numero molto elevato di bot Count (rispetto ad altri pattern) indica che un numero elevato di client sta tentando, in un solo giorno, di raggiungere il proxy di accesso. Per questo motivo vale la pena esaminare questo modello.
Eseguire indagini utilizzando i dettagli dell'analisi
Una volta identificato un insieme di richieste che potrebbero comprendere attività sospette, come un attacco bot, puoi ottenere una visione più dettagliata delle richieste. Isolare gli attacchi tramite bot autentici richiederà l'abbinamento dell'analisi di Apigee Sense con la tua conoscenza dei client che chiamano le tue API.
Nella Visualizzazione partizione della pagina Rilevamento, individua un pattern che ti interessa, ad esempio con un numero molto elevato di bot, e fai clic sul pulsante Visualizza per vedere i dettagli relativi al pattern.
Qui puoi visualizzare in dettaglio l'attività conforme al pattern selezionato. Qui sono riportati alcuni dati degni di nota:
- C'è un gran numero di indirizzi IP: quasi mille in 24 ore.
- Esiste un numero relativamente ridotto di organizzazioni di sistemi autonomi (AS) dietro questi IP e le organizzazioni AS sono ampiamente distribuite, a livello geografico.
- Il conteggio del traffico dei bot è abbastanza costante, pari a circa 250-260 ciascuno tra gli IP. È rappresentata anche dalla misurazione della percentuale del traffico di bot.
Nel loro insieme, queste informazioni suggeriscono che le richieste provenienti da questi indirizzi IP rappresentano un attacco coordinato e meccanizzato all'URI di accesso.
Per visualizzare ulteriori dettagli su un singolo client, fai clic su uno degli indirizzi IP nella colonna a sinistra.
Fai clic sulla scheda Rilevamento per vedere cosa ha rilevato Apigee Sense sulle richieste provenienti dall'indirizzo IP.
Nella parte superiore della finestra di dialogo vedrai un elenco dei comportamenti rilevati da Apigee Sense per le richieste provenienti da questo indirizzo IP.
In Rilevamento, utilizza le categorie nel menu a discesa per decidere se le richieste provenienti da un indirizzo IP devono essere gestite in modo diverso da Apigee Edge. Ad esempio, le seguenti categorie di valori possono aiutarti a capire se l'indirizzo IP rappresenta un attacco:
- Codice di stato della risposta. Un elenco dominato da un numero elevato di codici di errore, ad esempio 500, suggerisce che un client provi ripetutamente con la richiesta sbagliata. In altre parole, si tratta di un client che si limita a inviare ripetutamente la richiesta senza venire a conoscenza del risultato di un errore.
- URI della richiesta. Alcuni URI sono particolarmente significativi come punti di attacco. Un URI di accesso è uno di questi.
Fai clic sulla scheda Protezione per visualizzare un elenco di regole di protezione già abilitate per le richieste provenienti da questo indirizzo IP.
Le regole sono elencate in ordine di precedenza, con l'azione con precedenza più alta (Consenti) in alto e in basso (Flag) in basso. In Apigee Sense puoi eseguire più tipi di azioni su un singolo indirizzo IP. In genere, questo è dovuto al fatto che stai intervenendo su un comportamento che include più indirizzi IP, ad esempio bloccare gli utenti malintenzionati. Tuttavia, alcuni indirizzi IP potrebbero corrispondere a modelli di comportamento indesiderati, come Brute Guessor, ma essere comunque IP amichevoli, ad esempio quando tu o un partner state testando il sistema. In tal caso, consentirai quei indirizzi IP specifici, indipendentemente dal loro comportamento. Pertanto, anche se per l'indirizzo IP vengono attivate azioni di tutti e tre i tipi, l'azione Consenti ha la precedenza su un'azione Blocca o Segnala.
Dopo aver verificato che probabilmente un IP rappresenta un client per il quale vuoi intraprendere un'azione, puoi agire per intercettare le richieste di quel client.
In Visualizzazione dettagliata, fai clic sul pulsante Chiudi.
Intervenire sui clienti che inviano richieste sospette
Sei sicuro di avere un client di cui vuoi intercettare le richieste, ad esempio un attacco bot? Crea una regola per bloccare o segnalare le richieste del client prima che raggiungano i tuoi proxy.
Nella pagina Rilevamento, nel report Analisi bot, fai clic sulla scheda Visualizzazione partizione per tornare alla visualizzazione dell'elenco di pattern.
Nella Visualizzazione partizione, tieni presente che l'elenco dei pattern è stato ridotto in modo da includere solo il pattern selezionato in precedenza. Questo accade perché, quando si selezionava il pattern, si iniziava a filtrare l'elenco completo dei risultati in base a quel pattern. I pattern che stai filtrando sono mostrati nella casella Filtri nella parte superiore della pagina.
Nella riga relativa al pattern, fai clic sul pulsante Agisci per specificare un'azione da eseguire per le richieste provenienti da IP che corrispondono al pattern.
Nella finestra di dialogo Scrivi regola, definisci in che modo Apigee Edge risponderà alle richieste provenienti da IP che effettuano chiamate nel pattern selezionato.
Qui potrai specificare una regola utilizzata da Apigee Edge quando le richieste vengono ricevute da un IP nel pattern.
- Inserisci un nome per la nuova regola, ad esempio
Block login attempters
. In Elenco filtri, seleziona l'azione che vuoi venga eseguita da Apigee Edge:
- Consenti alla richiesta di accedere al proxy come prima.
- Blocca completamente la richiesta prima che il proxy inizi a elaborarla.
- Segnala la richiesta facendo in modo che Apigee Edge aggiunga un'intestazione HTTP speciale che il tuo proxy possa cercare. Apigee Edge aggiungerà un'intestazione
X-SENSE-BOT-DETECTED
con un valore diSENSE
. Ad esempio, potresti configurare il proxy in modo che, quando ricevi una richiesta da un determinato client, tu possa inviare dati fittizi per ingannarlo. Nel tuo proxy devi esaminare le intestazioni delle richieste in arrivo, quindi rispondere in modo appropriato quando viene ricevuta una richiesta contrassegnata.
Nella casella Regole, conferma che le regole visualizzate sono quelle che vuoi che Apigee Sense utilizzi durante la sua creazione.
Per Attivo, seleziona Sì per attivare la regola.
Seleziona un periodo dopo il quale vuoi che la regola scada (affinché Apigee Edge ne interrompa l'applicazione).
- Inserisci un nome per la nuova regola, ad esempio
Fai clic su Crea per inviare la regola ad Apigee Edge.
Esaminare le regole che hai creato
Se hai applicato regole per rispondere a determinati clienti, puoi gestirle nella pagina Regole di protezione.
- Nella parte superiore della pagina, fai clic sul menu Protezione > Regole per visualizzare un elenco delle regole attive.
- Nella pagina Regole di protezione puoi visualizzare l'elenco delle regole che hai creato. Da qui puoi:
- Inserisci un valore nella casella di ricerca per filtrare le regole in base ai valori nell'elenco, ad esempio nome o indirizzo IP.
- Visualizza i dettagli di una regola o scopri su quali IP stai intervenendo.
- Fai clic su un valore nella colonna Regole di filtro per verificare i componenti della regola.
- Attiva o disattiva le regole.