Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください。 情報
このトピックでは、Apigee Sense コンソールの概要を説明します。コンソールで、API プロキシへのトラフィックの Apigee Sense 分析の結果を表示できます。bot 攻撃などで不審なリクエストを行っているクライアントを特定したら、コンソールを使用して、そのクライアントの IP アドレスからのリクエストをブロックまたはフラグすることで対策を講じることができます。
Apigee Sense とはで説明されているように、Apigee Sense は、API へのリクエストに関するデータを収集して分析します。この分析を通じて、Apigee Sense は不審なリクエストを示す可能性があるパターンを特定します。Apigee Sense コンソールを使用すると、リクエスト分析の結果を表示して対応できます。
- New Edge エクスペリエンスを開きます。
New Edge エクスペリエンスで、[Analyze] メニューをクリックし、[Sense] をクリックします。
[Sense] ページには、不審なリクエストを含め、リクエスト アクティビティのグラフィカル スナップショットが表示されます。
コンソールの右上隅で、リクエスト データを表示する Apigee Edge 組織を選択します。
これは、Apigee Sense がリクエスト データを収集する API プロキシを含む組織です。
左上で、Apigee Sense 分析データがある日付を選択します。
日付を選択すると、このページのグラフに、リクエスト トラフィックなど、Apigee Sense 分析の概要が表示されます。
リクエスト分析の概要を表示する
不審なアクティビティの概要を確認できます。これを使用して、ドリルダウンして詳細を確認できます。
ページの上部にある [検出] > [レポート] メニューをクリックして、リクエスト内で検出された不審なアクティビティに関するデータを表示します。
[Bot Analysis Report] ページの上部にある [Suspected Bot Traffic] セクションに、疑わしいリクエストに固有の測定値とともにトラフィックの概要が表示されます。
[検出] ページには、不審なアクティビティに関する 2 つのビューも表示されます。
- [Partition View] では、Apigee Sense が不審なクライアントを示している理由ごとにクライアントをグループ化します。
- [List View] には、IP アドレス別にリクエスト クライアントの一覧が、データの他の要素とともに表示されます。
[Partition View] では、不審なアクティビティを表すパターンに分類されたトラフィックを確認できます。パターンについて詳しくは、不審なアクティビティへの対処をご覧ください。これらのパターンにグループ化されたリクエスト トラフィックは、リクエスト データを Apigee Sense 分析によって生成します。
パターンに従ったすべてのリクエストが不正なリクエストであるわけではありません。非常に多くの bot 数やトラフィック数を探している。
たとえば、Login Attempter パターンは、24 時間の間にログイン プロキシへのアクセスが大量に試行されることを表します。次の図で、[Bot Count] の数値が非常に大きい場合(他のパターンと比較して)、多数のクライアントが 1 日にログイン プロキシへのアクセスを試みます。そのため、このパターンは調査する価値があります。
分析の詳細を使用した調査
bot 攻撃など、不審なアクティビティの可能性がある一連のリクエストを特定したら、リクエストの詳細を確認できます。真の bot 攻撃を切り分けるには、Apigee Sense 分析と、API を呼び出すクライアントに関する知識を組み合わせる必要があります。
[Detection] ページの [Partition View] で、対象となるパターン(bot 数が非常に多いパターンなど)を見つけ、[View] ボタンをクリックすると、パターンの詳細が表示されます。
ここでは、選択したパターンに一致するアクティビティのドリルダウン ビューが表示されます。ここに示したリストには、注目すべきいくつかのデータがあります。
- IP アドレスは膨大な数にのぼり、24 時間で 1,000 近くになります。
- これらの IP の背後にある自律システム(AS)組織は比較的少数であり、AS 組織は地理的に広く分散しています。
- bot トラフィック数は、IP 全体でそれぞれ約 250 ~ 260 とほぼ一貫しています。これは、bot トラフィックの割合の測定値でも表示されます。
こうした情報を総合すると、これらの IP からのリクエストはログイン URI に対する組織的かつ機械化された攻撃であることがわかります。
1 つのクライアントの詳細を確認するには、左側の列にある IP アドレスのいずれかをクリックします。
[Detection] タブをクリックして、Apigee Sense が IP アドレスからのリクエストについて検出した内容を確認します。
ダイアログの上部に、この IP アドレスからのリクエストに対して Apigee Sense で検出された動作のリストが表示されます。
[検出] で、プルダウンのカテゴリを使用して、IP アドレスからのリクエストに対して Apigee Edge で異なる処理を行うかどうかを決定します。たとえば、次の値のカテゴリは、IP アドレスが攻撃を表しているかどうかを判断するのに役立ちます。
- レスポンスのステータス コード。リストの先頭に多数のエラーコード(500 など)が表示される場合は、クライアントが誤ったリクエストで繰り返し試行していると考えられます。つまり、エラーの結果に気付かないままリクエストを繰り返し送信しているクライアントです。
- リクエスト URI。一部の URI は攻撃ポイントとして特に重要です。ログイン URI はその 1 つです。
[保護] タブをクリックすると、この IP アドレスからのリクエストに対して有効になっている保護ルールのリストが表示されます。
ルールは優先順位順でリストされ、最も優先順位の高いアクション(Allow)が一番上、最も低いもの(Flag)が一番下に表示されます。Apigee Sense では、1 つの IP アドレスに対して複数の種類のアクションを実行できます。これは通常、複数の IP アドレスを含む動作に対して措置を講じるためです(ブルート ゲージをブロックするなど)。ただし、一部の IP アドレスは、Brute Guessor のような望ましくない動作パターンに合致していても、ユーザーやパートナーがシステムをテストしている場合などに、親しみやすい IP でもあります。このような場合は、その動作に関係なく、特定の IP アドレスを許可します。そのため、IP アドレスに対して 3 種類のすべてのアクションが有効になっていても、許可アクションはブロック アクションやフラグ アクションよりも優先されます。
対処する必要があるクライアントを IP が表している可能性が高いことを確認したら、そのクライアントからのリクエストをインターセプトする措置を講じることができます。
[詳細ビュー] で、[閉じる] ボタンをクリックします。
不審なリクエストを行ったクライアントに対処する
bot 攻撃など、インターセプトしたいリクエストを持つクライアントがいると確信できているでしょうか。リクエストがプロキシに到達する前に、クライアントからのリクエストをブロックまたはフラグするルールを作成します。
[Detection] ページの [Bot Analysis Report] で、[Partition View] タブをクリックしてパターンリストの表示に戻ります。
[Partition View] では、パターンリストが短縮され、前に表示するために選択したパターンのみが表示されています。これは、パターンを表示するよう選択したときに、結果のリスト全体をそのパターンのみに絞り込むようになったためです。フィルタするパターンが、ページ上部の [フィルタ] ボックスに表示されます。
パターンの行で、[Act] ボタンをクリックして、パターンに一致する IP からのリクエストに対して実行するアクションを指定します。
[Compose Rule] ダイアログで、選択したパターンで呼び出しを行う IP からのリクエストに対して Apigee Edge がどのように応答するかを定義します。
ここでは、対象のパターンの IP からリクエストを受信したときに Apigee Edge が使用するルールを指定します。
- 新しいルールの名前を入力します(例:
Block login attempters
)。 [フィルタリスト] で、Apigee Edge に実行させるアクションを選択します。
- [Allow] で、リクエストを以前と同じようにプロキシで続行します。
- プロキシが処理を開始する前にリクエストを完全にブロックします。
- プロキシが検索できる特別な HTTP ヘッダーを Apigee Edge で追加して、リクエストにフラグを立てる。Apigee Edge は、値が
SENSE
のX-SENSE-BOT-DETECTED
ヘッダーを追加します。例えば、特定のクライアントからリクエストを受け取ったときにダミーデータを送り返して誤解を招くようにプロキシを設定できます。プロキシでは、受信リクエストのヘッダーを調べて、フラグが付いたリクエストを受信したときに適切に応答します。
[Rules] ボックスで、表示されているルールが、Apigee Sense でルールの作成時に使用するルールであることを確認します。
[アクティブ] で [はい] を選択して、ルールを有効にします。
ルールの有効期限が切れるまでの期間(Apigee Edge でルールの適用が停止する期間)を選択します。
- 新しいルールの名前を入力します(例:
[作成] をクリックして、ルールを Apigee Edge に送信します。
作成したルールを確認する
特定のクライアントに応答するルールを設定済みの場合、[保護ルール] ページでそのルールを管理できます。
- ページ上部にある [保護] > [ルール] メニューをクリックして、適用されているルールのリストを表示します。
- [保護ルール] ページに、作成したルールの一覧が表示されます。ここでは次の操作を行えます。
- 検索ボックスに値を入力すると、名前や IP アドレスなどのリスト内の値でルールをフィルタできます。
- ルールの詳細の表示や、操作対象の IP の確認が可能です。
- [フィルタルール] 列の値をクリックして、ルールの構成要素を確認します。
- ルールを有効または無効にします。