Apigee Sense コンソール スタートガイド

現在、Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください
情報

このトピックでは、Apigee Sense コンソールの概要を説明します。コンソールで、API プロキシへのトラフィックの Apigee Sense 分析の結果を表示できます。bot 攻撃などで不審なリクエストを行うクライアントを特定したら、コンソールを使用して、そのクライアントの IP アドレスからのリクエストをブロックまたはフラグして対策を講じることができます。

Apigee Sense とはで説明されているように、Apigee Sense は、API へのリクエストに関するデータを収集して分析します。Apigee Sense はこの分析を通じて、不審なリクエストを表す可能性のあるパターンを特定します。Apigee Sense コンソールを使用すると、リクエスト分析結果を表示して対処できます。

  1. New Edge エクスペリエンスを開きます。
  2. New Edge エクスペリエンスで、[Analyze] メニュー、[Sense] の順にクリックします。

  3. [Sense] ページには、不審なリクエストを含むリクエスト アクティビティがグラフで表示されます。

  4. コンソールの右上で、リクエスト データを表示する Apigee Edge 組織を選択します。

    これは、Apigee Sense がリクエスト データを収集する API プロキシを含む組織です。

  5. 左上で、Apigee Sense 分析データがある日付を選択します。

    日付を選択すると、このページのグラフに、リクエスト トラフィックなどの Apigee Sense 分析の概要が表示されます。

リクエスト分析の概要を表示する

不審なアクティビティの概要を確認できます。これを使用して、ドリルダウンしてさらに詳細を表示できます。

  1. ページの上部にある [検出] > [レポート] メニューをクリックし、リクエスト内で検出された不審なアクティビティに関するデータを表示します。

    [Bot Analysis Report] ページの上部にある [Suspected Bot Traffic] セクションに、不審なリクエストに固有の測定値とともにトラフィックの概要が表示されます。

    [検出] ページには、不審なアクティビティに関する 2 つのビューもあります。

    • [Partition View] では、Apigee Sense が疑わしいと表示される理由ごとにクライアントをグループ化します。
    • [List View] には、IP アドレスごとにリクエスト クライアントが表示されます。データの他の側面も一緒に表示されます。
  2. [Partition View] では、不審なアクティビティを表すパターンに分類されたトラフィックを表示できます。パターンについて詳しくは、不審なアクティビティへの対処をご覧ください。これらのパターンにグループ化されたリクエスト トラフィックは、リクエスト データの Apigee Sense 分析によって生み出されます。

    パターンに一致するすべてのリクエストが不正であるとは限りません。非常に多くの bot 数やトラフィック数を探している場合。

    たとえば、「Login Attempter」パターンは、24 時間の間にログイン プロキシへのアクセスが大量に試行されることを表します。次の図で、(他のパターンと比較して)Bot 数が非常に多い場合、多数のクライアントが 1 日にログイン プロキシに到達しようとしていることを示します。そのため、このパターンは調査する価値があります。

分析の詳細を使用した調査

bot 攻撃など、疑わしいアクティビティを構成する可能性のある一連のリクエストを特定したら、リクエストの詳細を確認できます。真の bot 攻撃を切り分けるには、Apigee Sense 分析と、API を呼び出すクライアントに関する自分自身の知識を組み合わせる必要があります。

  1. [Detection] ページの [Partition View] で、目的のパターン(bot 数が非常に多いパターンなど)を見つけ、[View] ボタンをクリックしてパターンの詳細を表示します。

    ここでは、選択したパターンに一致するアクティビティがドリルダウンで表示されます。ここに示すリストから注目すべきデータがいくつかあります。

    • 多数の IP アドレスが 24 時間で 1,000 近くあり、
    • これらの IP の背後には比較的少数の 自律システム(AS)組織が存在しており、その AS 組織は地理的に幅広く分散されています。
    • bot トラフィック数は IP 全体で約 250 ~ 260 で、ほぼ一貫しています。これは、bot トラフィックの割合の測定値でも表示されます。

    こうした情報を総合すると、これらの IP からのリクエストは、ログイン URI に対する協調的で機械化された攻撃を表していることがわかります。

  2. 1 つのクライアントについてさらに詳細を表示するには、左側の列で IP アドレスのいずれかをクリックします。

  3. [Detection] タブをクリックして、Apigee Sense が IP アドレスからのリクエストについて検出した内容を確認します。

    ダイアログの上部に、この IP アドレスからのリクエストに対して Apigee Sense が検出した動作のリストが表示されます。

    [Detection] で、プルダウンのカテゴリを使用して、IP アドレスからのリクエストに対して Apigee Edge での処理方法を変えるかどうかを決定します。たとえば、次の値のカテゴリは、IP アドレスが攻撃を表しているかどうかを判断するのに役立ちます。

    • レスポンスのステータス コード。リストの先頭に多数のエラーコード(500 など)がある場合、クライアントが誤ったリクエストで繰り返し試行していると考えられます。つまり、エラー結果に気づかずに単にリクエストを繰り返し送信しているクライアントです。
    • リクエスト URI。一部の URI は攻撃ポイントとして特に重要です。ログイン URI はその一つです。
  4. [保護] タブをクリックすると、この IP アドレスからのリクエストに対してすでに有効になっている保護ルールのリストが表示されます。

    ルールは優先順位順でリストされ、最も優先順位の高いアクション(許可)が一番上、一番下に最低のアクション(フラグ)が表示されます。Apigee Sense では、単一の IP アドレスに対して複数の種類のアクションを実行できます。これは通常、複数の IP アドレスを含む動作に対して対策(総当たり攻撃をブロックするなど)を行っているためです。ただし、Brute Guessor のような望ましくない動作パターンには合致する IP アドレスもありますが、ユーザーやパートナーがシステムをテストする場合など、親しみやすい IP アドレスになります。そのような場合は、動作に関係なく特定の IP アドレスを許可します。したがって、該当する IP アドレスに対して 3 種類すべてのアクションが有効になりますが、許可アクションはブロック アクションやフラグ アクションよりも優先されます。

    IP が対処するクライアントの代表である可能性が高いことを確認したら、そのクライアントからのリクエストをインターセプトする措置を講じることができます。

  5. [詳細ビュー] で [閉じる] ボタンをクリックします。

不審なリクエストを行うクライアントに対処する

bot 攻撃など、インターセプトしたいリクエストのクライアントがあると安心感はありませんか?リクエストがプロキシに到達する前に、クライアントからのリクエストをブロックまたはフラグ化するルールを作成します。

  1. [Detection] ページの [Bot Analysis Report] で、[Partition View] タブをクリックしてパターンリストの表示に戻ります。

    [Partition View] では、パターンリストが短縮され、前に表示するために選択したパターンのみが含まれるようになります。これは、パターンの表示を選択したときに、結果の全リストをそのパターンのみに絞り込むようになったためです。フィルタするパターンは、ページ上部の [フィルタ] ボックスに表示されます。

  2. パターンの行で [Act] ボタンをクリックして、パターンに一致する IP からのリクエストに対して実行するアクションを指定します。

  3. [Compose Rule] ダイアログで、選択したパターンで呼び出しを行う IP からのリクエストに応答する方法を定義します。

    ここでは、Apigee Edge がパターンの IP からリクエストを受信したときに使用するルールを指定します。

    1. 新しいルールの名前を入力します(例: Block login attempters)。
    2. [Filter List] で、Apigee Edge に実行させるアクションを選択します。

      • [Allow] で、リクエストを以前と同様にプロキシで続行します。
      • プロキシが処理を開始する前に、リクエストを完全にブロックします。
      • プロキシが検索できる特別な HTTP ヘッダーを Apigee Edge に追加して、リクエストのフラグを設定します。Apigee Edge によって、値が SENSEX-SENSE-BOT-DETECTED ヘッダーが追加されます。たとえば、特定のクライアントからリクエストを受け取ったときにダミーデータを送り返して欺くことができるようにプロキシを設定できます。プロキシでは、受信リクエストのヘッダーを調べて、フラグが付けられたリクエストを受信したときに適切に応答します。
    3. [Rules] ボックスで、表示されたルールが、Apigee Sense でルールの作成時に使用するルールであることを確認します。

    4. [アクティブ] で [はい] を選択して、ルールを有効にします。

    5. ルールの有効期限(Apigee Edge でルールの適用を停止する期間)を選択します。

  4. [作成] をクリックして、ルールを Apigee Edge に送信します。

作成したルールを確認する

特定のクライアントに応答するルールを適用した場合は、[保護ルール] ページでルールを管理できます。

  1. ページの上部にある [保護] > [ルール] メニューをクリックし、適用しているルールのリストを表示します。
  2. [保護ルール] ページで、作成したルールのリストを表示できます。ここでは次の操作を行えます。
    • 検索ボックスに値を入力して、リスト内の値(名前、IP アドレスなど)でルールをフィルタします。
    • ルールの詳細や、操作対象の IP を確認します。
    • [フィルタルール] 列の値をクリックして、ルールの構成要素を確認します。
    • ルールを有効または無効にします。