Apigee Sense 콘솔 시작하기

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동
정보

이 주제를 통해 Apigee Sense 콘솔에 대해 알아보세요. 콘솔에서 API 프록시 트래픽의 Apigee Sense 분석 결과를 볼 수 있습니다. 봇 공격과 같이 의심스러운 요청을 하는 클라이언트를 식별하면 콘솔을 사용하여 해당 클라이언트의 IP 주소에서 오는 요청을 차단하거나 신고하여 조치를 취할 수 있습니다.

Apigee Sense란 무엇인가요?에서 설명한 것처럼 Apigee Sense는 API 요청에 대한 데이터를 수집하고 분석합니다. Apigee Sense는 이 분석을 통해 의심스러운 요청을 나타낼 수 있는 패턴을 식별합니다. Apigee Sense 콘솔에서 요청 분석 결과를 확인하고 조치를 취할 수 있습니다.

  1. New Edge 환경을 엽니다.
  2. New Edge 환경에서 분석 메뉴를 클릭한 다음 Sense를 클릭합니다.

  3. Sense 페이지에 의심스러운 요청을 포함한 요청 활동의 그래픽 스냅샷이 표시됩니다.

  4. 콘솔의 오른쪽 상단에서 요청 데이터를 보려는 Apigee Edge 조직을 선택합니다.

    Apigee Sense에서 요청 데이터를 수집하는 API 프록시가 포함된 조직입니다.

  5. 왼쪽 상단에서 Apigee Sense 분석 데이터가 있는 날짜를 선택합니다.

    날짜를 선택하면 이 페이지의 그래프에서 요청 트래픽을 포함한 Apigee Sense 분석 개요를 간략하게 확인할 수 있습니다.

요청 분석 요약 보기

의심스러운 활동을 개괄적으로 확인할 수 있습니다. 이 기능을 사용하면 드릴다운을 통해 더 자세한 내용을 확인할 수 있습니다.

  1. 페이지 상단에서 감지 > 보고서 메뉴를 클릭하여 요청에서 발견된 의심스러운 활동에 대한 데이터를 확인합니다.

    봇 분석 보고서 페이지 상단의 의심스러운 봇 트래픽 섹션에는 의심스러운 요청과 관련된 측정값과 함께 트래픽이 요약되어 있습니다.

    또한 감지 페이지에는 의심스러운 활동에 대한 두 가지 보기도 제공됩니다.

    • 파티션 뷰는 Apigee Sense에서 의심스러운 것으로 표시하는 이유를 기준으로 클라이언트를 그룹화합니다.
    • 목록 보기는 데이터의 여러 다른 측면과 함께 IP 주소별로 요청 클라이언트를 나열합니다.
  2. 파티션 뷰에서 의심스러운 활동을 나타내는 패턴으로 분류된 트래픽을 볼 수 있습니다. 패턴에 관한 자세한 내용은 의심스러운 활동에 대한 조치를 참고하세요. 이러한 패턴으로 그룹화된 요청 트래픽은 요청 데이터의 Apigee Sense 분석 결과입니다.

    패턴을 따르는 모든 요청이 악성인 것은 아닙니다. 매우 많은 봇 수 또는 트래픽 수를 찾고 있습니다.

    예를 들어 로그인 시도자 패턴은 24시간 동안 로그인 프록시에 접속하려는 시도 횟수가 많음을 나타냅니다. 다음 이미지에서 봇 수가 다른 패턴에 비해 매우 높으면 많은 수의 클라이언트가 하루 동안 로그인 프록시에 도달하려고 시도하고 있음을 나타냅니다. 따라서 이 패턴은 조사할 가치가 있습니다.

분석 세부정보를 사용한 조사

봇 공격과 같이 의심스러운 활동을 구성할 수 있는 일련의 요청을 확인하면 해당 요청을 보다 자세히 확인할 수 있습니다. 실제 봇 공격을 격리하려면 Apigee Sense 분석과 API를 호출하는 클라이언트에 대한 자체 지식을 결합해야 합니다.

  1. 감지 페이지의 파티션 뷰에서 관심 있는 패턴(예: 봇 수가 매우 높은 패턴)을 찾고 해당 패턴의 보기 버튼을 클릭하여 패턴이 나타내는 세부정보를 확인합니다.

    여기에서 선택한 패턴에 해당하는 활동을 드릴다운하여 볼 수 있습니다. 아래 목록에서 주목할 만한 몇 가지 데이터를 소개합니다.

    • 24시간에 거의 1,000개에 달하는 IP 주소는 매우 많습니다.
    • 이러한 IP를 지원하는 자율 시스템 (AS) 조직은 비교적 소수이며 AS 조직은 지리적으로 광범위하게 분산되어 있습니다.
    • 봇 트래픽 수는 IP에서 각각 약 250~260개로 상당히 일정합니다. 이 수치는 측정된 봇 트래픽의 비율로도 표시됩니다.

    종합해 보면 이러한 IP의 요청이 로그인 URI에 대한 조직적이고 기계화된 공격을 나타내는 것으로 보입니다.

  2. 단일 클라이언트에 대한 자세한 내용을 보려면 왼쪽 열에서 IP 주소 중 하나를 클릭합니다.

  3. 감지 탭을 클릭하여 Apigee Sense가 IP 주소 요청에 대해 검색한 내용을 확인합니다.

    대화상자 상단에 이 IP 주소의 요청에 대해 Apigee Sense에서 감지한 동작 목록이 표시됩니다.

    감지에서 드롭다운의 카테고리를 사용하여 IP 주소에서 들어오는 요청을 Apigee Edge에서 다르게 처리해야 하는지 결정합니다. 예를 들어 다음 값 카테고리는 IP 주소가 공격을 나타내는지 파악하는 데 도움이 될 수 있습니다.

    • 응답 상태 코드. 500과 같이 대부분 오류 코드가 많은 목록은 클라이언트가 잘못된 요청을 반복적으로 시도하고 있음을 나타냅니다. 즉, 오류 결과를 알지 못하는 사이에 단순히 요청을 반복적으로 보내는 클라이언트입니다.
    • 요청 URI. 일부 URI는 특히 공격 지점으로 중요합니다. 로그인 URI도 그 중 하나입니다.
  4. 보호 탭을 클릭하면 이 IP 주소의 요청에 대해 이미 사용 설정된 보호 규칙 목록을 확인할 수 있습니다.

    규칙은 우선순위로 나열되며, 우선순위가 가장 높은 작업 (허용)이 맨 위에, 가장 낮은 작업 (플래그)이 맨 아래에 표시됩니다. Apigee Sense에서는 단일 IP 주소에 여러 종류의 작업을 수행할 수 있습니다. 일반적으로 이는 무차별 추측을 차단하는 등 여러 IP 주소가 포함된 행동에 대해 조치를 취하기 때문입니다. 그러나 일부 IP 주소는 Brute Guessor와 같이 원치 않는 동작 패턴에 맞지만 사용자나 파트너가 시스템을 테스트할 때와 같이 친숙한 IP일 수 있습니다. 이 경우 동작과 관계없이 해당 IP 주소를 허용할 수 있습니다. 따라서 IP 주소에 세 가지 유형의 작업이 모두 사용 설정되더라도 허용 작업이 차단 또는 신고 작업보다 우선합니다.

    IP가 조치를 취하려는 클라이언트를 나타낼 가능성이 높은 것으로 확인되면 해당 클라이언트의 요청을 가로채도록 조치를 취할 수 있습니다.

  5. 상세 보기에서 닫기 버튼을 클릭합니다.

의심스러운 요청을 하는 클라이언트에 대해 조치를 취합니다.

봇 공격과 같이 요청을 가로채고 싶은 클라이언트가 있다고 확신하시나요? 요청이 프록시에 도달하기 전에 클라이언트의 요청을 차단하거나 플래그 지정하는 규칙을 작성합니다.

  1. Detection 페이지의 Bot Analysis Report(봇 분석 보고서)에서 Partition View(파티션 뷰) 탭을 클릭하여 패턴 목록 보기로 돌아갑니다.

    파티션 뷰에서 패턴 목록이 단축되어 앞서 보기 위해 선택한 패턴만 포함됩니다. 이는 패턴을 보기로 선택할 때 전체 결과 목록을 해당 패턴으로만 필터링하기 시작했기 때문입니다. 필터링할 패턴은 페이지 상단의 필터 상자에 표시됩니다.

  2. 패턴 행에서 실행 버튼을 클릭하여 패턴과 일치하는 IP의 요청에 대해 수행할 작업을 지정합니다.

  3. 규칙 작성 대화상자에서 선택한 패턴으로 호출하는 IP의 요청에 Apigee Edge가 응답하는 방식을 정의합니다.

    여기에서는 패턴에 포함된 IP에서 요청을 수신할 때 Apigee Edge가 사용하는 규칙을 지정합니다.

    1. 새 규칙의 이름(예: Block login attempters)을 입력합니다.
    2. 필터 목록에서 Apigee Edge가 수행할 작업을 선택합니다.

      • 요청이 이전과 마찬가지로 프록시로 진행되도록 허용합니다.
      • 프록시에서 요청을 처리하기 전에 요청을 완전히 차단합니다.
      • Apigee Edge가 프록시가 찾을 수 있는 특수 HTTP 헤더를 추가하도록 하여 요청을 플래그합니다. Apigee Edge가 값이 SENSEX-SENSE-BOT-DETECTED 헤더를 추가합니다. 예를 들어, 특정 클라이언트로부터 요청을 수신하면 더미 데이터를 다시 전송하여 해당 클라이언트에게 혼동을 줄 수 있도록 프록시를 설정할 수 있습니다. 프록시에서 수신 요청의 헤더를 검사 한 다음 플래그가 지정된 요청을 받으면 적절하게 응답합니다.
    3. 규칙 상자에서 규칙을 만들 때 Apigee Sense에서 사용하도록 할 규칙이 표시되는지 확인합니다.

    4. 활성에서 를 선택하여 규칙을 사용 설정합니다.

    5. 규칙이 만료되기를 원하는 기간 (Apigee Edge에서 규칙 시행을 중지하려는 경우)을 선택합니다.

  4. 만들기를 클릭하여 Apigee Edge로 규칙을 보냅니다.

내가 만든 규칙 검토

특정 클라이언트에 응답하기 위한 규칙을 설정한 경우 보호 규칙 페이지에서 규칙을 관리할 수 있습니다.

  1. 페이지 상단에서 보호 조치 > 규칙 메뉴를 클릭하여 설정된 규칙 목록을 확인합니다.
  2. 보호 규칙 페이지에서 내가 만든 규칙의 목록을 볼 수 있습니다. 여기에서 다음 작업을 할 수 있습니다.
    • 검색창에 값을 입력하여 이름이나 IP 주소와 같은 목록의 값으로 규칙을 필터링합니다.
    • 규칙의 세부정보를 보거나 조치를 취할 IP를 확인할 수 있습니다.
    • 필터 규칙 열에서 값을 클릭하여 규칙을 구성하는 요소를 확인합니다.
    • 규칙을 사용 설정 또는 사용 중지합니다.