Pierwsze kroki z konsolą Apigee Sense

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X.
Informacje

W tym temacie znajdziesz podstawowe informacje o konsoli Apigee Sense. W konsoli możesz wyświetlić wyniki analizy Apigee Sense przedstawiającej ruch do serwerów proxy interfejsu API. Gdy zidentyfikujesz klienty wysyłające podejrzane żądania (np. ataku bota), możesz użyć konsoli, aby zablokować lub sygnalizować żądania z adresu IP tych klientów.

Zgodnie z opisem w sekcji Co to jest Apigee Sense? Apigee Sense gromadzi i analizuje dane dotyczące żądań wysyłanych do Twoich interfejsów API. W ramach tej analizy Apigee Sense wykrywa wzorce, które mogą oznaczać podejrzane żądania. W konsoli Apigee Sense możesz wyświetlać wyniki analizy żądań i podejmować dotyczące ich działania.

  1. Otwórz nową wersję Edge.
  2. W nowej wersji Edge kliknij menu Analyze (Analizuj), a następnie kliknij Sense.

  3. Na stronie Sense znajdziesz graficzne podsumowanie aktywności związanej z żądaniami, w tym podejrzane żądania.

  4. W prawym górnym rogu konsoli wybierz organizację Apigee Edge, której dane chcesz wyświetlić.

    To organizacja zawierająca serwery proxy API, dla których Apigee Sense zbiera dane żądań.

  5. W lewym górnym rogu wybierz datę, dla której masz dane analizy Apigee Sense.

    Po wybraniu daty wykresy na tej stronie oferują bardzo ogólny przegląd analizy Apigee Sense, w tym ruch związany z żądaniami.

Wyświetlanie podsumowania analizy żądań

Możesz uzyskać ogólny wgląd w podejrzaną aktywność. Dzięki temu możesz przejść do bardziej szczegółowego widoku.

  1. U góry strony kliknij menu Wykrywanie > Zgłoś, aby wyświetlić dane o podejrzanej aktywności wykrytej wśród żądań.

    Na stronie Raport analizy bota na górze znajduje się sekcja Podejrzany ruch generowany przez roboty z podsumowaniem ruchu wraz z pomiarami dotyczącymi podejrzanych żądań.

    Strona Wykrywanie zawiera też dwa widoki podejrzanej aktywności.

    • Widok partycji grupuje klientów według przyczyny, dla której Apigee Sense przedstawia ich jako podejrzane.
    • Widok listy zawiera listę klientów żądań według ich adresów IP wraz z kilkoma innymi aspektami danych.
  2. W widoku partycji możesz wyświetlić ruch podzielony na kategorie według wzorców przedstawiających podejrzaną aktywność. Więcej informacji o wzorcach znajdziesz w artykule Podejmowanie działań w związku z podejrzaną aktywnością. Ruch żądań pogrupowany według tych wzorców jest wynikiem analizy danych żądań przez Apigee Sense.

    Nie wszystkie żądania zgodne z określonym wzorcem są nadużyciami. szukasz bardzo dużej liczby robotów lub bardzo dużego natężenia ruchu,

    Na przykład wzorzec Próbujący zalogować oznacza dużą liczbę prób uzyskania połączenia z serwerem proxy w ciągu 24 godzin. Na poniższym obrazie bardzo duża liczba botów (w stosunku do innych wzorców) wskazuje, że w ciągu jednego dnia duża liczba klientów próbuje połączyć się z serwerem proxy logowania. Dlatego warto zbadać ten wzorzec.

Badanie przy użyciu szczegółów analizy

Po zidentyfikowaniu zestawu żądań, które mogą świadczyć o podejrzanej aktywności, np. ataku bota, możesz uzyskać ich bardziej szczegółowy widok. Izolowanie prawdziwych ataków botów będzie wymagać połączenia analizy Apigee Sense z Twoją wiedzą o klientach wywołujących Twoje interfejsy API.

  1. W widoku partycji na stronie Wykrywanie znajdź interesujący Cię wzorzec (na przykład taki z bardzo dużą liczbą botów) i kliknij jego przycisk Wyświetl, aby zobaczyć szczegółowe informacje o tym, co ten wzorzec reprezentuje.

    Znajdziesz tu szczegółowy widok aktywności zgodnej z wybranym wzorcem. Na wyświetlonej liście znajduje się kilka istotnych danych:

    • Liczba adresów IP jest bardzo duża – prawie tysiąc w ciągu 24 godzin.
    • Za tymi adresami IP kryje się stosunkowo niewielka liczba systemów autonomicznych, a organizacje tego typu są bardzo rozproszone geograficznie.
    • Liczba ruchu generowanego przez boty są dość stabilne i wynosi około 250–260 dla różnych adresów IP. Dotyczy to także pomiaru % ruchu generowanego przez boty.

    Te informacje razem sugerują, że żądania z tych adresów IP stanowią skoordynowany, mechaniczny atak na identyfikator URI logowania.

  2. Aby wyświetlić jeszcze więcej informacji o pojedynczym kliencie, kliknij jeden z adresów IP w lewej kolumnie.

  3. Kliknij kartę Wykrywanie, aby wyświetlić informacje o żądaniach z adresu IP wykryte przez Apigee Sense.

    U góry okna zobaczysz listę zachowań wykrytych przez Apigee Sense w przypadku żądań z tego adresu IP.

    W sekcji Wykrywanie użyj kategorii z menu, aby określić, czy Apigee Edge ma obsługiwać żądania pochodzące z adresu IP w inny sposób. Na przykład poniższe kategorie wartości mogą pomóc w ustaleniu, czy adres IP stanowi atak:

    • Kod stanu odpowiedzi. Lista zdominowana przez dużą liczbę kodów błędów (np. 500) oznacza, że klient wielokrotnie próbuje z niewłaściwym żądaniem. Oznacza to, że klient, który po prostu wysyła żądanie wielokrotnie, nie wiedząc o wyniku błędu.
    • Identyfikator URI żądania. Niektóre identyfikatory URI są szczególnie istotne jako punkty ataku. Jednym z nich jest identyfikator URI logowania.
  4. Kliknij kartę Ochrona, aby wyświetlić listę reguł zabezpieczeń, które zostały już włączone dla żądań z tego adresu IP.

    Reguły są wymienione w takiej kolejności, w której działanie o najwyższym priorytecie (Zezwól) znajduje się na górze, a od najniższej (Flaga) u dołu. W Apigee Sense możesz wykonywać różne działania na jednym adresie IP. Zwykle oznacza to, że wykonujesz działanie związane z zachowaniem obejmującym wiele adresów IP, na przykład blokujesz podejrzane działania. Niektóre adresy IP mogą jednak pasować do niechcianych wzorców zachowań, takich jak Brute Guessor, ale nadal być przyjaznymi adresami IP, na przykład wtedy, gdy Ty lub Twój partner testujecie system. W takim przypadku zezwalasz na użycie tych konkretnych adresów IP niezależnie od ich działania. Mimo że działania wszystkich trzech typów są włączone dla adresu IP, działanie zezwalające ma pierwszeństwo przed działaniem blokowania lub flagi.

    Po potwierdzeniu, że adres IP prawdopodobnie reprezentuje klienta, na którym chcesz podjąć działania, możesz zacząć przechwytywać żądania od tego klienta.

  5. W Widoku szczegółowym kliknij przycisk Zamknij.

Podejmowanie działań w przypadku klientów wysyłających podejrzane żądania

Możesz mieć pewność, że korzystasz z klienta, którego żądania chcesz przechwycić. Może to być atak bota? Utwórz regułę, która blokuje lub oznacza żądania od klienta, zanim dotrze do Twoich serwerów proxy.

  1. Na stronie Wykrywanie w raporcie analizy botów kliknij kartę Widok partycji, aby wrócić do wyświetlania listy wzorców.

    W widoku partycji zwróć uwagę, że lista wzorców została skrócona, aby zawierała tylko ten wzorzec, który został wybrany do wyświetlenia wcześniej. Dzieje się tak, ponieważ po wybraniu wyświetlania wzorca rozpoczęto filtrowanie pełnej listy wyników tylko według tego wzorca. Wzorce objęte filtrowaniem są widoczne w polu Filtry u góry strony.

  2. W wierszu wzorca kliknij przycisk Działaj, aby określić działanie, jakie ma być wykonywane w przypadku żądań wysłanych z adresów IP pasujących do wzorca.

  3. W oknie Utwórz regułę określ, jak Apigee Edge będzie odpowiadać na żądania z adresów IP wykonujących wywołania zgodnie z wybranym wzorcem.

    W tym miejscu możesz określić regułę, której Apigee Edge używa, gdy żądania odbierane są z adresu IP w wzorcu.

    1. Wpisz nazwę nowej reguły, np. Block login attempters.
    2. Na liście filtrów wybierz działanie, jakie ma wykonać Apigee Edge:

      • Zezwól na przesyłanie żądania do serwera proxy tak jak wcześniej.
      • Całkowicie zablokuj żądanie, zanim rozpocznie się przetwarzanie przez serwer proxy.
      • Oznacz żądanie, dodając do usługi Apigee Edge specjalny nagłówek HTTP, który może być wyszukiwany przez serwer proxy. Apigee Edge doda nagłówek X-SENSE-BOT-DETECTED o wartości SENSE. Możesz na przykład skonfigurować serwer proxy tak, aby po otrzymaniu żądania od określonego klienta wysyłać mu fikcyjne dane, które wprowadzają użytkowników w błąd. W swoim serwerze proxy sprawdzasz nagłówki przychodzących żądań i odpowiednio odpowiadasz, gdy otrzymamy oznaczone żądanie.
    3. W oknie Reguły sprawdź, czy wyświetlane reguły mają być używane przez Apigee Sense przy tworzeniu reguły.

    4. W przypadku Aktywnego wybierz Tak, aby włączyć regułę.

    5. Wybierz okres, po którym reguła ma wygasać (aby usługa Apigee Edge przestała egzekwować).

  4. Kliknij Utwórz, aby wysłać regułę do Apigee Edge.

Sprawdzanie utworzonych reguł

Po skonfigurowaniu reguł w celu odpowiadania na niektóre klienty możesz nimi zarządzać na stronie Reguły zabezpieczeń.

  1. U góry strony kliknij menu Ochrona > Reguły, aby wyświetlić listę zastosowanych reguł.
  2. Na stronie Reguły zabezpieczeń możesz wyświetlić listę utworzonych reguł. Tutaj możesz:
    • Wpisz wartość w polu wyszukiwania, aby filtrować reguły według wartości na liście, takich jak nazwa lub adres IP.
    • Wyświetl szczegóły reguły lub sprawdź, na których adresach IP wykonujesz działanie.
    • Kliknij wartość w kolumnie Reguły filtrowania, aby zobaczyć, co składa się na regułę.
    • Włącz lub wyłącz reguły.