การเริ่มต้นใช้งาน Apigee Sense Console

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

ใช้หัวข้อนี้เพื่อรับข้อมูลเบื้องต้นเกี่ยวกับคอนโซล Apigee Sense คุณจะดูผลลัพธ์ของการวิเคราะห์ Apigee Sense ของการรับส่งข้อมูลไปยังพร็อกซี API ได้ในคอนโซล เมื่อคุณทราบว่าลูกค้าส่งคำขอที่น่าสงสัย เช่น ในการโจมตีบ็อต คุณจะใช้คอนโซลเพื่อดำเนินการโดยบล็อกหรือติดธงคำขอจากที่อยู่ IP ของลูกค้ารายนั้นได้

ตามที่อธิบายไว้ใน Apigee Sense คืออะไร Apigee Sense จะรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับคำขอที่ส่งไปยัง API ของคุณ การวิเคราะห์นี้ทำให้ Apigee Sense ระบุรูปแบบที่อาจแสดงคำขอที่น่าสงสัย คุณจะดูและดำเนินการกับผลการวิเคราะห์คำขอได้ด้วยคอนโซล Apigee Sense

  1. เปิดประสบการณ์ Edge ใหม่

  2. ในประสบการณ์การใช้งาน Edge ใหม่ ให้คลิกเมนูวิเคราะห์ แล้วคลิกSense

  3. ในหน้ารับทราบ คุณจะเห็นภาพรวมกิจกรรมคำขอในรูปแบบกราฟิก รวมถึงคำขอที่น่าสงสัย

  4. ที่มุมขวาบนของคอนโซล ให้เลือกองค์กร Apigee Edge ที่คุณต้องการดูข้อมูลคำขอ

    นี่คือองค์กรที่มีพร็อกซี API ที่ Apigee Sense กําลังรวบรวมข้อมูลคําขอ

  5. ที่มุมซ้ายบน ให้เลือกวันที่ที่มีข้อมูลการวิเคราะห์ Apigee Sense

    เมื่อเลือกวันที่ กราฟในหน้านี้จะแสดงภาพรวมระดับสูงของการวิเคราะห์ Apigee Sense รวมถึงการรับส่งข้อมูลคำขอ

ดูสรุปการวิเคราะห์คำขอ

คุณจะเห็นมุมมองระดับสูงเกี่ยวกับกิจกรรมที่น่าสงสัย การใช้ข้อมูลนี้ทำให้คุณสามารถเจาะลึกรายละเอียดเพิ่มเติม

  1. คลิกเมนูการตรวจหา > รายงานที่ด้านบนของหน้าเพื่อดูข้อมูลเกี่ยวกับกิจกรรมที่น่าสงสัยที่พบในคำขอ

    ในหน้ารายงานการวิเคราะห์ของบ็อต ส่วนการเข้าชมของบ็อตที่น่าสงสัยที่ด้านบนจะสรุปการเข้าชมพร้อมการวัดที่เฉพาะเจาะจงสําหรับคําขอที่น่าสงสัย

    หน้าการตรวจสอบยังมีมุมมองกิจกรรมที่น่าสงสัยอีก 2 มุมมอง

    • partition View จัดกลุ่มไคลเอ็นต์ตามเหตุผลที่ Apigee Sense เห็นว่าน่าสงสัย
    • มุมมองรายการแสดงไคลเอ็นต์คำขอตามที่อยู่ IP พร้อมด้วยข้อมูลอื่นๆ ในหลายแง่มุม

  2. ใน มุมมองพาร์ติชัน คุณสามารถดูการเข้าชมที่จัดหมวดหมู่เป็นรูปแบบที่แสดงถึงกิจกรรมที่น่าสงสัย โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับรูปแบบในการดำเนินการกับกิจกรรมที่น่าสงสัย การรับส่งข้อมูลของคำขอที่จัดกลุ่มเป็นรูปแบบเหล่านี้เป็นผลิตภัณฑ์ของการวิเคราะห์ Apigee Sense ของข้อมูลคำขอของคุณ

    คำขอบางรายการที่เป็นไปตามรูปแบบถือเป็นการละเมิด คุณต้องการบ็อตและ/หรือจำนวนการเข้าชมที่มีจำนวนสูงมาก

    ตัวอย่างเช่น รูปแบบความพยายามในการเข้าสู่ระบบแสดงถึงความพยายามหลายครั้งในการเข้าถึงพร็อกซีการเข้าสู่ระบบในหน้าต่าง 24 ชั่วโมง ในภาพต่อไปนี้ จำนวนจำนวนบ็อตที่สูงมาก (เทียบกับรูปแบบอื่น) หมายความว่ามีไคลเอ็นต์จำนวนมากที่พยายามเข้าถึงพร็อกซีการเข้าสู่ระบบใน 1 วัน รูปแบบนี้จึงคุ้มค่าที่จะตรวจสอบ

ตรวจสอบโดยใช้รายละเอียดการวิเคราะห์

เมื่อคุณระบุชุดคำขอที่อาจประกอบด้วยกิจกรรมที่น่าสงสัย เช่น การโจมตีของบ็อต คุณจะสามารถดูคำขอที่ละเอียดยิ่งขึ้นได้ การแยกการโจมตีของบ็อตจริงๆ จะต้องใช้การวิเคราะห์ Apigee Sense เข้ากับความรู้ของคุณเองเกี่ยวกับไคลเอ็นต์ที่เรียกใช้ API

  1. ในมุมมองพาร์ติชันในหน้าการตรวจหา ให้ค้นหารูปแบบที่คุณสนใจ เช่น รูปแบบที่มีบ็อตสูงมาก แล้วคลิกปุ่มดูเพื่อดูรายละเอียดว่ารูปแบบดังกล่าวแสดงถึงอะไร

    ในส่วนนี้ คุณจะเห็นมุมมองเจาะลึกของกิจกรรมที่สอดคล้องกับรูปแบบที่คุณเลือก มีข้อมูลที่น่าสนใจบางส่วนจากรายการที่แสดงที่นี่ ดังนี้

    • ที่อยู่ IP มีอยู่เป็นจำนวนมาก ซึ่งเกือบหนึ่งพันรายการใน 24 ชั่วโมง
    • มีองค์กร autonomous System (AS) ที่อยู่เบื้องหลัง IP เหล่านั้นอยู่ไม่มากนัก และองค์กร AS นั้นกระจายอยู่ทั่วไปในพื้นที่ทางภูมิศาสตร์
    • การเข้าชมจากบ็อตมีจำนวนอย่างสม่ำเสมออยู่ที่ประมาณ 250-260 ต่อรายการใน IP ค่านี้ยังแสดงจากการวัด % ของการเข้าชมของบ็อตด้วย

    เมื่อพิจารณารวมกันแล้ว ข้อมูลนี้บ่งชี้ว่าคำขอจาก IP เหล่านี้แสดงถึงการโจมตีแบบทำงานร่วมกันที่ใช้กลไกใน URI การเข้าสู่ระบบ

  2. หากต้องการดูรายละเอียดเพิ่มเติมเกี่ยวกับไคลเอ็นต์รายเดียว ให้คลิกที่อยู่ IP ที่อยู่ใดที่อยู่หนึ่งในคอลัมน์ด้านซ้าย

  3. คลิกแท็บ Detection เพื่อดูว่า Apigee Sense ค้นพบอะไรเกี่ยวกับคำขอจากที่อยู่ IP

    ที่ด้านบนของกล่องโต้ตอบ คุณจะเห็นรายการพฤติกรรมที่ Apigee Sense ตรวจพบสำหรับคำขอจากที่อยู่ IP นี้

    ในส่วนการตรวจหา ให้ใช้หมวดหมู่ในรายการแบบเลื่อนลงเพื่อตัดสินใจว่าคำขอที่มาจากที่อยู่ IP ควรได้รับการจัดการในลักษณะอื่นหรือไม่โดย Apigee Edge ตัวอย่างเช่น หมวดหมู่ค่าต่อไปนี้จะช่วยให้คุณทราบว่าที่อยู่ IP แสดงถึงการโจมตีหรือไม่

    • รหัสสถานะการตอบกลับ รายการที่มีรหัสข้อผิดพลาดจำนวนมาก เช่น 500 หมายความว่าลูกค้าพยายามดำเนินการกับคำขอที่ไม่ถูกต้องซ้ำๆ กล่าวคือ ไคลเอ็นต์ที่ส่งคำขอซ้ำๆ โดยไม่ทราบผลของข้อผิดพลาด
    • URI คำขอ URI บางรายการมีความสำคัญเป็นพิเศษในฐานะจุดโจมตี URI สำหรับการเข้าสู่ระบบก็เป็นหนึ่งในนั้น

  4. คลิกแท็บการป้องกันเพื่อดูรายการกฎการป้องกันที่เปิดใช้แล้วสำหรับคำขอจากที่อยู่ IP นี้

    กฎจะแสดงตามลำดับความสำคัญ โดยมีการทำงานที่มีความสำคัญสูงสุด (Allow) อยู่ที่ด้านบนและต่ำสุด (Flag) ที่ด้านล่าง ใน Apigee Sense คุณจะดำเนินการได้หลายอย่างกับที่อยู่ IP เดียว ซึ่งโดยปกตินั่นเป็นเพราะคุณกำลังดำเนินการกับพฤติกรรมที่มีที่อยู่ IP หลายรายการ เช่น เพื่อบล็อกนักคาดเดาแบบบรูต อย่างไรก็ตาม ที่อยู่ IP บางรายการอาจตรงกับรูปแบบลักษณะการทำงานที่ไม่พึงประสงค์ เช่น Brute Guessor แต่ยังคงเป็น IP ที่ใช้งานง่าย เช่น เมื่อคุณหรือพาร์ทเนอร์กำลังทดสอบระบบ ในกรณีนี้ คุณควรอนุญาตที่อยู่ IP ที่ระบุเหล่านั้นโดยไม่คำนึงถึงลักษณะการทำงาน ดังนั้นแม้ว่าระบบจะเปิดใช้การดำเนินการทั้ง 3 ประเภทสำหรับที่อยู่ IP แต่การดำเนินการ "อนุญาต" จะมีลำดับความสำคัญเหนือกว่าการดำเนินการบล็อกหรือแฟล็ก

    หลังจากยืนยันแล้วว่า IP หนึ่งน่าจะเป็นตัวแทนของไคลเอ็นต์ที่คุณต้องการดำเนินการ คุณก็สามารถสกัดกั้นคำขอจากไคลเอ็นต์นั้นได้

  5. ในมุมมองรายละเอียด ให้คลิกปุ่มปิด

ดำเนินการกับลูกค้าที่ส่งคำขอที่น่าสงสัย

หากคุณมีความมั่นใจว่าคุณมีลูกค้าที่คุณต้องการสกัดกั้นคำขอ เช่น การโจมตีบ็อต หรือไม่ เขียนกฎเพื่อบล็อกหรือแจ้งว่าคำขอไม่เหมาะสมจากไคลเอ็นต์ก่อนที่คำขอจะส่งไปถึงพร็อกซี

  1. ในหน้าการตรวจหา ในรายงานการวิเคราะห์บ็อต ให้คลิกแท็บมุมมองพาร์ติชันเพื่อกลับไปดูรายการรูปแบบ

    ในมุมมองพาร์ติชัน โปรดทราบว่ามีการตัดรายการรูปแบบให้สั้นลงเพื่อรวมเฉพาะรูปแบบที่คุณเลือกไว้ให้ดูก่อนหน้านี้ นั่นเป็นเพราะว่าเมื่อคุณเลือกดูรูปแบบ คุณได้เริ่มกรองรายการผลลัพธ์ทั้งหมดให้เหลือเฉพาะรูปแบบดังกล่าว รูปแบบที่คุณกำลังกรองจะแสดงในช่องตัวกรองที่อยู่ใกล้ด้านบนของหน้า

  2. ในแถวของรูปแบบ ให้คลิกปุ่ม Act เพื่อระบุการดำเนินการที่จะทำสำหรับคำขอจาก IP ที่ตรงกับรูปแบบนั้นๆ

  3. ในกล่องโต้ตอบเขียนกฎ ให้กำหนดวิธีที่ Apigee Edge จะตอบสนองต่อคำขอจาก IP ที่เรียกใช้ในรูปแบบที่คุณเลือก

    ในส่วนนี้ คุณจะระบุกฎที่ Apigee Edge ใช้เมื่อได้รับคำขอจาก IP ในรูปแบบดังกล่าว

    1. ป้อนชื่อกฎใหม่ เช่น Block login attempters

    2. ในรายการตัวกรอง ให้เลือกการดำเนินการที่ต้องการให้ Apigee Edge ของคุณ ดังนี้

      • อนุญาตให้ส่งคำขอไปยังพร็อกซีเช่นเดิม
      • บล็อกคำขอทั้งหมดก่อนที่พร็อกซีจะเริ่มประมวลผล
      • แจ้งคำขอโดยให้ Apigee Edge เพิ่มส่วนหัว HTTP พิเศษที่พร็อกซีของคุณค้นหาได้ Apigee Edge จะเพิ่มส่วนหัว X-SENSE-BOT-DETECTED ที่มีค่าเป็น SENSE ตัวอย่างเช่น คุณอาจต้องการตั้งค่าพร็อกซีเพื่อที่ว่าเมื่อคุณได้รับคำขอจากไคลเอ็นต์บางราย คุณจะสามารถส่งข้อมูลจำลองกลับมาเพื่อทำให้ลูกค้าเข้าใจผิดได้ ในพร็อกซี คุณจะต้องตรวจสอบส่วนหัวของคำขอที่เข้ามาใหม่ จากนั้นตอบกลับอย่างเหมาะสมเมื่อได้รับคำขอที่มีการแจ้งว่าไม่เหมาะสม

    3. ในช่องกฎ ให้ยืนยันว่ากฎที่แสดงคือกฎที่คุณต้องการให้ Apigee Sense ใช้งานเมื่อสร้างกฎ

    4. ในส่วนใช้งานอยู่ ให้เลือกใช่เพื่อเปิดกฎ

    5. เลือกช่วงเวลาที่ต้องการให้กฎหมดอายุ (เพื่อให้ Apigee Edge หยุดบังคับใช้กฎนั้น)

  4. คลิกสร้างเพื่อส่งกฎไปยัง Apigee Edge

ตรวจสอบกฎที่คุณสร้าง

หากคุณเคยใช้งานกฎเพื่อตอบกลับไคลเอ็นต์บางราย ก็จัดการกฎนั้นได้ในหน้ากฎการป้องกัน

  1. คลิกเมนูการป้องกัน > กฎที่ด้านบนของหน้าเพื่อดูรายการกฎที่คุณมีอยู่
  2. ในหน้ากฎการป้องกัน คุณจะเห็นรายการกฎที่คุณสร้างไว้ จากที่นี่ คุณจะทำสิ่งต่อไปนี้ได้
    • ป้อนค่าในช่องค้นหาเพื่อกรองกฎตามค่าในรายการ เช่น ชื่อหรือที่อยู่ IP
    • ดูรายละเอียดของกฎหรือดูว่าคุณดำเนินการกับ IP ใด
    • คลิกค่าในคอลัมน์กฎตัวกรองเพื่อดูองค์ประกอบของกฎ
    • เปิดหรือปิดใช้กฎ