การเริ่มต้นใช้งาน Apigee Sense Console

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X
ข้อมูล

ใช้หัวข้อนี้เพื่อรับข้อมูลเบื้องต้นเกี่ยวกับคอนโซล Apigee Sense ในคอนโซล คุณจะดูผลลัพธ์ของการวิเคราะห์ Apigee Sense ของการรับส่งข้อมูลไปยังพร็อกซี API ได้ เมื่อคุณทราบว่าลูกค้าส่งคำขอที่น่าสงสัย เช่น ในการโจมตีบ็อต คุณจะใช้คอนโซลดำเนินการด้วยการบล็อกหรือแจ้งว่าคำขอไม่เหมาะสมจากที่อยู่ IP ของลูกค้ารายนั้นได้

ตามที่อธิบายไว้ใน Apigee Sense คืออะไร Apigee Sense จะรวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับคำขอที่ส่งไปยัง API การวิเคราะห์นี้ทำให้ Apigee Sense ระบุรูปแบบที่อาจแสดงถึงคำขอที่น่าสงสัยได้ คุณจะดูและดำเนินการกับผลการวิเคราะห์คำขอได้ด้วยคอนโซล Apigee Sense

  1. เปิดประสบการณ์ Edge ใหม่
  2. ในประสบการณ์การใช้งาน New Edge ให้คลิกเมนูวิเคราะห์ แล้วคลิกSense

  3. ในหน้า Sense คุณจะเห็นภาพรวมโดยสรุปของกิจกรรมคำขอ รวมถึงคำขอที่น่าสงสัย

  4. ที่มุมขวาบนของคอนโซล ให้เลือกองค์กร Apigee Edge ที่คุณต้องการดูข้อมูลคำขอ

    องค์กรนี้มีพร็อกซี API ที่ Apigee Sense รวบรวมข้อมูลคำขอ

  5. ที่มุมซ้ายบน ให้เลือกวันที่ที่คุณมีข้อมูลการวิเคราะห์ Apigee Sense

    เมื่อเลือกวันที่แล้ว กราฟในหน้านี้จะแสดงภาพรวมระดับสูงของการวิเคราะห์ Apigee Sense รวมถึงการรับส่งข้อมูลของคำขอด้วย

ดูสรุปการวิเคราะห์คำขอ

คุณจะเห็นมุมมองระดับสูงเกี่ยวกับกิจกรรมที่น่าสงสัย การใช้สิ่งนี้จะช่วยให้เจาะลึกรายละเอียดเพิ่มเติมได้

  1. ที่ด้านบนของหน้า ให้คลิกเมนูการตรวจหา > รายงานเพื่อดูข้อมูลเกี่ยวกับกิจกรรมที่น่าสงสัยที่พบในคำขอ

    ในหน้ารายงานการวิเคราะห์บ็อต ส่วนการเข้าชมจากบ็อตที่น่าสงสัยที่ด้านบนจะสรุปการเข้าชม พร้อมด้วยการวัดที่เฉพาะเจาะจงสำหรับคำขอที่น่าสงสัย

    หน้าการตรวจสอบยังแสดงกิจกรรมที่น่าสงสัยได้ 2 แบบ

    • Partition View จะจัดกลุ่มไคลเอ็นต์ตามเหตุผลที่ Apigee Sense มองว่าลูกค้าน่าสงสัย
    • มุมมองรายการแสดงไคลเอ็นต์คำขอตามที่อยู่ IP พร้อมกับข้อมูลด้านอื่นๆ
  2. ในมุมมองพาร์ติชัน คุณสามารถดูการเข้าชมที่จัดหมวดหมู่เป็นรูปแบบที่แสดงถึงกิจกรรมที่น่าสงสัย โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับรูปแบบที่การดำเนินการกับกิจกรรมที่น่าสงสัย การรับส่งข้อมูลของคำขอที่จัดกลุ่มเป็นรูปแบบเหล่านี้เป็นผลิตภัณฑ์ที่ได้จากการวิเคราะห์ Apigee Sense ของข้อมูลคำขอของคุณ

    คำขอบางรายการที่ไม่เป็นไปตามรูปแบบถือเป็นการละเมิด คุณต้องการค้นหาบ็อตและ/หรือปริมาณการเข้าชมที่สูงมาก

    ตัวอย่างเช่น รูปแบบการพยายามเข้าสู่ระบบแสดงถึงความพยายามหลายครั้งในการเข้าถึงพร็อกซีการเข้าสู่ระบบในหน้าต่าง 24 ชั่วโมง ในรูปภาพต่อไปนี้ จำนวนจำนวนบ็อตที่สูงมาก (เทียบกับรูปแบบอื่น) หมายความว่ามีไคลเอ็นต์จำนวนมากที่กำลังพยายามเข้าถึงพร็อกซีการเข้าสู่ระบบใน 1 วัน คุณจึงควรตรวจสอบรูปแบบดังกล่าว

ตรวจสอบโดยใช้รายละเอียดการวิเคราะห์

เมื่อคุณระบุชุดคำขอที่อาจประกอบด้วยกิจกรรมที่น่าสงสัยแล้ว เช่น การโจมตีของบ็อต คุณจะสามารถดูรายละเอียดเพิ่มเติมของคำขอได้ การแยกการโจมตีของบ็อตที่แท้จริงจะต้องใช้การวิเคราะห์ Apigee Sense เข้ากับความรู้ของคุณเองเกี่ยวกับไคลเอ็นต์ที่เรียกใช้ API ของคุณ

  1. ในมุมมองพาร์ติชันบนหน้าการตรวจหา ให้ค้นหารูปแบบที่คุณสนใจ เช่น รูปแบบที่มีบ็อตสูงมาก แล้วคลิกปุ่มดูเพื่อดูรายละเอียดว่ารูปแบบดังกล่าวแสดงถึงอะไร

    ในส่วนนี้ คุณจะเห็นมุมมองแบบเจาะลึกของกิจกรรมที่สอดคล้องกับรูปแบบที่คุณเลือก มีข้อมูลที่น่าสนใจ 2-3 ข้อจากรายการที่แสดงที่นี่

    • ที่อยู่ IP มีจำนวนมาก เกือบหนึ่งพันรายการใน 24 ชั่วโมง
    • มีองค์กร autonomous System (AS) ที่อยู่เบื้องหลัง IP เหล่านั้นอยู่จำนวนไม่มากในระดับหนึ่ง และองค์กร AS นั้นกระจายอยู่ทั่วพื้นที่ทางภูมิศาสตร์
    • การเข้าชมจากบ็อตจะมีจำนวนค่อนข้างคงที่อยู่ที่ประมาณ 250 - 260 ในแต่ละ IP ค่านี้จะแสดงขึ้นด้วยการวัด % ของการเข้าชมของบ็อต

    เมื่อพิจารณาเมื่อใช้ร่วมกัน ข้อมูลนี้ชี้ให้เห็นว่าคำขอจาก IP เหล่านี้แสดงถึงการโจมตีแบบพิกัดบนกลไกของ URI การเข้าสู่ระบบ

  2. หากต้องการดูรายละเอียดเพิ่มเติมเกี่ยวกับไคลเอ็นต์รายเดียว ให้คลิกที่อยู่ IP ใดที่อยู่หนึ่งในคอลัมน์ด้านซ้าย

  3. คลิกแท็บการตรวจจับเพื่อดูว่า Apigee Sense ค้นพบอะไรเกี่ยวกับคำขอจากที่อยู่ IP

    ที่ด้านบนของกล่องโต้ตอบ คุณจะเห็นรายการลักษณะการทำงานที่ Apigee Sense ตรวจพบสำหรับคำขอจากที่อยู่ IP นี้

    ในส่วนการตรวจจับ ให้ใช้หมวดหมู่ในรายการแบบเลื่อนลงเพื่อตัดสินใจว่า Apigee Edge ควรจัดการคำขอที่มาจากที่อยู่ IP แตกต่างออกไปหรือไม่ ตัวอย่างเช่น หมวดหมู่ค่าต่อไปนี้จะช่วยให้คุณทราบว่าที่อยู่ IP แสดงถึงการโจมตีหรือไม่

    • รหัสสถานะการตอบกลับ รายการที่มีข้อผิดพลาดจำนวนมาก เช่น 500 แสดงให้เห็นว่าไคลเอ็นต์พยายามดำเนินการกับคำขอที่ไม่ถูกต้องซ้ำๆ กล่าวคือ ไคลเอ็นต์ที่เพียงแค่ส่งคำขอซ้ำๆ โดยไม่ทราบผลลัพธ์ของข้อผิดพลาด
    • URI คำขอ URI บางรายการมีความสำคัญเป็นพิเศษในฐานะจุดโจมตี URI สำหรับเข้าสู่ระบบก็เป็นหนึ่งในนั้น
  4. คลิกแท็บการป้องกันเพื่อดูรายการกฎการป้องกันที่เปิดใช้แล้วสำหรับคำขอจากที่อยู่ IP นี้

    กฎจะแสดงตามลำดับความสำคัญ โดยมีการดำเนินการที่มีลำดับความสำคัญสูงสุด (Allow) อยู่ที่ด้านบนและต่ำสุด (Flag) ด้านล่าง ใน Apigee Sense คุณจะดำเนินการได้หลายอย่างกับที่อยู่ IP เดียว ซึ่งโดยปกติแล้ว เป็นเพราะคุณกำลังดำเนินการกับพฤติกรรมที่มีที่อยู่ IP หลายรายการ เช่น เพื่อบล็อกนักคาดเดาที่ไม่หวังดี อย่างไรก็ตาม ที่อยู่ IP บางรายการอาจตรงกับรูปแบบลักษณะการทำงานที่ไม่พึงประสงค์ เช่น Brute Guessor แต่ยังคงเป็น IP ที่เข้าใจง่าย เช่น เมื่อคุณหรือพาร์ทเนอร์กำลังทดสอบระบบของคุณ ในกรณีเช่นนี้ คุณควรอนุญาตที่อยู่ IP ที่เฉพาะเจาะจงเหล่านั้นโดยไม่คำนึงถึงลักษณะการทำงาน ดังนั้นแม้ว่าระบบจะเปิดใช้การดำเนินการทั้ง 3 ประเภทสำหรับที่อยู่ IP แต่ "อนุญาต" จะมีลำดับความสำคัญเหนือกว่าการดำเนินการบล็อกหรือแฟล็ก

    หลังจากยืนยันแล้วว่า IP มักจะเป็นตัวแทนของไคลเอ็นต์ที่คุณต้องการดำเนินการ คุณก็สามารถขัดขวางคำขอจากไคลเอ็นต์นั้นได้

  5. ในมุมมองรายละเอียด ให้คลิกปุ่มปิด

ดำเนินการกับลูกค้าที่ส่งคำขอที่น่าสงสัย

หากมั่นใจว่าคุณมีคำขอของลูกค้าที่คุณต้องการสกัดกั้น เช่น การโจมตีบ็อต เขียนกฎเพื่อบล็อกหรือแจ้งว่าคำขอไม่เหมาะสมจากไคลเอ็นต์ก่อนที่คำขอจะส่งไปถึงพร็อกซี

  1. ในหน้าการตรวจหา ในรายงานการวิเคราะห์บ็อต ให้คลิกแท็บมุมมองพาร์ติชันเพื่อกลับไปดูรายการรูปแบบ

    ในมุมมองพาร์ติชัน โปรดทราบว่ารายการรูปแบบได้ถูกตัดให้สั้นลงเหลือเฉพาะรูปแบบที่คุณเลือกไว้ให้ดูก่อนหน้านี้ นั่นเป็นเพราะว่าเมื่อคุณเลือกดูรูปแบบ จะเป็นการเริ่มกรองรายการผลลัพธ์ทั้งหมดให้เหลือเฉพาะรูปแบบนั้น รูปแบบที่คุณกำลังกรองจะแสดงในช่องตัวกรองที่อยู่ใกล้ด้านบนของหน้า

  2. ในแถวของรูปแบบ ให้คลิกปุ่มดำเนินการเพื่อระบุการดำเนินการสำหรับคำขอจาก IP ที่ตรงกับรูปแบบนั้นๆ

  3. ในกล่องโต้ตอบการเขียนกฎ ให้กำหนดวิธีที่ Apigee Edge จะตอบสนองต่อคำขอจาก IP ที่เรียกใช้ในรูปแบบที่คุณเลือก

    ในส่วนนี้ คุณจะต้องระบุกฎที่ Apigee Edge ใช้เมื่อได้รับคำขอจาก IP ในรูปแบบดังกล่าว

    1. ป้อนชื่อกฎใหม่ เช่น Block login attempters
    2. ในรายการตัวกรอง ให้เลือกการดำเนินการที่คุณต้องการให้ Apigee Edge เช่นกัน

      • อนุญาตคำขอให้ดำเนินการต่อในพร็อกซีดังเดิม
      • บล็อกคำขอทั้งหมดก่อนที่พร็อกซีจะเริ่มต้นประมวลผล
      • แจ้งคำขอโดยให้ Apigee Edge เพิ่มส่วนหัว HTTP พิเศษที่พร็อกซีของคุณค้นหาได้ Apigee Edge จะเพิ่มส่วนหัว X-SENSE-BOT-DETECTED ที่มีค่าเป็น SENSE ตัวอย่างเช่น คุณอาจต้องการตั้งค่าพร็อกซีเพื่อที่ว่าเมื่อได้รับคำขอจากไคลเอ็นต์หนึ่งๆ คุณจะสามารถส่งข้อมูลจำลองกลับมาซึ่งจะทำให้ลูกค้าเข้าใจผิดได้ ในพร็อกซี คุณจะต้องตรวจสอบส่วนหัวของคำขอที่เข้ามาใหม่ จากนั้นจึงตอบสนองอย่างเหมาะสมเมื่อได้รับคำขอที่แจ้ง
    3. ในช่องกฎ ให้ยืนยันว่ากฎที่แสดงคือกฎที่คุณต้องการให้ Apigee Sense ใช้เมื่อสร้างกฎ

    4. สำหรับใช้งานอยู่ ให้เลือกใช่เพื่อเปิดกฎ

    5. เลือกระยะเวลาที่ต้องการให้กฎหมดอายุ (เพื่อให้ Apigee Edge หยุดบังคับใช้กฎดังกล่าว)

  4. คลิกสร้างเพื่อส่งกฎไปยัง Apigee Edge

ตรวจสอบกฎที่คุณสร้าง

หากคุณดำเนินการกับกฎเพื่อตอบกลับลูกค้าบางราย คุณสามารถจัดการกฎได้ในหน้ากฎการป้องกัน

  1. ที่ด้านบนของหน้า ให้คลิกเมนูการป้องกัน > กฎ เพื่อดูรายการกฎที่คุณมีอยู่
  2. ในหน้ากฎการป้องกัน คุณจะเห็นรายการกฎที่สร้างไว้ จากที่นี่ คุณจะทำสิ่งต่อไปนี้ได้
    • ป้อนค่าในช่องค้นหาเพื่อกรองกฎตามค่าในรายการ เช่น ชื่อหรือที่อยู่ IP
    • ดูรายละเอียดของกฎหรือดูว่าคุณดำเนินการกับ IP ใด
    • คลิกค่าในคอลัมน์กฎตัวกรองเพื่อดูองค์ประกอบของกฎในส่วนนั้น
    • เปิดหรือปิดใช้กฎ