開始使用 Apigee Sense 主控台

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件
資訊

本主題將介紹 Apigee Sense 控制台。在控制台中,您可以查看 Apigee Sense 對 API Proxy 流量的分析結果。當您發現用戶端提出可疑要求 (例如遭受機器人攻擊時),可以透過控制台封鎖或標記來自該用戶端 IP 位址的要求,藉此採取行動。

如「什麼是 Apigee Sense?」所述,Apigee Sense 會收集並分析傳送至您 API 的要求相關資料。Apigee Sense 可透過這項分析,找出可能代表可疑要求的模式。您可以透過 Apigee Sense 控制台查看要求分析結果,並根據要求分析結果。

  1. 開啟 New Edge 服務
  2. 在新版 Edge 服務中,依序按一下「分析」選單和「Sense」。

  3. 「Sense」Sense頁面會顯示要求活動的圖表快照,包括可疑的要求。

  4. 在控制台的右上角,選取要查看要求資料的 Apigee Edge機構

    這個機構包含 Apigee Sense 用來收集要求資料的 API Proxy。

  5. 在左上角,選取您擁有 Apigee Sense 分析資料的日期。

    選定日期後,本頁面的圖表就會顯示 Apigee Sense 分析的極高層級總覽,包括要求流量。

查看要求分析摘要

您可以查看可疑活動的概要資訊。透過這些資料,您可以細查更詳細的資料。

  1. 在頁面頂端依序按一下「偵測」>「報告」選單,即可查看系統在要求中發現的可疑活動相關資料。

    在「機器人分析報表」頁面上,頂端的「Suspected Bot 流量」部分會摘要列出流量,並針對可疑要求提供評估資料。

    「偵測」頁面也會針對可疑活動提供兩種檢視畫面。

    • 分區檢視會根據 Apigee Sense 將用戶端標示為可疑的原因,將用戶端分組。
    • 清單檢視會依據要求用戶端的 IP 位址列出要求用戶端,以及其他一些資料方面。
  2. 在「分區檢視」中,您可以查看分類為可疑活動的模式的流量。如要進一步瞭解模式,請參閱對可疑活動採取行動。要求流量會分組到這些模式,這是 Apigee Sense 對要求資料分析的產品。

    並非所有符合模式的要求都是濫用模式。您正在尋找非常高的機器人數量和/或流量數據。

    舉例來說,「登入嘗試者」模式代表 24 小時內大量嘗試連線至登入 Proxy。在下圖中,「Bot Count」(機器人計數) 數值非常高 (相較於其他模式),表示在一天內有許多用戶端嘗試連線至登入 Proxy。如此一來,我們就應該深入調查這個模式。

使用分析詳細資料進行調查

找出可能涉及可疑活動 (例如機器人攻擊) 的一組要求後,您就能取得這類要求的詳細資料。如要隔離真實機器人攻擊,您必須結合 Apigee Sense 分析與呼叫 API 用戶端的知識。

  1. 在「偵測」頁面的「分區檢視」中找出感興趣的模式 (例如機器人數量極高的模式),然後按一下「View」按鈕,查看該模式代表的內容詳情。

    這裡會顯示符合所選模式的活動詳細資料。此處列出的清單內有幾筆值得注意的資料:

    • 大量的 IP 位址數量,24 小時內幾千個。
    • 這些 IP 背後有少數的自治系統 (AS) 機構,而且 AS 機構在地理位置廣泛分佈。
    • 各 IP 的機器人流量數量在 250 到 260 之間相當穩定。這也代表漫遊器流量百分比測量的結果。

    總體而言,這項資訊顯示來自這些 IP 的要求應代表登入 URI 中的協調式攻擊。

  2. 如要查看單一用戶端的更多詳細資料,請按一下左欄中的其中一個 IP 位址。

  3. 按一下「Detection」分頁標籤,查看 Apigee Sense 針對 IP 位址傳出的要求相關發現。

    對話方塊頂端會顯示 Apigee Sense 針對來自這個 IP 位址的要求偵測到的行為清單。

    在「偵測」下方,使用下拉式選單中的類別,決定是否應讓 Apigee Edge 以不同方式處理來自 IP 位址的要求。舉例來說,您可以參考下列值類別,判斷 IP 位址是否代表攻擊:

    • 回應狀態碼。一份以大量錯誤代碼為主的清單 (如 500) 會建議用戶端以錯誤的要求重複嘗試。換句話說,用戶端只是重複傳送要求,而不知道錯誤結果。
    • 要求 URI。有些 URI 對攻擊點特別重要。登入 URI 就是其中一個。
  4. 按一下「保護措施」分頁標籤,查看已針對來自這個 IP 位址的要求啟用的保護規則清單。

    規則會按優先順序排列,優先順序最高的動作 (「允許」) 會放在最上方,而最低 (標記) 位於下方。在 Apigee Sense 中,您可以對單一 IP 位址執行多種操作。通常是因為您執行包含多個 IP 位址的「行為」,例如封鎖暴力猜測者。不過,某些 IP 位址也許符合特定的 IP 位址 (例如 Brute Guessor),但仍然易於使用,例如您或合作夥伴正在測試系統時。在這種情況下,無論 IP 位址的運作方式為何,您都可以「允許」這些 IP 位址。雖然這三種類型的動作都是為 IP 位址啟用,但「允許」動作的優先順序高於「封鎖」或「標記」動作。

    確認 IP 可能代表您要採取行動的用戶端後,即可攔截來自該用戶端的要求。

  5. 在「詳細檢視畫面」中,按一下「關閉」按鈕。

針對提出可疑要求的客戶採取行動

您對於想要攔截的用戶端 (例如機器人攻擊) 感到自信嗎?請撰寫規則,在要求送達 Proxy 之前,封鎖或標記用戶端的要求。

  1. 在「偵測」頁面的「機器人分析報表」中,按一下「分區檢視」分頁標籤以返回查看模式清單。

    請注意,在「分區檢視」中,模式清單已縮短,僅包含您之前選擇查看的模式。這是因為您選擇檢視模式時,已開始篩選整個結果清單,只顯示該模式。您要篩選的模式會顯示在頁面頂端附近的「篩選器」方塊中。

  2. 在模式的資料列中,按一下「執行」按鈕,指定對來自符合模式的 IP 的要求採取的動作。

  3. 在「Compose Rule」對話方塊中,定義 Apigee Edge 如何回應所選模式 IP 發出呼叫的要求。

    您會在這裡指定一項規則,讓 Apigee Edge 在收到來自特定模式的 IP 的要求時使用。

    1. 輸入新規則的名稱,例如 Block login attempters
    2. 在「Filter List」中,選取您希望 Apigee Edge 執行的動作:

      • 允許要求像之前一樣進入 Proxy。
      • 在 Proxy 開始處理要求之前,完全封鎖要求。
      • 讓 Apigee Edge 新增可查看您的 Proxy 可尋找的特殊 HTTP 標頭,藉此標記要求。Apigee Edge 會新增值為 SENSEX-SENSE-BOT-DETECTED 標頭。 例如,您可以設定 Proxy,以便在收到特定用戶端的要求時,傳回虛擬資料來誤導對方。您可以在 Proxy 中檢查傳入要求的標頭,然後在收到已標記的要求時適當回應。
    3. 在「規則」方塊中,確認畫面上顯示的規則與您希望 Apigee Sense 在建立規則時使用的規則相符。

    4. 在「有效」部分選取「是」,啟用規則。

    5. 選取規則的到期日 (讓 Apigee Edge 停止強制執行規則)。

  4. 按一下「建立」,將規則傳送至 Apigee Edge。

查看您建立的規則

如果您曾制定規則來回應特定用戶端,可以在「保護規則」頁面管理規則。

  1. 依序按一下頁面頂端的「保護措施」>「規則」選單,即可查看您已設定的規則清單。
  2. 您可以在「保護規則」頁面中查看已建立的規則清單。然後視需要進行以下操作:
    • 在搜尋框中輸入值,即可根據清單中的值 (例如名稱或 IP 位址) 篩選規則。
    • 查看規則的詳細資料,或找出目前正在執行的 IP。
    • 按一下「篩選器規則」欄中的值,即可查看規則的組成元素。
    • 啟用或停用規則。