不審なアクティビティに対処する

Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご覧ください。

不審なリクエストをブロックするには、リクエストをブロックするか、API プロキシ内で特別なリクエストを送るなどの処理を行います。特定の IP アドレスからのリクエストを明示的に許可することもできます。

ユーザーの行動のカウント方法

Apigee Sense コンソールで、特定のクライアントからのリクエストを明示的に許可、ブロック、報告できます。Apigee Edge は、API プロキシが処理する前に、これらのアクションをリクエストに適用します。通常は、リクエストが望ましくない動作のパターンと一致する場合にアクションを起こすか、実施した既存の禁止アクションからクライアントを除外する場合に選択します。

アクションのリクエストを確認するには、検出レポート(Apigee Sense コンソールで [検出] メニューをクリックし、[レポート] をクリックします)を使用して、ブロックまたは報告するリクエストの動作を指定します。たとえば、検出レポートには、一連のリクエストが Brute Guessor の動作を示すことが示されます。そうした IP アドレスからのリクエストは、次の方法でブロックできます。

以下のような操作を行うことができます。

アクション 説明 優先順位
許可 選択したカテゴリのリクエストが続行できるようにします。特定のクライアント IP アドレスからのリクエストを明示的に許可するために、その IP アドレスに影響する可能性のある他のアクションがあったとしても、Allow アクションを実行する場合があります。たとえば、内部またはパートナーのクライアント IP のリクエストが、「望ましくない」動作に従っている場合でも、許可できます。 1
ブロック 選択したカテゴリのリクエストをブロックします。リクエストを完全にブロックすると、Apigee Edge はステータス コード 403 でクライアントに応答します。 2
フラグ 選択したカテゴリのリクエストにフラグを付けて、API プロキシコードで操作できるようにします。クライアントのリクエストにフラグを付けると、Apigee Edge によって X-SENSE-BOT-DETECTED ヘッダーに値 SENSE が追加されます。API プロキシは、このヘッダーの有無に基づいて、特定のレスポンスをクライアントに送信できます。 3

Apigee Sense アクションの優先順位

Apigee Sense では、アクションが「許可」から「ブロック」、「フラグ」に優先順位を付けて適用されます。たとえば、特定の IP アドレスに対して許可アクションとブロック アクションの両方が有効になっている場合、Apigee Sense は許可アクションを適用し、ブロック アクションを無視します。

Apigee Sense は、優先順位を指定せずに IP アドレスに複数のアクションを適用できるため、優先順位が適用されます。これは、多くの IP アドレスに関連付けられた「総当たり攻撃」をブロックするなどの行動に対する措置が取られているためです。後で 1 つの IP に対して別のアクションを行うと(たとえば、許可された IP アドレスを選択して許可するなど)、動作が適用されたアクションと単一の IP で適用されるアクションの両方が IP に対して有効になります。ただし、特定の IP アドレスからのリクエストには、優先度が最も高いアクションのみが適用されます。

そのため、IP アドレスに対して 3 種類すべてのアクションを有効にできますが、Allow アクションは Block または Flag アクションよりも優先されます。

対応が必要なリクエストとクライアントの特定

Apigee Sense コンソールでは、不審なクライアントを発生元と疑わしい理由でフィルタし、グループ化できます。必要なグループを隔離すると、そのグループの IP アドレスをブロックするなどの対策を講じることができます。

不審なクライアントを以下のパーティションでフィルタできます。

パーティション 説明
単一の bot の理由 リクエストが不審な理由です。理由については以下をご確認ください。
bot 理由グループ 1 つ以上の IP アドレスのセットに関連付けられた理由のセット。たとえば、分析で 3 つの理由からリクエストが一致した 4 つの IP アドレスが特定されたとします。
リクエスト元の国。
自律システムの編成 リクエストの送信元の AS 組織。

理由

Apigee Sense は、API リクエストを分析するときに、リクエストの動作に不審な点がないか判断する基準を使用してリクエストを測定します。IP からのリクエストが不審なアクティビティを示唆する基準を満たす場合、Apigee Sense のコンソールに報告されます。

次の表は、リクエストが疑わしいと判断される理由を示しています。ポータルでは、条件のリストを確認し、以下の理由で不審なリクエストを行っているクライアントをフィルタできます。

API 使用のニーズに合わせて条件をカスタマイズすることもできます。詳細については、検出ルールのカスタマイズをご覧ください。

理由 キャプチャされた動作
Brute Guessor 過去 24 時間で、レスポンス エラーの割合が高い
コンテンツの割り当ての超過 コンテンツの割り当てを超過した 403 エラー後に発生した追加のリクエスト
コンテンツ ロバー 5 分間のウィンドウで大量のトラフィックが発生した OAuth セッションが少ない
コンテンツ スクレーパー 5 分間に呼び出された多数の URI
独立した OS 5 分間に使用されている複数のオペレーティング システム ファミリー
個別のユーザー エージェント ファミリー 5 分間の枠内で複数のユーザー エージェント ファミリーが使用される
Flooder 過去 5 分間の IP からのトラフィックの割合が高い
推測 5 分間にレスポンス エラーが多い
Login Guessor 5 分間で少数の URI へのトラフィックが多い
OAuth Abuser 過去 24 時間に、少数のユーザー エージェントで多数の OAuth セッションが発生した
OAuth コレクタ 過去 24 時間に、少数のユーザー エージェント ファミリーで OAuth セッションが発生した
OAuth Harvestor 過去 5 分間に大量のトラフィックを伴う OAuth セッションが多数発生した場合
Robot Abuser 過去 24 時間に発生する 403 エラーの数が多い
ショート セッション 短い OAuth セッション数が多い
Static Content Scraper IP からのレスポンス ペイロード サイズの割合が 5 分間に高い
5 分間でトラフィックが急増していない
竜巻 5 分間で継続的にトラフィックが急増している
Tor リストルール IP は TOR プロジェクトから発信される