Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen
Sie können Maßnahmen ergreifen, um verdächtige Anfragen abzufangen, z. B. indem Sie Anfragen blockieren oder sie für eine besondere Behandlung in Ihren API-Proxys kennzeichnen. Sie können auch entsprechende Maßnahmen ergreifen, um Anfragen von bestimmten IP-Adressen ausdrücklich zuzulassen.
Aktionen
In der Apigee Sense-Konsole können Sie Maßnahmen ergreifen, um Anfragen von bestimmten Clients explizit zuzulassen, zu blockieren oder zu kennzeichnen. Apigee Edge wendet diese Aktionen auf Anfragen an, bevor Ihre API-Proxys sie verarbeiten. In der Regel ergreifen Sie Maßnahmen, weil Anfragen einem unerwünschten Verhaltensmuster entsprechen oder im Fall der Aktion „Zulassen“ deshalb einen Client von bestehenden unzulässigen Aktionen ausschließen möchten.
Mithilfe des Erkennungsberichts können Sie ermitteln, welche Anfragen Sie blockieren oder kennzeichnen möchten. Klicken Sie dazu in der Apigee Sense-Konsole auf das Menü „Erkennung“ und dann auf „Bericht“. Der Erkennungsbericht kann beispielsweise zeigen, dass bei einer Reihe von Anfragen ein Brute Guessor-Verhalten auftritt. Sie können entsprechende Maßnahmen ergreifen, um Anfragen von diesen IP-Adressen zu blockieren.
Sie können die folgenden Arten von Aktionen ausführen.
| Aktion | Beschreibung | Rangfolge |
|---|---|---|
| Zulassen | Lassen Sie Anfragen in der ausgewählten Kategorie zu. Sie können die Aktion „Zulassen“ ausführen, um Anfragen von bestimmten Client-IP-Adressen trotz anderer Aktionen, die sich auf die IP-Adresse auswirken könnten, explizit zuzulassen. Sie können beispielsweise die Anfragen einer internen oder Partner-Client-IP-Adresse zulassen, obwohl sie einem „unerwünschten“ Verhalten entsprechen. | 1 |
| Block | Anfragen in der ausgewählten Kategorie blockieren. Wenn Sie sich entscheiden, Anfragen vollständig zu blockieren, antwortet Apigee Edge dem Client mit einem 403-Statuscode. | 2 |
| Flag | Kennzeichnen Sie Anfragen in der ausgewählten Kategorie, damit Sie innerhalb des API-Proxy-Codes entsprechende Aktionen ausführen können. Wenn Sie die Anfragen eines Clients markieren, fügt Apigee Edge der Anfrage einen X-SENSE-BOT-DETECTED-Header mit dem Wert SENSE hinzu. Ihr API-Proxy kann auf der Grundlage dieses Headers antworten, z. B. um eine bestimmte Antwort an den Client zu senden. |
3 |
Rangfolge für Apigee Sense-Aktionen
Apigee Sense wendet Aktionen in der Reihenfolge an, von „Zulassen“ bis zum Markieren. Wenn beispielsweise für eine bestimmte IP-Adresse sowohl eine Zulassungs- als auch eine Block-Aktion aktiviert ist, wendet Apigee Sense die Zulassen-Aktion an und ignoriert die Blockieren-Aktion.
Apigee Sense erzwingt eine Rangfolge, da Sie mehrere Aktionen auf eine IP-Adresse anwenden können, ohne es zu merken. Das liegt daran, dass Sie normalerweise Maßnahmen für ein Verhalten ergreifen, das mit vielen IP-Adressen verknüpft ist, z. B. Brute-Rätselraten. Wenn Sie später eine weitere Aktion für eine einzelne IP-Adresse ausführen, z. B. indem Sie eine nutzerfreundliche IP-Adresse auswählen, um zuzulassen, werden sowohl die auf das Verhalten angewendete Aktion als auch auf eine einzelne IP angewendete Aktionen für die IP-Adresse aktiviert. Bei Anfragen von einer bestimmten IP-Adresse wird jedoch nur die Aktion mit der höchsten Priorität erzwungen.
Obwohl also Aktionen aller drei Typen für eine IP-Adresse aktiviert werden können, hat die Zulassungsaktion Vorrang vor einer Sperr- oder Markierungsaktion.
Anfragen und Kunden identifizieren, bei denen Maßnahmen zu ergreifen sind
In der Apigee Sense-Konsole können Sie verdächtige Clients nach ihrem Ursprung und dem Grund filtern und gruppieren. Nachdem Sie die gewünschte Gruppe isoliert haben, können Sie Maßnahmen für die IP-Adressen in dieser Gruppe ergreifen, z. B. sie blockieren.
Sie können verdächtige Clients nach den folgenden Partitionen filtern:
| Partition | Beschreibung |
|---|---|
| Grund für einen einzelnen Bot | Der Grund, warum eine Anfrage verdächtig ist. Weitere Informationen zu den Gründen finden Sie unten. |
| Gruppe mit Bot-Gründen | Eine Reihe von Gründen, die mit einer einzelnen Gruppe von einer oder mehreren IP-Adressen verbunden sind. Bei der Analyse könnten beispielsweise aus drei Gründen vier IP-Adressen identifiziert worden sein, deren Anfragen die Kriterien erfüllten. |
| Land | Das Land, aus dem die Anfrage stammt. |
| Organisation in Autonomen Systemen | Die AS-Organisation, von der die Anfrage stammt. |
Gründe
Bei der Analyse von API-Anfragen misst Apigee Sense die Anfragen anhand von Kriterien, die bestimmen, ob das Anfrageverhalten verdächtig ist. Wenn IP-Anfragen die Kriterien erfüllen, die auf einen Grund für verdächtige Aktivitäten hindeuten, meldet Apigee Sense dies in der Konsole.
In der folgenden Tabelle wird beschrieben, warum Anfragen als verdächtig eingestuft werden. Im Portal können Sie die Liste der Kriterien einsehen und Clients filtern, die verdächtige Anfragen anhand dieser Gründe senden.
Sie können die Kriterien auch entsprechend den Anforderungen Ihrer API-Nutzung anpassen. Weitere Informationen finden Sie unter Erkennungsregeln anpassen.
| Grund | Erfasstes Verhalten |
|---|---|
| Brute Guessor | Größerer Anteil der Antwortfehler in den letzten 24 Stunden |
| Inhaltskontingent überschritten | Zusätzliche Anfragen nach Fehler 403 aufgrund überschrittener Inhaltskontingente |
| Inhaltsraub | Wenige OAuth-Sitzungen mit hohem Traffic-Volumen innerhalb von 5 Minuten |
| Content Scraper | Große Anzahl von URIs in einem 5-Minuten-Fenster aufgerufen |
| Unterschiedliches Betriebssystem | Mehrere Betriebssystemfamilien in einem 5-Minuten-Fenster verwendet |
| Unterschiedliche User-Agent-Familie | Mehrere User-Agent-Familien in einem 5-Minuten-Zeitfenster verwendet |
| Flooder | Hoher Anteil des Traffics von IP-Adressen in einem 5-Minuten-Fenster |
| Ratespiel | Große Anzahl von Antwortfehlern in einem 5-Minuten-Fenster |
| Erratener Log-in | Hohes Traffic-Volumen an wenige URIs in 5-Minuten-Zeitfenstern |
| OAuth Abuser | Hohe Anzahl von OAuth-Sitzungen mit wenigen User-Agents in den letzten 24 Stunden |
| OAuth-Collector | Viele OAuth-Sitzungen mit wenigen User-Agent-Familien in den letzten 24 Stunden |
| OAuth-Harvestor | Hohe Anzahl an OAuth-Sitzungen mit hohem Traffic innerhalb von 5 Minuten |
| Roboter-Nutzer | Mehr 403-Ablehnungsfehler in den letzten 24 Stunden |
| Kurze Session | Hohe Anzahl kurzer OAuth-Sitzungen |
| Static Content Scraper | Hoher Anteil der Antwortnutzlastgröße von IP-Adresse in einem 5-Minuten-Fenster |
| Unwetter | Wenige hohe Traffic-Spitzen in einem 5-Minuten-Fenster |
| Wirbelsturm | Konsistente Traffic-Spitzen in einem 5-Minuten-Zeitfenster |
| Torlistenregel | Die IP-Adresse stammt aus einem TOR-Projekt und die IP löst mindestens eine weitere Bot-Regel aus. |