Estás viendo la documentación de Apigee Edge.
Ve a la
documentación de Apigee X. info
Puedes tomar medidas para interceptar solicitudes sospechosas, como bloquearlas o marcarlas para un manejo especial dentro de tus proxies de API. También puedes tomar medidas para permitir de forma expresa las solicitudes de direcciones IP específicas.
Cómo funcionan las acciones
En la consola de Apigee Sense, puedes tomar medidas para permitir, bloquear o marcar solicitudes de clientes específicos de forma explícita. Apigee Edge aplica estas acciones a las solicitudes antes de que los proxies de API las procesen. Por lo general, debes tomar medidas porque las solicitudes se ajustan a patrones de comportamiento no deseado o (en el caso de la acción de permiso) porque deseas excluir a un cliente de las acciones prohibitivas que ya tomaste.
Para descubrir en qué solicitudes debes tomar medidas, usa el informe de detección (en la consola de Apigee Sense, haz clic en el menú Detection y, luego, en Report) para identificar los comportamientos de solicitud que deseas bloquear o marcar. Por ejemplo, el informe de detección podría mostrar que un conjunto de solicitudes presenta el comportamiento de un adivinador de fuerza bruta. Puedes tomar medidas para bloquear las solicitudes de esas direcciones IP.
Puedes realizar los siguientes tipos de acciones.
| Acción | Descripción | Orden de prioridad |
|---|---|---|
| Permitir | Permite que se procesen las solicitudes de la categoría seleccionada. Puedes tomar la acción Permitir para permitir solicitudes de direcciones IP de clientes específicas de forma explícita, a pesar de otras acciones que podrían afectar la dirección IP. Por ejemplo, es posible que desees permitir las solicitudes de la IP de un cliente interno o de socio a pesar de que se ajusten a un comportamiento "no deseado". | 1 |
| Bloquear | Bloquear solicitudes en la categoría seleccionada Cuando eliges bloquear las solicitudes por completo, Apigee Edge responde al cliente con un código de estado 403. | 2 |
| Marcar | Marca las solicitudes en la categoría seleccionada para que puedas tomar medidas en ellas dentro del código del proxy de API. Cuando marcas las solicitudes de un cliente, Apigee Edge agrega a la solicitud un encabezado X-SENSE-BOT-DETECTED con un valor de SENSE. Tu proxy de API puede responder en función de la presencia de este encabezado, por ejemplo, para enviar una respuesta en particular al cliente. |
3 |
Orden de prioridad para las acciones de Apigee Sense
Apigee Sense aplica las acciones en orden de prioridad, de Permitir a Bloquear y Marcar. Por ejemplo, si una dirección IP determinada tiene habilitadas una acción de permiso y una de bloqueo, Apigee Sense aplicará la acción de permiso y, luego, ignorará la acción de bloqueo.
Apigee Sense aplica un orden de prioridad porque puedes aplicar varias acciones a una dirección IP sin darte cuenta. Esto se debe a que, por lo general, tomas medidas en función de un comportamiento (como bloquear descifradores de fuerza bruta) que tiene muchas direcciones IP asociadas. Cuando más adelante realices otra acción en una sola IP, como identificar una dirección IP amigable para permitirla, se habilitarán la acción aplicada por comportamiento y las acciones aplicadas por IP única para la IP. Sin embargo, solo se aplica la acción con la precedencia más alta para las solicitudes de una dirección IP determinada.
Por lo tanto, aunque se puedan habilitar acciones de los tres tipos para una dirección IP, la acción Permitir tendrá prioridad sobre una acción de Bloquear o Marcar.
Identificar solicitudes y clientes para tomar medidas
En la consola de Apigee Sense, puedes filtrar y agrupar clientes sospechosos por su origen y por el motivo por el que son sospechosos. Una vez que hayas aislado el grupo que deseas, puedes tomar medidas en las IP de ese grupo, como bloquearlas.
Puedes filtrar los clientes sospechosos por las siguientes particiones:
| Partición | Descripción |
|---|---|
| Motivo de bot único | Es el motivo por el que una solicitud es sospechosa. Obtén más información sobre los motivos a continuación. |
| Grupo de motivos de bot | Es un conjunto de motivos asociados con un solo conjunto de una o más direcciones IP. Por ejemplo, el análisis podría haber identificado cuatro direcciones IP cuyas solicitudes coincidían con los criterios por tres razones. |
| País | Es el país desde el que se originó la solicitud. |
| Organización del sistema autónomo | La organización de AS de la que proviene la solicitud. |
Motivos
Cuando analiza las solicitudes a la API, Apigee Sense las mide con criterios que determinan si el comportamiento de la solicitud es sospechoso. Si las solicitudes de la IP cumplen con los criterios que sugieren un motivo de actividad sospechosa, Apigee Sense lo informa en su consola.
En la siguiente tabla, se describen los motivos por los que se identifican las solicitudes como sospechosas. En el portal, puedes ver la lista de criterios y filtrar los clientes que realizan solicitudes sospechosas por estos motivos.
También puedes personalizar los criterios según las necesidades de tu uso de la API. Para obtener más información, consulta Cómo personalizar las reglas de detección.
| Motivo | Comportamiento capturado |
|---|---|
| Brute Guessor | Proporción más grande de errores de respuesta durante las 24 horas anteriores |
| Supera la cuota de contenido | Solicitudes adicionales después de un error 403 debido a que se excedió la cuota de contenido |
| Content Robber | Pocas sesiones de OAuth con un gran volumen de tráfico en un período de 5 minutos |
| Content Scraper | Gran cantidad de URIs a los que se llamó en un período de 5 minutos |
| SO distinto | Varias familias de sistemas operativos utilizadas en un período de 5 minutos |
| Familia del usuario-agente distinta | Se usaron varias familias de usuario-agente en un período de 5 minutos |
| Flooder | Proporción alta de tráfico de IP en un período de 5 minutos |
| Guessor | Gran cantidad de errores de respuesta en un período de 5 minutos |
| Login Guessor | Alto volumen de tráfico a pocos URIs en un período de 5 minutos |
| OAuth Abuser | Gran cantidad de sesiones de OAuth con una cantidad pequeña de usuarios-agentes en las últimas 24 horas |
| OAuth Collector | Gran cantidad de sesiones de OAuth con una cantidad pequeña de familias de usuarios-agentes durante las últimas 24 horas |
| OAuth Harvestor | Gran cantidad de sesiones de OAuth con tráfico significativo en un período de 5 minutos |
| Robot Abuser | Mayor cantidad de errores de rechazo 403 en las últimas 24 horas |
| Sesión corta | Gran cantidad de sesiones de OAuth cortas |
| Static Content Scraper | Proporción alta del tamaño de la carga útil de respuesta de una IP en un período de 5 minutos |
| Tormenta | Algunos aumentos repentinos altos en el tráfico en un período de 5 minutos |
| Tornado | Aumentos repentinos y constantes en el tráfico en un período de 5 minutos |
| Regla de lista de Tor | La IP proviene de un proyecto de TOR y activa al menos otra regla de bot |