Menindaklanjuti aktivitas yang mencurigakan

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Anda dapat mengambil tindakan untuk mencegat permintaan yang mencurigakan, seperti dengan memblokir permintaan atau menandainya untuk penanganan khusus dalam proxy API Anda. Anda juga dapat mengambil tindakan untuk mengizinkan permintaan dari alamat IP tertentu secara eksplisit.

Cara kerja tindakan

Di konsol Apigee Sense, Anda dapat mengambil tindakan untuk mengizinkan, memblokir, atau menandai permintaan dari klien tertentu secara eksplisit. Apigee Edge menerapkan tindakan ini ke permintaan sebelum proxy API Anda memprosesnya. Biasanya, Anda akan mengambil tindakan karena permintaan sesuai dengan pola perilaku yang tidak diinginkan atau (dalam kasus tindakan Izinkan) karena Anda ingin mengecualikan klien dari tindakan larangan yang telah Anda lakukan.

Untuk menemukan permintaan yang akan ditindaklanjuti, Anda dapat menggunakan laporan deteksi (di konsol Apigee Sense, klik menu Detection, lalu Report) untuk mengidentifikasi perilaku permintaan yang ingin Anda blokir atau laporkan. Misalnya, laporan deteksi mungkin mencantumkan bahwa serangkaian permintaan menunjukkan perilaku Brute Guessor. Anda dapat mengambil tindakan untuk memblokir permintaan dari alamat IP tersebut.

Anda dapat melakukan jenis tindakan berikut.

Tindakan Deskripsi Urutan prioritas
Izinkan Izinkan permintaan dalam kategori yang dipilih untuk dilanjutkan. Anda dapat mengambil tindakan Izinkan untuk mengizinkan permintaan secara eksplisit dari alamat IP klien tertentu meskipun ada tindakan lain yang dapat memengaruhi alamat IP. Misalnya, Anda mungkin ingin mengizinkan permintaan IP klien internal atau partner meskipun mereka mematuhi perilaku "tidak diinginkan". 1
Blokir Memblokir permintaan dalam kategori yang dipilih. Jika Anda memilih untuk memblokir permintaan sepenuhnya, Apigee Edge akan merespons klien dengan kode status 403. 2
Bendera Laporkan permintaan dalam kategori yang dipilih sehingga Anda dapat mengambil tindakan terhadapnya dalam kode proxy API. Saat Anda menandai permintaan klien, Apigee Edge akan menambahkan header X-SENSE-BOT-DETECTED dengan nilai SENSE ke permintaan tersebut. Proxy API Anda dapat merespons berdasarkan keberadaan header ini, seperti untuk mengirim respons tertentu kepada klien. 3

Urutan prioritas untuk tindakan Apigee Sense

Apigee Sense menerapkan tindakan dalam urutan prioritas, dari Izinkan ke Blokir ke Tandai. Misalnya, jika alamat IP tertentu mengaktifkan tindakan Izinkan dan Blokir, Apigee Sense akan menerapkan tindakan Izinkan dan mengabaikan tindakan Blokir.

Apigee Sense menerapkan urutan prioritas karena Anda dapat menerapkan beberapa tindakan ke alamat IP tanpa menyadarinya. Hal ini karena Anda biasanya mengambil tindakan terhadap perilaku -- seperti memblokir percobaan brute force -- yang memiliki banyak alamat IP yang terkait dengannya. Jika nanti Anda mengambil tindakan lain pada satu IP -- seperti dengan memilih alamat IP yang ramah untuk diizinkan -- tindakan yang diterapkan perilaku dan tindakan yang diterapkan satu IP akan diaktifkan untuk IP tersebut. Namun, hanya tindakan dengan prioritas tertinggi yang diterapkan untuk permintaan dari alamat IP tertentu.

Jadi, meskipun tindakan dari ketiga jenis tersebut dapat diaktifkan untuk alamat IP, tindakan Izinkan akan lebih diutamakan daripada tindakan Blokir atau Laporkan.

Mengidentifikasi permintaan dan klien yang akan ditindaklanjuti

Di konsol Apigee Sense, Anda dapat memfilter dan mengelompokkan klien yang mencurigakan berdasarkan asalnya dan alasan kecurigaan tersebut. Setelah mengisolasi grup yang diinginkan, Anda dapat mengambil tindakan pada IP dalam grup tersebut, seperti memblokirnya.

Anda dapat memfilter klien yang mencurigakan menurut partisi berikut:

Partisi Deskripsi
Alasan satu bot Alasan permintaan mencurigakan. Lihat alasan selengkapnya di bawah.
Grup alasan bot Kumpulan alasan yang terkait dengan satu kumpulan satu atau beberapa alamat IP. Misalnya, analisis mungkin telah mengidentifikasi empat alamat IP yang permintaannya cocok dengan kriteria karena tiga alasan.
Negara Negara tempat permintaan berasal.
Organisasi Sistem otonom Organisasi AS tempat permintaan berasal.

Alasan

Saat menganalisis permintaan API, Apigee Sense mengukur permintaan menggunakan kriteria yang menentukan apakah perilaku permintaan mencurigakan. Jika permintaan dari IP memenuhi kriteria yang menunjukkan alasan aktivitas mencurigakan, Apigee Sense akan melaporkannya di konsolnya.

Tabel berikut menjelaskan alasan permintaan diidentifikasi sebagai mencurigakan. Di portal, Anda dapat melihat daftar kriteria dan memfilter klien yang membuat permintaan yang mencurigakan berdasarkan alasan ini.

Anda juga dapat menyesuaikan kriteria sesuai dengan kebutuhan penggunaan API Anda. Untuk mengetahui informasi selengkapnya, lihat Menyesuaikan aturan deteksi.

Alasan Perilaku yang Direkam
Brute Guessor Proporsi error respons yang lebih besar selama 24 jam sebelumnya
Melebihi Kuota Konten Permintaan tambahan setelah error 403 karena kuota konten terlampaui
Content Robber Beberapa sesi OAuth dengan volume traffic yang besar dalam periode 5 menit
Scraper Konten Banyak URI yang dipanggil dalam periode 5 menit
OS yang Berbeda Beberapa grup sistem operasi yang digunakan dalam periode 5 menit
Kelompok Agen Pengguna yang Berbeda Beberapa keluarga agen pengguna yang digunakan dalam periode 5 menit
Flooder Proporsi traffic yang tinggi dari IP dalam periode 5 menit
Guessor Sejumlah besar error respons dalam periode 5 menit
Login Guessor Volume traffic yang tinggi ke beberapa URI dalam periode 5 menit
Pelanggar OAuth Jumlah sesi OAuth yang tinggi dengan jumlah agen pengguna yang sedikit selama 24 jam sebelumnya
Pengumpul OAuth Jumlah sesi OAuth yang tinggi dengan jumlah kecil keluarga agen pengguna selama 24 jam sebelumnya
Pengumpul OAuth Jumlah sesi OAuth yang tinggi dengan traffic yang signifikan dalam periode 5 menit
Pelanggar Robot Jumlah error penolakan 403 yang lebih besar dalam 24 jam terakhir
Sesi Singkat Jumlah sesi OAuth singkat yang tinggi
Scraper Konten Statis Proporsi tinggi ukuran payload respons dari IP dalam periode 5 menit
Storm Beberapa lonjakan traffic yang tinggi dalam periode 5 menit
Tornado Lonjakan traffic yang konsisten dalam periode 5 menit
Aturan Daftar Tor IP berasal dari project TOR dan IP tersebut memicu setidaknya satu aturan bot lainnya