Prendere provvedimenti in merito ad attività sospette

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
info

Puoi intervenire per intercettare le richieste sospette, ad esempio bloccandole o segnalandole per un'elaborazione speciale all'interno dei proxy API. Puoi anche intervenire per consentire espressamente le richieste da indirizzi IP specifici.

Come funzionano le azioni

Nella console Apigee Sense, puoi intervenire per consentire, bloccare o segnalare esplicitamente le richieste di clienti specifici. Apigee Edge applica queste azioni alle richieste prima che i proxy API le elaborino. In genere, intervieni perché le richieste sono conformi a schemi di comportamento indesiderato o (nel caso dell'azione Consenti) perché vuoi escludere un client dalle azioni proibitive che hai già intrapreso.

Per scoprire su quali richieste intervenire, utilizza il report di rilevamento (nella console Apigee Sense, fai clic sul menu Rilevamento e poi su Report) per identificare i comportamenti delle richieste che vuoi bloccare o segnalare. Ad esempio, il report di rilevamento potrebbe indicare che un insieme di richieste presenta il comportamento di Brute Guessor. Puoi intervenire per bloccare le richieste provenienti da questi indirizzi IP.

Puoi intraprendere i seguenti tipi di azioni.

Azione Descrizione Ordine di precedenza
Consenti Consenti di procedere con le richieste nella categoria selezionata. Potresti eseguire l'azione Consenti per consentire esplicitamente le richieste da indirizzi IP client specifici nonostante altre azioni che potrebbero influire sull'indirizzo IP. Ad esempio, potresti voler consentire le richieste di un indirizzo IP di un client interno o partner nonostante siano conformi a un comportamento "indesiderato". 1
Blocca Blocca le richieste nella categoria selezionata. Quando scegli di bloccare completamente le richieste, Apigee Edge risponde al client con un codice di stato 403. 2
Bandiera Segnala le richieste nella categoria selezionata in modo da poter intervenire al loro interno nel codice proxy dell'API. Quando segnali le richieste di un cliente, Apigee Edge aggiunge alla richiesta un'intestazione X-SENSE-BOT-DETECTED con un valore SENSE. Il proxy API può rispondere in base alla presenza di questo header, ad esempio per inviare una risposta specifica al client. 3

Ordine di precedenza per le azioni di Apigee Sense

Apigee Sense applica le azioni in ordine di precedenza, da Consenti a Blocca a Segnala. Ad esempio, se per un determinato indirizzo IP sono abilitate sia un'azione Consenti sia un'azione Blocca, Apigee Sense applicherà l'azione Consenti e ignorerà l'azione Blocca.

Apigee Sense applica un ordine di precedenza perché puoi applicare più azioni a un indirizzo IP senza accorgertene. Questo accade perché in genere intervieni su un comportamento, ad esempio per bloccare gli attacchi di forza bruta, che ha molti indirizzi IP associati. Quando in un secondo momento esegui un'altra azione su un singolo IP, ad esempio selezionando un indirizzo IP consentito, per l'IP vengono attivate sia l'azione applicata in base al comportamento sia le azioni applicate a un singolo IP. Tuttavia, per le richieste provenienti da un determinato indirizzo IP viene applicata solo l'azione con la precedenza più alta.

Pertanto, anche se per un indirizzo IP potrebbero essere attivate azioni di tutti e tre i tipi, l'azione Consenti avrà la precedenza su un'azione Blocca o Segnala.

Identificazione delle richieste e dei clienti su cui intervenire

Nella console Apigee Sense, puoi filtrare e raggruppare i clienti sospetti in base alla loro origine e al motivo della loro sfiducia. Dopo aver isolato il gruppo che ti interessa, puoi intervenire sugli IP del gruppo, ad esempio bloccarli.

Puoi filtrare i client sospetti in base alle seguenti partizioni:

Partizione Descrizione
Motivo singolo bot Il motivo per cui una richiesta è sospetta. Scopri di più sui motivi di seguito.
Gruppo di motivi per i bot Un insieme di motivi associati a un singolo insieme di uno o più indirizzi IP. Ad esempio, l'analisi potrebbe aver identificato quattro indirizzi IP le cui richieste corrispondevano ai criteri per tre motivi.
Paese Il paese da cui ha avuto origine la richiesta.
Organizzazione del sistema autonomo L'organizzazione AS da cui proviene la richiesta.

Motivi

Quando analizza le richieste API, Apigee Sense le misura utilizzando criteri che determinano se il comportamento delle richieste è sospetto. Se le richieste dall'IP soddisfano i criteri che suggeriscono un motivo per attività sospette, Apigee Sense lo segnala nella propria console.

La seguente tabella descrive i motivi per cui le richieste vengono identificate come sospette. Nel portale puoi vedere l'elenco dei criteri e filtrare i clienti che effettuano richieste sospette in base a questi motivi.

Puoi anche personalizzare i criteri in base alle esigenze di utilizzo dell'API. Per saperne di più, consulta Personalizzare le regole di rilevamento.

Motivo Comportamento acquisito
Brute Guessor Proporzione maggiore di errori di risposta nelle 24 ore precedenti
Superamento della quota per i contenuti Richieste aggiuntive dopo un errore 403 dovuto al superamento della quota di contenuti
Content Robber Poche sessioni OAuth con un volume elevato di traffico in una finestra di 5 minuti
Content Scraper Numero elevato di URI chiamati in una finestra di 5 minuti
Sistema operativo distinto Più famiglie di sistemi operativi utilizzate in un intervallo di 5 minuti
Famiglia di user agent distinta Più famiglie di user agent utilizzate in un intervallo di 5 minuti
Flooder Elevata proporzione di traffico da IP in una finestra di 5 minuti
Guessor Numero elevato di errori di risposta in un intervallo di 5 minuti
Login Guessor Volume elevato di traffico verso pochi URI in un periodo di 5 minuti
Abusatore OAuth Numero elevato di sessioni OAuth con un numero ridotto di agenti utente nelle ultime 24 ore
OAuth Collector Numero elevato di sessioni OAuth con un numero ridotto di famiglie di user agent nelle ultime 24 ore
OAuth Harvestor Numero elevato di sessioni OAuth con traffico significativo in un periodo di 5 minuti
Abusatore di robot Numero maggiore di errori di rifiuto 403 nelle ultime 24 ore
Sessione breve Numero elevato di sessioni OAuth brevi
Scraper di contenuti statici Elevata proporzione delle dimensioni del payload della risposta dall'IP in un intervallo di 5 minuti
Storm Alcuni picchi di traffico elevati in un periodo di 5 minuti
Tromba d'aria Picchi di traffico costanti in un intervallo di 5 minuti
Regola elenco Tor L'IP proviene da un progetto TOR e attiva almeno un'altra regola del bot