不審なアクティビティへの対処

Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントに移動
情報

リクエストをブロックしたり、API プロキシ内で特別な処理を行うようにフラグを立てたりするなどの操作を行って、不審なリクエストを阻止できます。特定の IP アドレスからのリクエストを明示的に許可するアクションを実行することもできます。

ユーザーの行動のカウント方法

Apigee Sense コンソールでは、特定のクライアントからのリクエストを明示的に許可、ブロック、または報告するためのアクションを実行できます。Apigee Edge は、こうしたアクションを API プロキシが処理する前にリクエストに適用します。通常、リクエストが望ましくない動作のパターンに準拠している、または(許可アクションの場合)既存の禁止アクションからクライアントを除外する必要があることを理由として、アクションを実行します。

対処するリクエストを特定するには、検出レポート(Apigee Sense コンソールで [Detection] メニュー、[Report] の順にクリック)を使用して、ブロックまたはフラグ設定するリクエストの動作を特定します。たとえば、検出レポートに、一連のリクエストが Brute Guessor の動作を示していることが示されている場合があります。それらの IP アドレスからのリクエストをブロックするためのアクションを実行できます。

次の種類のアクションが実行可能です。

アクション 説明 優先順位
許可 選択したカテゴリのリクエストを処理できるようにします。許可アクションを使用すると、IP アドレスに影響する可能性のある他のアクションにもかかわらず、特定のクライアント IP アドレスからのリクエストを明示的に許可できます。たとえば、内部クライアントまたはパートナー クライアントの IP アドレスのリクエストが「望ましくない」動作に準拠しているにもかかわらず、そのリクエストを許可できます。 1
ブロック 選択したカテゴリのリクエストをブロックします。リクエストを完全にブロックすることを選択すると、Apigee Edge は 403 ステータス コードでクライアントに応答します。 2
フラグ 選択したカテゴリのリクエストにフラグを立て、API プロキシコード内でリクエストを処理できるようにします。クライアントのリクエストにフラグを付けると、Apigee Edge は値が SENSEX-SENSE-BOT-DETECTED ヘッダーをリクエストに追加します。API プロキシは、このヘッダーの存在に基づいて応答できます(クライアントに特定のレスポンスを送信するなど)。 3

Apigee Sense アクションの優先順位

Apigee Sense は、Allow から Block から Flag の順にアクションを適用します。たとえば、特定の IP アドレスに対して Allow アクションと Block アクションの両方が有効になっている場合、Apigee Sense は Allow アクションを適用し、Block アクションは無視します。

Apigee Sense では、IP アドレスに複数のアクションを適用できます。そのため、優先順位が適用されます。これは、通常、多くの IP アドレスが関連付けられている動作(総当たり攻撃のブロックなど)に対してアクションを実行するためです。後で 1 つの IP に対して別のアクション(許可するフレンドリーな IP アドレスを特定するなど)を実行すると、その IP に対して動作適用アクションと単一 IP 適用アクションの両方が有効になります。ただし、特定の IP アドレスからのリクエストには、優先度が最も高いアクションのみが適用されます。

したがって、その IP アドレスに対する 3 種類のアクションを有効にし、Allow アクションを Block や Flag よりも優先させます。

リクエストとクライアントを特定して対処する

Apigee Sense コンソールでは、不審なクライアントをその送信元と理由でフィルタリングし、グループ化できます。目的のグループを分離したら、ブロックするなどの操作をそのグループ内の IP に対して実行できます。

不審なクライアントを次のパーティションでフィルタリングできます。

パーティション 説明
単一の bot の理由 リクエストが不審である理由。理由の詳細については以下を参照してください。
bot の理由グループ 1 つまたは複数の IP アドレスからなる単一セットに関連する一連の理由。たとえば、そのリクエストが 3 つの理由で基準に一致する 4 つの IP アドレスが分析によって特定される可能性があります。
リクエスト送信元の国。
自律システムの組織 リクエストの送信元の AS 組織。

理由

Apigee Sense は、API リクエストを解析分析する際に、リクエスト動作が疑わしいかどうかを判断する基準を使用してリクエストを測定します。IP からのリクエストが不審なアクティビティであるとする理由の条件を満たす場合、Apigee Sense はコンソール内でこれを報告します。

次の表で、不審なリクエストであると特定される理由について説明します。ポータルでは、条件のリストを表示しています。これらの理由で不審とみなされるリクエストを作成したクライアントをフィルタリングできます。

API 使用のニーズに合わせて条件をカスタマイズすることもできます。詳細については、検出ルールのカスタマイズをご覧ください。

理由 検出された動作
Brute Guessor 過去 24 時間のレスポンス エラーの割合が大きい
Content Quota Exceeder コンテンツの割り当てを超過したため発生した 403 エラーの後の追加リクエスト
Content Robber 5 分間のウィンドウで僅かな OAuth セッションが大量のトラフィックを伴う
Content Scraper 5 分間のウィンドウで呼び出される URI が多数である
Distinct OS 5 分間のウィンドウで複数のオペレーティング システム ファミリーが使用される
Distinct User Agent Family 5 分間のウィンドウで複数のユーザー エージェント ファミリーが使用される
Flooder 5 分間のウィンドウで発生する IP からのトラフィックの割合が高い
Guessor 5 分間のウィンドウでレスポンス エラーが多数発生する
Login Guessor 5 分間のウィンドウで僅かな URI に対し大量のトラフィックがある
OAuth Abuser 過去 24 時間に少数のユーザー エージェントにより多数の OAuth セッションが行われている
OAuth Collector 過去 24 時間に少数のユーザー エージェント ファミリーにより多数の OAuth セッションが行われている
OAuth Harvestor 5 分間のウィンドウで大量のトラフィックを伴う OAuth セッションが行われている
Robot Abuser 過去 24 時間に 403 不承認エラーが多数ある
Short Session 短い OAuth セッションが多数ある
Static Content Scraper 5 分間のウィンドウで発生する IP からのレスポンス ペイロード サイズの割合が高い
5 分間のウィンドウでトラフィックが急増することが僅かにある
竜巻 5 分間のウィンドウで 一貫してトラフィックが多い
Tor List Rule IP が TOR プロジェクトに起因し、IP が 1 つ以上の他の bot ルールをトリガーする