Como tomar providências em relação a atividades suspeitas

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Você pode agir para interceptar solicitações suspeitas, como bloquear solicitações ou as sinalizar para tratamento especial nos seus proxies de API. Também é possível tomar medidas para permitir expressamente solicitações de endereços IP específicos.

Como as ações funcionam

No console do Apigee Sense, você pode agir para permitir, bloquear ou sinalizar explicitamente solicitações de clientes específicos. O Apigee Edge aplica essas ações às solicitações antes que elas sejam processadas pelos proxies de API. Normalmente, você tomará as medidas cabíveis porque as solicitações estão em conformidade com padrões de comportamento indesejado ou, no caso da ação "Permitir", porque deseja excluir um cliente das ações proibitivas que você já realizou.

Para descobrir em quais solicitações realizar ações, use o relatório de detecção (no console do Apigee Sense, clique no menu "Detecção" e, em seguida, em "Relatório") para identificar os comportamentos das solicitações que serão bloqueadas ou sinalizadas. Por exemplo, o relatório de detecção pode mostrar que um conjunto de solicitações exibe o comportamento de estimativa bruta. Você pode bloquear as solicitações desses endereços IP.

Você pode realizar os tipos de ações a seguir.

Ação Descrição Ordem de precedência
Permitir Permitir que as solicitações na categoria selecionada continuem. É possível usar a ação "Permitir" para permitir explicitamente solicitações de endereços IP de clientes específicos, apesar de outras ações que possam afetar o endereço IP. Por exemplo, talvez você queira permitir solicitações de IP de um cliente interno ou parceiro mesmo em conformidade com um comportamento "indesejado". 1
Bloquear Bloquear solicitações na categoria selecionada. Quando você opta por bloquear completamente as solicitações, o Apigee Edge responde ao cliente com um código de status 403. 2
Flag Sinalize solicitações na categoria selecionada para agir sobre elas no código de proxy da API. Quando você sinaliza as solicitações de um cliente, o Apigee Edge adiciona à solicitação um cabeçalho X-SENSE-BOT-DETECTED com um valor SENSE. O proxy da API pode responder com base na presença desse cabeçalho, por exemplo, para enviar uma resposta específica ao cliente. 3

Ordem de precedência para ações do Apigee Sense

O Apigee Sense aplica as ações em ordem de precedência, de "Permitir a Bloquear" a "Sinalizar". Por exemplo, se um determinado endereço IP tiver uma ação "Permitir" e uma "Bloquear", o Apigee Sense aplicará a ação "Permitir" e ignorará a ação de "Bloquear".

O Apigee Sense aplica uma ordem de precedência porque é possível aplicar várias ações a um endereço IP sem perceber. Isso acontece porque você geralmente realiza ações em um comportamento (como bloquear adivinhações brutas) que tem muitos endereços IP associados a ele. Quando você realizar outra ação em um único IP, como separar um endereço IP compatível para permitir, tanto a ação aplicada pelo comportamento quanto as ações aplicadas pelo IP serão ativadas para o IP. No entanto, somente a ação com a maior precedência é aplicada às solicitações de um determinado endereço IP.

Embora as ações dos três tipos possam ser ativadas para um endereço IP, a ação "Permitir" tem precedência sobre uma ação de bloqueio ou sinalização.

Identificar solicitações e clientes para realizar ações

No console do Apigee Sense, é possível filtrar e agrupar clientes suspeitos de acordo com a origem e o motivo da suspeita. Depois de isolar o grupo, você pode bloquear os IPs dele, por exemplo.

É possível filtrar clientes suspeitos pelas seguintes partições:

Partição Descrição
Motivo do único bot Motivo pelo qual uma solicitação é suspeita. Saiba mais sobre os motivos abaixo.
Grupo de motivos do bot Um conjunto de motivos associados a um único conjunto de um ou mais endereços IP. Por exemplo, a análise pode ter identificado quatro endereços IP com solicitações que corresponderam aos critérios por três motivos.
País País de origem da solicitação.
Organização de sistema autônomo A organização AS de onde veio a solicitação.

Motivos

Ao analisar as solicitações de API, o Apigee Sense mede as solicitações usando critérios que determinam se o comportamento da solicitação é suspeito. Se as solicitações do IP atenderem aos critérios que sugerem um motivo para atividade suspeita, o Apigee Sense informará isso no console.

A tabela a seguir descreve os motivos pelos quais as solicitações são identificadas como suspeitas. No portal, você pode ver a lista de critérios e filtrar os clientes que fazem solicitações suspeitas por esses motivos.

Também é possível personalizar os critérios de acordo com as necessidades de uso da API. Para mais informações, consulte Como personalizar regras de detecção.

Motivo Comportamento capturado
Guessor brutal Maior proporção de erros de resposta nas últimas 24 horas
Cota de conteúdo em excesso Solicitações adicionais após o erro 403 devido à cota de conteúdo excedida
Ladrão de conteúdo Poucas sessões do OAuth com grande volume de tráfego em uma janela de cinco minutos
Retirador de conteúdo Grande número de URIs chamados em uma janela de cinco minutos
SO distinto Várias famílias de sistemas operacionais usadas em uma janela de cinco minutos
Família distinta de user agent Várias famílias de user agents usadas em uma janela de cinco minutos
Excesso Alta proporção de tráfego de IP em uma janela de 5 minutos
Adivinhador Grande número de erros de resposta em uma janela de cinco minutos
Adivinhador de login Alto volume de tráfego para alguns URIs em uma janela de 5 minutos
Abusador de OAuth Número elevado de sessões OAuth com pequeno número de user agents nas últimas 24 horas
Coletor OAuth Número elevado de sessões OAuth com pequeno número de famílias de user agent nas 24 horas anteriores
Harvestor OAuth Número elevado de sessões OAuth com tráfego significativo em uma janela de cinco minutos
Abuso de robô Maior número de erros de rejeição 403 nas últimas 24 horas
Sessão curta Número elevado de sessões de OAuth curtas
Raspador de conteúdo estático Alta proporção do tamanho do payload de resposta do IP em uma janela de cinco minutos
Storm Poucos picos altos no tráfego em uma janela de cinco minutos
Tornado Picos consistentes de tráfego em uma janela de cinco minutos
Regra de lista de Tor O IP se origina de um projeto TOR e ele aciona pelo menos uma outra regra de bot