不審なアクティビティへの対処

現在、Apigee Edge のドキュメントを表示しています。
Apigee X のドキュメントをご確認ください
情報

リクエストをブロックする、API プロキシ内で特別な処理を行うようにフラグを付けるなど、不審なリクエストをインターセプトするためのアクションを実行できます。特定の IP アドレスからのリクエストを明示的に許可するアクションを実行することもできます。

ユーザーの行動のカウント方法

Apigee Sense コンソールでは、特定のクライアントからのリクエストを明示的に許可、ブロック、またはフラグを設定できます。Apigee Edge は、API プロキシで処理される前に、これらのアクションをリクエストに適用します。通常は、リクエストが望ましくない動作のパターンに合致しているか、「許可」アクションの場合、実行した禁止行為の対象からクライアントを除外したい場合に行います。

対応すべきリクエストを特定するには、検出レポート(Apigee Sense コンソールで、[検出] メニュー、[レポート] の順にクリックします)を使用して、ブロックまたはフラグを設定するリクエスト動作を特定します。たとえば、検出レポートに、一連のリクエストが Brute Guessor 動作を示すことを示すリストを表示できます。それらの IP アドレスからのリクエストをブロックするためのアクションを実行できます。

次のような対応が可能です。

アクション 説明 優先順位
許可 選択したカテゴリでのリクエストを許可して続行します。[Allow] アクションを実行して、IP アドレスに影響する可能性のあるアクションがあっても、特定のクライアント IP アドレスからのリクエストを明示的に許可できます。たとえば、内部またはパートナー クライアントの IP が「望ましくない」動作に該当しているにもかかわらず、そのリクエストを許可する場合があります。 1
ブロック 選択したカテゴリのリクエストをブロックします。リクエストを完全にブロックすることを選択すると、Apigee Edge はクライアントに 403 ステータス コードを返します。 2
フラグ 選択したカテゴリのリクエストにフラグを付けて、API プロキシコード内でリクエストに対応できるようにします。クライアントのリクエストにフラグを付けると、Apigee Edge はそのリクエストに SENSE の値を持つ X-SENSE-BOT-DETECTED ヘッダーを追加します。API プロキシは、このヘッダーの存在に基づいて応答できます。たとえば、クライアントに特定のレスポンスを送信できます。 3

Apigee Sense アクションの優先順位

Apigee Sense は、許可、ブロック、フラグの順にアクションを適用します。たとえば、特定の IP アドレスに対して許可とブロックの両方のアクションが有効になっている場合、Apigee Sense は許可アクションを適用し、ブロックアクションを無視します。

Apigee Sense では優先順位が適用されます。これは、IP アドレスに対して複数のアクションを適用できるためです。これは、通常は、多くの IP アドレスが関連付けられている動作(総当たり者のブロックなど)に対して措置を講じているためです。その後、同じ IP アドレスに対して別のアクション(わかりやすい IP アドレスを個別に指定して許可するなど)を行うと、その IP に対して動作適用のアクションと単一の IP を適用したアクションの両方が有効化されます。ただし、特定の IP アドレスからのリクエストには、優先度が最も高いアクションのみが適用されます。

したがって、ある IP アドレスに対して 3 種類すべてのアクションを有効にすることはできますが、許可アクションはブロック アクションやフラグ アクションよりも優先されます。

対処すべきリクエストとクライアントを特定する

Apigee Sense コンソールでは、不審なクライアントを送信元や理由別にフィルタしてグループ化できます。必要なグループを分離したら、そのグループ内の IP に対してブロックなどの措置を取ることができます。

不審なクライアントは、次のパーティションでフィルタできます。

Partition 説明
1 つの bot の理由 不審なリクエストの理由。理由について詳しくは、下記をご覧ください。
bot の理由グループ 1 つ以上の IP アドレスの単一セットに関連する一連の理由。たとえば、分析により、3 つの理由でリクエストが条件に一致する 4 つの IP アドレスが特定されたとします。
リクエスト送信元の国。
自律システム組織 リクエストの送信元のアカウント マネージャー(AS 組織)。

理由

Apigee Sense は API リクエストを分析する際、リクエストの動作が疑わしいかどうかを判断する基準を使用してリクエストを測定します。IP からのリクエストが疑わしいアクティビティの理由を示す基準を満たすと、Apigee Sense のコンソールでそのことが報告されます。

次の表に、リクエストが不審と判断される理由を示します。ポータルでは、条件のリストを確認し、疑わしいリクエストを送信したクライアントをこれらの理由に基づいてフィルタできます。

API の使用方法のニーズに合わせて条件をカスタマイズすることもできます。詳細については、検出ルールのカスタマイズをご覧ください。

理由 キャプチャされた動作
Brute Guessor 過去 24 時間のレスポンス エラーの割合が高い
コンテンツの割り当て超過 コンテンツの割り当て超過による 403 エラー後の追加のリクエスト
コンテンツ強盗 5 分間の時間枠で大量のトラフィックが発生するわずかな OAuth セッション
コンテンツ スクレイパー 5 分間に多数の URI が呼び出される
個別の OS 5 分間の時間枠に複数のオペレーティング システム ファミリーが使用されている
個別のユーザー エージェント ファミリー 5 分間の時間枠に複数のユーザー エージェント ファミリーが使用されている
Flooder 5 分間の時間枠で IP からのトラフィックの割合が高い
推測 5 分間の時間枠内に多数のレスポンス エラーが表示される
ログイン ゲーサー 5 分間で少数の URI に大量のトラフィックを送信する
OAuth Abuser 過去 24 時間に、少数のユーザー エージェントで多数の OAuth セッションが発生した
OAuth コレクタ 過去 24 時間に少数のユーザー エージェント ファミリーで多数の OAuth セッションが発生した
OAuth ハーベスター 5 分間に大量のトラフィックが発生した OAuth セッションの数
Robot Abuser 過去 24 時間に 403 拒否エラーの数が増加
短いセッション 短い OAuth セッションが多数ある場合
Static Content Scraper 5 分間の枠で IP からのレスポンス ペイロード サイズの割合が高い
5 分間の時間枠ではトラフィックの急増がわずか
竜巻 5 分間の時間枠でトラフィックが急増し続ける
Tor リストルール IP が TOR プロジェクトに由来し、その IP によって他の bot ルールが少なくとも 1 つトリガーされる