Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация
Вы можете принять меры для перехвата подозрительных запросов, например, заблокировав запросы или пометив их для специальной обработки в ваших прокси-серверах API. Вы также можете принять меры, чтобы явно разрешить запросы с определенных IP-адресов.
Как работают действия
В консоли Apigee Sense вы можете явно разрешить, заблокировать или пометить запросы от определенных клиентов. Apigee Edge применяет эти действия к запросам до их обработки вашими прокси-серверами API. Обычно вы предпринимаете действия либо потому, что запросы соответствуют шаблонам нежелательного поведения, либо (в случае действия «Разрешить») потому, что вы хотите исключить клиента из существующих запретительных действий, которые вы предприняли.
Чтобы определить, по каким запросам следует принять меры, вы используете отчет об обнаружении (в консоли Apigee Sense щелкните меню «Обнаружение», затем «Отчет»), чтобы определить поведение запроса, которое вы хотите заблокировать или пометить. Например, в отчете об обнаружении может быть указано, что набор запросов демонстрирует поведение Brute Guessor. Вы можете принять меры, чтобы заблокировать запросы с этих IP-адресов.
Вы можете предпринять следующие типы действий.
| Действие | Описание | Порядок приоритета |
|---|---|---|
| Позволять | Разрешить выполнение запросов в выбранной категории. Вы можете выполнить действие Разрешить, чтобы явно разрешить запросы с определенных IP-адресов клиентов, несмотря на другие действия, которые могут повлиять на IP-адрес. Например, вы можете захотеть разрешить IP-запросы внутреннего или партнерского клиента, несмотря на то, что они соответствуют «нежелательному» поведению. | 1 |
| Блокировать | Блокировать запросы в выбранной категории. Если вы решите полностью заблокировать запросы, Apigee Edge ответит клиенту кодом состояния 403. | 2 |
| Флаг | Помечайте запросы в выбранной категории, чтобы можно было принять меры по ним в коде прокси API. Когда вы помечаете запросы клиента, Apigee Edge добавляет к запросу заголовок X-SENSE-BOT-DETECTED со значением SENSE . Ваш прокси-сервер API может отвечать на основании наличия этого заголовка, например отправлять конкретный ответ клиенту. | 3 |
Порядок приоритета действий Apigee Sense
Apigee Sense применяет действия в порядке приоритета: от «Разрешить» до «Блокировать» и «Пометить». Например, если для данного IP-адреса активировано действие «Разрешить» и «Блокировать», Apigee Sense применит действие «Разрешить» и проигнорирует действие «Блокировать».
Apigee Sense обеспечивает порядок приоритета, поскольку вы можете применить несколько действий к IP-адресу, даже не осознавая этого. Это потому, что вы обычно предпринимаете действия в отношении поведения (например, блокировки грубых догадок), с которым связано множество IP-адресов. Когда вы позже выполняете другое действие с одним IP-адресом, например, выделяя дружественный IP-адрес для разрешения, для этого IP-адреса включаются как действие, применяемое к поведению, так и отдельные действия, применяемые к IP-адресу. Однако для запросов с данного IP-адреса применяется только действие с наивысшим приоритетом.
Таким образом, хотя для IP-адреса можно включить действия всех трех типов, действие «Разрешить» будет иметь приоритет над действием «Блокировать» или «Пометить».
Определение запросов и клиентов, по которым необходимо принять меры.
В консоли Apigee Sense вы можете фильтровать и группировать подозрительных клиентов по их происхождению и причине, по которой они являются подозрительными. После того как вы изолировали нужную группу, вы можете принять меры к IP-адресам в этой группе, например заблокировать их.
Вы можете фильтровать подозрительных клиентов по следующим разделам:
| Раздел | Описание |
|---|---|
| Причина одного бота | Причина, по которой запрос является подозрительным. Подробнее о причинах ниже. |
| Группа причин бота | Набор причин, связанных с одним набором одного или нескольких IP-адресов. Например, анализ мог бы выявить четыре IP-адреса, чьи запросы соответствовали критериям по трем причинам. |
| Страна | Страна, из которой поступил запрос. |
| Автономная организация системы | Организация AS, от которой поступил запрос. |
Причины
При анализе запросов API Apigee Sense измеряет запросы, используя критерии, которые определяют, является ли поведение запроса подозрительным. Если запросы с IP соответствуют критериям, указывающим на причину подозрительной активности, Apigee Sense сообщает об этом в своей консоли.
В следующей таблице описаны причины, по которым запросы считаются подозрительными. На портале вы можете просмотреть список критериев и отфильтровать клиентов, делающих подозрительные запросы по этим причинам.
Вы также можете настроить критерии в соответствии с потребностями использования вашего API. Дополнительные сведения см. в разделе Настройка правил обнаружения .
| Причина | Поведение зафиксировано |
|---|---|
| Грубый догадавшийся | Большая доля ошибок в ответах за предыдущие 24 часа. |
| Превышение квоты контента | Дополнительные запросы после ошибки 403 из-за превышения квоты на контент |
| Грабитель контента | Несколько сеансов OAuth с большим объемом трафика за 5-минутное окно. |
| Парсер контента | Большое количество URI, вызываемых за 5-минутное окно. |
| Разная ОС | Использование нескольких семейств операционных систем за 5-минутное окно |
| Отдельное семейство пользовательских агентов | Использование нескольких семейств пользовательских агентов в течение 5-минутного окна |
| Флудер | Высокая доля трафика с IP в 5-минутном окне |
| Догадавшийся | Большое количество ошибок ответа в 5-минутном окне |
| Вход в систему | Большой объем трафика для нескольких URI в 5-минутном окне |
| Нарушитель OAuth | Большое количество сеансов OAuth с небольшим количеством пользовательских агентов за предыдущие 24 часа. |
| Сборщик OAuth | Большое количество сеансов OAuth с небольшим количеством семейств пользовательских агентов за предыдущие 24 часа. |
| Сборщик OAuth | Большое количество сеансов OAuth со значительным трафиком за 5-минутный период. |
| Робот-насильник | Большее количество ошибок 403 отклонения за последние 24 часа. |
| Короткая сессия | Большое количество коротких сеансов OAuth |
| Парсер статического контента | Большая доля размера полезной нагрузки ответа от IP в течение 5-минутного окна |
| Шторм | Несколько высоких всплесков трафика за 5-минутный период |
| Торнадо | Постоянные всплески трафика в течение 5-минутного окна |
| Правило списка Tor | IP происходит из проекта TOR и запускает как минимум еще одно правило бота. |