Maßnahmen bei verdächtigen Aktivitäten ergreifen

Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an.
info

Sie können Maßnahmen ergreifen, um verdächtige Anfragen abzufangen, z. B. indem Sie Anfragen blockieren oder sie in Ihren API-Proxys zur speziellen Verarbeitung kennzeichnen. Sie können auch Maßnahmen ergreifen, um Anfragen von bestimmten IP-Adressen ausdrücklich zuzulassen.

Aktionen

In der Apigee Sense Console können Sie Maßnahmen ergreifen, um Anfragen von bestimmten Clients explizit zuzulassen, zu blockieren oder zu melden. Apigee Edge wendet diese Aktionen auf Anfragen an, bevor sie von Ihren API-Proxys verarbeitet werden. In der Regel führen Sie eine Aktion aus folgenden Gründen aus: eine Anfrage entspricht einem unerwünschten Muster oder (im Fall einer Allow-Aktion) Sie möchten einen Client von bestehenden Verboten ausschließen, die Sie festgelegt haben.

Mit dem Bericht zur Erkennung können Sie ermitteln, für welche Anfragen Maßnahmen ergriffen werden sollen. Klicken Sie dazu in der Apigee Sense-Konsole auf das Menü „Erkennung“ und dann auf „Bericht“. Hier können Sie das Verhalten von Anfragen identifizieren, das Sie blockieren oder melden möchten. Im Bericht zur Erkennung wird beispielsweise möglicherweise aufgeführt, dass eine Reihe von Anfragen das Verhalten von Brute-Force-Angriffen aufweist. Sie können Maßnahmen ergreifen, um Anfragen von diesen IP-Adressen zu blockieren.

Sie haben folgende Möglichkeiten:

Aktion Beschreibung Rangfolge
Zulassen Anfragen in der ausgewählten Kategorie zulassen Sie können die Aktion „Zulassen“ verwenden, um Anfragen von bestimmten Client-IP-Adressen trotz anderer Aktionen zuzulassen, die sich auf die IP-Adresse auswirken könnten. Sie können beispielsweise Anfragen von der IP-Adresse eines internen oder Partner-Clients zulassen, auch wenn diese Anfragen einem „unerwünschten“ Verhalten entsprechen. 1
Blockieren Anfragen in der ausgewählten Kategorie blockieren Wenn Sie Anfragen vollständig blockieren, antwortet Apigee Edge dem Client mit dem Statuscode 403. 2
Flag Anfragen in der ausgewählten Kategorie mit einem Flag versehen, damit Sie sie im API-Proxy-Code bearbeiten können. Wenn Sie die Anfragen eines Clients kennzeichnen, fügt Apigee Edge der Anfrage einen X-SENSE-BOT-DETECTED-Header mit dem Wert SENSE hinzu. Ihr API-Proxy kann basierend auf der Anwesenheit dieses Headers reagieren, z. B. eine bestimmte Antwort an den Client senden. 3

Vorrangreihenfolge für Apigee Sense-Aktionen

Apigee Sense wendet Aktionen in der Rangfolge „Zulassen“, „Blockieren“ und „Melden“ an. Wenn für eine bestimmte IP-Adresse beispielsweise sowohl eine Allow- als auch eine Block-Aktion aktiviert ist, wendet Apigee Sense die Allow-Aktion an und ignoriert die Block-Aktion.

Apigee Sense erzwingt eine Präzedenzreihenfolge, da Sie eine IP-Adresse unbemerkt mit mehreren Aktionen versehen können. Das liegt daran, dass Sie in der Regel eine Aktion aufgrund eines Verhaltens ausführen, z. B. Brute-Force-Angriffe blockieren, dem viele IP-Adressen zugeordnet sind. Wenn Sie später eine weitere Aktion auf eine einzelne IP-Adresse ausführen, z. B. eine freundliche IP-Adresse zulassen, sind sowohl die aktionsbasierte als auch die auf einzelne IP-Adressen angewendete Aktion für die IP-Adresse aktiviert. Für Anfragen von einer bestimmten IP-Adresse wird jedoch nur die Aktion mit der höchsten Priorität erzwungen.

Auch wenn Aktionen aller drei Typen für eine IP-Adresse aktiviert werden können, hat die Aktion „Zulassen“ Vorrang vor einer Blockierungs- oder Flag-Aktion.

Anfragen und Kunden identifizieren, für die Maßnahmen erforderlich sind

In der Apigee Sense-Konsole können Sie verdächtige Kunden nach Herkunft und Grund für den Verdacht filtern und gruppieren. Nachdem Sie die gewünschte Gruppe isoliert haben, können Sie Maßnahmen für IP-Adressen in dieser Gruppe ergreifen, z. B. sie blockieren.

Sie können verdächtige Clients nach den folgenden Partitionen filtern:

Partition Beschreibung
Einziger Bot-Grund Der Grund, warum eine Anfrage verdächtig ist. Weitere Informationen zu den Gründen finden Sie unten.
Gruppe für Bot-Grund Eine Reihe von Gründen, die mit einer oder mehreren IP-Adressen verknüpft sind. Bei der Analyse wurden beispielsweise vier IP-Adressen gefunden, deren Anfragen aus drei Gründen den Kriterien entsprachen.
Land Das Land, aus dem die Anfrage stammt.
Autonomes System Die AS-Organisation, von der die Anfrage stammt.

Gründe

Bei der Analyse von API-Anfragen misst Apigee Sense die Anfragen anhand von Kriterien, die bestimmen, ob das Anfrageverhalten verdächtig ist. Wenn Anfragen von der IP-Adresse Kriterien erfüllen, die einen Grund für verdächtige Aktivitäten vermuten lassen, meldet Apigee Sense dies in der Konsole.

In der folgenden Tabelle werden die Gründe beschrieben, aus denen Anfragen als verdächtig eingestuft werden. Im Portal findest du eine Liste der Kriterien und kannst Kunden mit verdächtigen Anfragen nach diesen Gründen filtern.

Sie können die Kriterien auch an die Anforderungen Ihrer API-Nutzung anpassen. Weitere Informationen finden Sie unter Erkennungsregeln anpassen.

Grund Aufgenommenes Verhalten
Brute Guessor Größerer Anteil der Antwortfehler in den letzten 24 Stunden
Überschreitung des Inhaltskontingents Zusätzliche Anfragen nach 403-Fehler aufgrund überschrittenen Inhaltskontingents
Content Robber Wenig OAuth-Sitzungen mit hohem Trafficvolumen in einem 5-Minuten-Fenster
Content Scraper Große Anzahl von URIs, die in einem 5-Minuten-Fenster aufgerufen werden
Distinct OS Mehrere Betriebssystemfamilien, die in einem 5-Minuten-Fenster verwendet wurden
Distinct User Agent Family Mehrere User-Agent-Familien, die innerhalb eines 5-Minuten-Fensters verwendet werden
Flooder Hoher Anteil an Traffic von einer IP-Adresse in einem 5-Minuten-Fenster
Guessor Große Anzahl von Antwortfehlern in einem 5-Minuten-Fenster
Login Guessor Hohes Trafficaufkommen auf wenige URIs in einem 5-Minuten-Fenster
OAuth Abuser Hohe Anzahl von OAuth-Sitzungen mit einer kleinen Anzahl von User-Agents in den letzten 24 Stunden
OAuth-Abholer Hohe Anzahl von OAuth-Sitzungen mit einer kleinen Anzahl von User-Agent-Familien in den letzten 24 Stunden
OAuth Harvestor Hohe Anzahl von OAuth-Sitzungen mit erheblichem Traffic in einem 5-Minuten-Fenster
Roboter-Nutzer Höhere Anzahl von 403-Ablehnungsfehlern in den letzten 24 Stunden
Kurze Sitzung Hohe Anzahl kurzer OAuth-Sitzungen
Static Content Scraper Hoher Anteil der Antwortnutzlastgröße von einer IP in einem 5-Minuten-Fenster
Sturm Nur wenige hohe Trafficspitzen in einem 5-Minuten-Fenster
Wirbelsturm Regelmäßige Trafficspitzen in einem 5-Minuten-Fenster
Tor List Rule Die IP-Adresse stammt aus einem TOR-Projekt und löst mindestens eine andere Bot-Regel aus.