Você está visualizando a documentação do Apigee Edge.
Acesse a
documentação da
Apigee X. info
É possível tomar medidas para interceptar solicitações suspeitas, como bloquear solicitações ou marcá-las para processamento especial nos proxies de API. Também é possível permitir explicitamente solicitações de endereços IP específicos.
Como as ações funcionam
No console do Apigee Sense, é possível permitir, bloquear ou sinalizar explicitamente solicitações de clientes específicos. O Apigee Edge aplica essas ações às solicitações antes que os proxies de API as processem. Normalmente, você toma uma ação porque as solicitações estão em conformidade com padrões de comportamento indesejado ou, no caso da ação de permissão, porque você quer excluir um cliente de ações proibitivas que você já realizou.
Para descobrir em quais solicitações agir, use o relatório de detecção. No console do Apigee Sense, clique no menu "Detecção" e em "Relatório" para identificar os comportamentos de solicitação que você quer bloquear ou sinalizar. Por exemplo, o relatório de detecção pode mostrar que um conjunto de solicitações apresenta o comportamento de adivinhação bruta. Você pode bloquear as solicitações desses endereços IP.
Você pode realizar os seguintes tipos de ações.
| Ação | Descrição | Ordem de precedência |
|---|---|---|
| Permitir | Permitir que as solicitações na categoria selecionada prossigam. Você pode realizar a ação "Permitir" para permitir explicitamente solicitações de endereços IP de clientes específicos, apesar de outras ações que possam afetar o endereço IP. Por exemplo, você pode permitir as solicitações de um IP de cliente interno ou de parceiro, mesmo que elas se conformem a um comportamento "indesejado". | 1 |
| Bloquear | Bloquear solicitações na categoria selecionada. Quando você bloqueia as solicitações por completo, o Apigee Edge responde ao cliente com um código de status 403. | 2 |
| Sinalização | Sinalize solicitações na categoria selecionada para que você possa tomar medidas nelas no código do proxy de API. Quando você sinaliza as solicitações de um cliente, o Apigee Edge adiciona à solicitação um cabeçalho X-SENSE-BOT-DETECTED com um valor de SENSE. O proxy da API pode responder com base na presença desse cabeçalho, como enviar uma resposta específica ao cliente. |
3 |
Ordem de precedência para ações do Apigee Sense
O Apigee Sense aplica ações na ordem de precedência, de "Permitir" a "Bloquear" a "Sinalizar". Por exemplo, se um determinado endereço IP tiver uma ação de permissão e outra de bloqueio ativadas, o Apigee Sense vai aplicar a ação de permissão e ignorar a ação de bloqueio.
O Apigee Sense aplica uma ordem de precedência porque é possível aplicar várias ações a um endereço IP sem perceber. Isso acontece porque você geralmente toma medidas em relação a um comportamento, como bloquear ataques de força bruta, que tem muitos endereços IP associados. Quando você realiza outra ação em um único IP, como selecionar um endereço IP amigável para permitir, a ação aplicada ao comportamento e as ações aplicadas a um único IP são ativadas para o IP. No entanto, apenas a ação com a maior precedência é aplicada para solicitações de um determinado endereço IP.
Portanto, embora as ações dos três tipos possam ser ativadas para um endereço IP, a ação "Permitir" tem precedência sobre a ação "Bloquear" ou "Sinalizar".
Identificar solicitações e clientes para tomar medidas
No console do Apigee Sense, é possível filtrar e agrupar clientes suspeitos pela origem e pelo motivo da suspeita. Depois de isolar o grupo desejado, você pode tomar medidas em relação aos IPs desse grupo, como bloqueá-los.
É possível filtrar clientes suspeitos pelas seguintes partições:
| Partição | Descrição |
|---|---|
| Motivo de um único bot | O motivo pelo qual uma solicitação é suspeita. Confira mais motivos abaixo. |
| Grupo de motivos do bot | Um conjunto de motivos associados a um único conjunto de um ou mais endereços IP. Por exemplo, a análise pode ter identificado quatro endereços IP com solicitações que correspondem aos critérios por três motivos. |
| País | O país de origem da solicitação. |
| Organização de sistema autônomo | A organização do AS de onde a solicitação veio. |
Motivos
Ao analisar solicitações de API, o Apigee Sense as mede usando critérios que determinam se o comportamento da solicitação é suspeito. Se as solicitações do IP atenderem aos critérios que sugerem um motivo para a atividade suspeita, o Apigee Sense vai informar isso no console.
A tabela a seguir descreve os motivos pelos quais as solicitações são identificadas como suspeitas. No portal, você pode conferir a lista de critérios e filtrar clientes que fazem solicitações suspeitas por esses motivos.
Você também pode personalizar os critérios de acordo com as necessidades de uso da API. Para mais informações, consulte Como personalizar as regras de detecção.
| Motivo | Comportamento capturado |
|---|---|
| Guessor brutal | Maior proporção de erros de resposta nas últimas 24 horas |
| Exceção de cota de conteúdo | Solicitações adicionais após o erro 403 devido ao limite de conteúdo excedido |
| Content Robber | Poucas sessões OAuth com grande volume de tráfego em um período de cinco minutos |
| Raspador de conteúdo | Grande número de URIs chamados em uma janela de cinco minutos |
| SO distinto | Várias famílias de sistemas operacionais usadas em uma janela de 5 minutos |
| Família de user agent distinta | Várias famílias de user agent usadas em uma janela de 5 minutos |
| Excesso | Alta proporção de tráfego de IP em uma janela de cinco minutos |
| Guessor | Grande número de erros de resposta em um período de cinco minutos |
| Login Guessor | Volume alto de tráfego para poucas URIs em uma janela de cinco minutos |
| Abusador de OAuth | Grande número de sessões OAuth com um pequeno número de user agents nas últimas 24 horas |
| Coletor OAuth | Grande número de sessões OAuth com um pequeno número de famílias de user agents nas últimas 24 horas |
| Coletor de OAuth | Grande número de sessões OAuth com tráfego significativo em um período de cinco minutos |
| Abuso de robô | Um número maior de erros de rejeição 403 nas últimas 24 horas |
| Sessão curta | Grande número de sessões OAuth curtas |
| Raspador de conteúdo estático | Alta proporção de tamanho de payload de resposta de IP em uma janela de cinco minutos |
| Tempestades | Alguns picos altos no tráfego em um período de cinco minutos |
| Tornado | Picos consistentes no tráfego em um intervalo de cinco minutos |
| Regra de lista do Tor | O IP é originado de um projeto TOR e aciona pelo menos outra regra de bot |