Menindaklanjuti aktivitas yang mencurigakan

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Anda dapat melakukan tindakan untuk mencegat permintaan yang mencurigakan, seperti memblokir permintaan atau menandainya untuk penanganan khusus dalam proxy API Anda. Anda juga dapat mengambil tindakan untuk mengizinkan permintaan dari alamat IP tertentu secara jelas.

Cara kerja tindakan

Di konsol Apigee Sense, Anda dapat mengambil tindakan untuk mengizinkan, memblokir, atau menandai permintaan dari klien tertentu secara eksplisit. Apigee Edge menerapkan tindakan ini ke permintaan sebelum proxy API Anda memprosesnya. Biasanya, Anda akan mengambil tindakan karena permintaan sesuai dengan pola perilaku yang tidak diinginkan atau (dalam kasus tindakan Izinkan) karena Anda ingin mengecualikan klien dari tindakan terlarang yang telah Anda lakukan.

Untuk menemukan permintaan mana yang akan ditindaklanjuti, gunakan laporan deteksi (di konsol Apigee Sense, klik menu Deteksi, lalu Laporkan) untuk mengidentifikasi perilaku permintaan yang ingin Anda blokir atau tandai. Misalnya, laporan deteksi mungkin mencantumkan beberapa permintaan yang menunjukkan perilaku Brute Guessor. Anda dapat mengambil tindakan untuk memblokir permintaan dari alamat IP tersebut.

Anda dapat melakukan jenis tindakan berikut.

Tindakan Deskripsi Urutan prioritas
Izinkan Izinkan permintaan dalam kategori yang dipilih untuk melanjutkan. Anda dapat mengambil tindakan Allow untuk secara eksplisit mengizinkan permintaan dari alamat IP klien tertentu meskipun ada tindakan lain yang dapat memengaruhi alamat IP tersebut. Misalnya, Anda mungkin ingin mengizinkan permintaan IP klien internal atau partner meskipun permintaan tersebut sesuai dengan perilaku "yang tidak diinginkan". 1
Blok Blokir permintaan dalam kategori yang dipilih. Jika Anda memilih untuk memblokir permintaan sepenuhnya, Apigee Edge akan merespons klien dengan kode status 403. 2
Bendera Tandai permintaan dalam kategori yang dipilih sehingga Anda dapat mengambil tindakan atas permintaan tersebut dalam kode proxy API. Saat Anda menandai permintaan klien, Apigee Edge menambahkan header X-SENSE-BOT-DETECTED dengan nilai SENSE ke permintaan. Proxy API Anda dapat merespons berdasarkan kehadiran header ini, misalnya mengirim respons tertentu ke klien. 3

Urutan prioritas untuk tindakan Apigee Sense

Apigee Sense menerapkan tindakan dalam urutan prioritas, dari Izinkan untuk Memblokir hingga Menandai. Misalnya, jika alamat IP tertentu mengaktifkan tindakan Izinkan dan Blokir, Apigee Sense akan menerapkan tindakan Izinkan dan mengabaikan tindakan Blokir.

Apigee Sense menerapkan urutan prioritas karena Anda dapat menerapkan beberapa tindakan ke alamat IP tanpa menyadarinya. Itu karena Anda biasanya melakukan tindakan pada perilaku -- seperti memblokir penebak brute -- yang memiliki banyak alamat IP yang terkait dengannya. Ketika Anda kemudian melakukan tindakan lain pada satu IP -- seperti dengan menentukan alamat IP yang ramah untuk diizinkan -- tindakan yang diterapkan oleh perilaku dan tindakan yang diterapkan IP tunggal diaktifkan untuk IP tersebut. Namun, hanya tindakan dengan prioritas tertinggi yang diberlakukan untuk permintaan dari alamat IP yang diberikan.

Jadi, meskipun tindakan dari ketiga jenis tersebut dapat diaktifkan untuk alamat IP, tindakan Izinkan akan lebih diutamakan daripada tindakan Blokir atau Tandai.

Mengidentifikasi permintaan dan klien untuk mengambil tindakan

Di konsol Apigee Sense, Anda dapat memfilter dan mengelompokkan klien yang mencurigakan berdasarkan asalnya dan alasan mereka mencurigakan. Setelah mengisolasi grup yang diinginkan, Anda dapat mengambil tindakan pada IP dalam grup tersebut, seperti memblokirnya.

Anda dapat memfilter klien yang mencurigakan berdasarkan partisi berikut:

Partisi Deskripsi
Alasan bot tunggal Alasan permintaan mencurigakan. Lihat alasannya lebih lanjut di bawah.
Grup alasan bot Serangkaian alasan yang terkait dengan satu kumpulan berisi satu atau beberapa alamat IP. Misalnya, analisis mungkin telah mengidentifikasi empat alamat IP yang permintaannya cocok dengan kriteria karena tiga alasan.
Negara Negara tempat permintaan berasal.
Organisasi sistem otonom Organisasi AS tempat permintaan berasal.

Alasan

Saat menganalisis permintaan API, Apigee Sense mengukur permintaan menggunakan kriteria yang menentukan apakah perilaku permintaan mencurigakan. Jika permintaan dari IP memenuhi kriteria yang menunjukkan alasan untuk aktivitas mencurigakan, Apigee Sense akan melaporkan hal ini di konsolnya.

Tabel berikut menjelaskan alasan permintaan diidentifikasi sebagai mencurigakan. Di portal, Anda dapat melihat daftar kriteria dan memfilter klien yang membuat permintaan mencurigakan berdasarkan alasan tersebut.

Anda juga dapat menyesuaikan kriteria sesuai dengan kebutuhan penggunaan API Anda. Untuk mengetahui informasi selengkapnya, lihat Menyesuaikan aturan deteksi.

Alasan Perilaku yang Tertangkap
Penebak Brute Proporsi error respons yang lebih besar selama 24 jam sebelumnya
Pelebihan Kuota Konten Permintaan tambahan setelah error 403 karena kuota konten terlampaui
Perampok Konten Beberapa sesi OAuth dengan volume traffic yang besar dalam periode 5 menit
Scraper Konten URI dalam jumlah besar dipanggil dalam jendela 5 menit
OS berbeda Beberapa kelompok sistem operasi yang digunakan dalam jangka waktu 5 menit
Kelompok Agen Pengguna yang Berbeda Beberapa kelompok agen pengguna yang digunakan dalam periode 5 menit
Banjir Proporsi traffic yang tinggi dari IP dalam periode 5 menit
Penebak Banyaknya error respons dalam periode 5 menit
Penebak Login Volume traffic yang tinggi ke beberapa URI dalam jangka waktu 5 menit
Penyalahgunaan OAuth Jumlah sesi OAuth yang tinggi dengan sedikit agen pengguna selama 24 jam sebelumnya
Kolektor OAuth Jumlah sesi OAuth yang tinggi dengan sejumlah kecil kelompok agen pengguna selama 24 jam sebelumnya
Harvestor OAuth Jumlah sesi OAuth yang tinggi dengan traffic yang signifikan dalam periode 5 menit
Penyerap Robot Jumlah error penolakan 403 yang lebih besar dalam 24 jam terakhir
Sesi Singkat Jumlah sesi OAuth singkat yang tinggi
Scraper Konten Statis Proporsi ukuran payload respons yang tinggi dari IP dalam periode 5 menit
Storm Beberapa lonjakan traffic tinggi dalam periode 5 menit
Tornado Lonjakan traffic secara konsisten dalam periode 5 menit
Aturan Daftar Tor IP berasal dari project TOR dan IP memicu setidaknya satu aturan bot lainnya