Maßnahmen bei verdächtigen Aktivitäten ergreifen

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation
weitere Informationen

Sie können Maßnahmen ergreifen, um verdächtige Anfragen abzufangen, z. B. indem Sie Anfragen blockieren oder sie für eine besondere Behandlung in Ihren API-Proxys kennzeichnen. Sie können auch entsprechende Maßnahmen ergreifen, um Anfragen von bestimmten IP-Adressen ausdrücklich zuzulassen.

Aktionen

In der Apigee Sense-Konsole können Sie Maßnahmen ergreifen, um Anfragen von bestimmten Clients explizit zuzulassen, zu blockieren oder zu kennzeichnen. Apigee Edge wendet diese Aktionen auf Anfragen an, bevor Ihre API-Proxys sie verarbeiten. In der Regel ergreifen Sie Maßnahmen, weil Anfragen einem unerwünschten Verhaltensmuster entsprechen oder im Fall der Aktion „Zulassen“ deshalb einen Client von bestehenden unzulässigen Aktionen ausschließen möchten.

Mithilfe des Erkennungsberichts können Sie ermitteln, welche Anfragen Sie blockieren oder kennzeichnen möchten. Klicken Sie dazu in der Apigee Sense-Konsole auf das Menü „Erkennung“ und dann auf „Bericht“. Der Erkennungsbericht kann beispielsweise zeigen, dass bei einer Reihe von Anfragen ein Brute Guessor-Verhalten auftritt. Sie können entsprechende Maßnahmen ergreifen, um Anfragen von diesen IP-Adressen zu blockieren.

Sie können die folgenden Arten von Aktionen ausführen.

Aktion Beschreibung Rangfolge
Zulassen Lassen Sie Anfragen in der ausgewählten Kategorie zu. Sie können die Aktion „Zulassen“ ausführen, um Anfragen von bestimmten Client-IP-Adressen trotz anderer Aktionen, die sich auf die IP-Adresse auswirken könnten, explizit zuzulassen. Sie können beispielsweise die Anfragen einer internen oder Partner-Client-IP-Adresse zulassen, obwohl sie einem „unerwünschten“ Verhalten entsprechen. 1
Block Anfragen in der ausgewählten Kategorie blockieren. Wenn Sie sich entscheiden, Anfragen vollständig zu blockieren, antwortet Apigee Edge dem Client mit einem 403-Statuscode. 2
Flag Kennzeichnen Sie Anfragen in der ausgewählten Kategorie, damit Sie innerhalb des API-Proxy-Codes entsprechende Aktionen ausführen können. Wenn Sie die Anfragen eines Clients markieren, fügt Apigee Edge der Anfrage einen X-SENSE-BOT-DETECTED-Header mit dem Wert SENSE hinzu. Ihr API-Proxy kann auf der Grundlage dieses Headers antworten, z. B. um eine bestimmte Antwort an den Client zu senden. 3

Rangfolge für Apigee Sense-Aktionen

Apigee Sense wendet Aktionen in der Reihenfolge an, von „Zulassen“ bis zum Markieren. Wenn beispielsweise für eine bestimmte IP-Adresse sowohl eine Zulassungs- als auch eine Block-Aktion aktiviert ist, wendet Apigee Sense die Zulassen-Aktion an und ignoriert die Blockieren-Aktion.

Apigee Sense erzwingt eine Rangfolge, da Sie mehrere Aktionen auf eine IP-Adresse anwenden können, ohne es zu merken. Das liegt daran, dass Sie normalerweise Maßnahmen für ein Verhalten ergreifen, das mit vielen IP-Adressen verknüpft ist, z. B. Brute-Rätselraten. Wenn Sie später eine weitere Aktion für eine einzelne IP-Adresse ausführen, z. B. indem Sie eine nutzerfreundliche IP-Adresse auswählen, um zuzulassen, werden sowohl die auf das Verhalten angewendete Aktion als auch auf eine einzelne IP angewendete Aktionen für die IP-Adresse aktiviert. Bei Anfragen von einer bestimmten IP-Adresse wird jedoch nur die Aktion mit der höchsten Priorität erzwungen.

Obwohl also Aktionen aller drei Typen für eine IP-Adresse aktiviert werden können, hat die Zulassungsaktion Vorrang vor einer Sperr- oder Markierungsaktion.

Anfragen und Kunden identifizieren, bei denen Maßnahmen zu ergreifen sind

In der Apigee Sense-Konsole können Sie verdächtige Clients nach ihrem Ursprung und dem Grund filtern und gruppieren. Nachdem Sie die gewünschte Gruppe isoliert haben, können Sie Maßnahmen für die IP-Adressen in dieser Gruppe ergreifen, z. B. sie blockieren.

Sie können verdächtige Clients nach den folgenden Partitionen filtern:

Partition Beschreibung
Grund für einen einzelnen Bot Der Grund, warum eine Anfrage verdächtig ist. Weitere Informationen zu den Gründen finden Sie unten.
Gruppe mit Bot-Gründen Eine Reihe von Gründen, die mit einer einzelnen Gruppe von einer oder mehreren IP-Adressen verbunden sind. Bei der Analyse könnten beispielsweise aus drei Gründen vier IP-Adressen identifiziert worden sein, deren Anfragen die Kriterien erfüllten.
Land Das Land, aus dem die Anfrage stammt.
Organisation in Autonomen Systemen Die AS-Organisation, von der die Anfrage stammt.

Gründe

Bei der Analyse von API-Anfragen misst Apigee Sense die Anfragen anhand von Kriterien, die bestimmen, ob das Anfrageverhalten verdächtig ist. Wenn IP-Anfragen die Kriterien erfüllen, die auf einen Grund für verdächtige Aktivitäten hindeuten, meldet Apigee Sense dies in der Konsole.

In der folgenden Tabelle wird beschrieben, warum Anfragen als verdächtig eingestuft werden. Im Portal können Sie die Liste der Kriterien einsehen und Clients filtern, die verdächtige Anfragen anhand dieser Gründe senden.

Sie können die Kriterien auch entsprechend den Anforderungen Ihrer API-Nutzung anpassen. Weitere Informationen finden Sie unter Erkennungsregeln anpassen.

Grund Erfasstes Verhalten
Brute Guessor Größerer Anteil der Antwortfehler in den letzten 24 Stunden
Inhaltskontingent überschritten Zusätzliche Anfragen nach Fehler 403 aufgrund überschrittener Inhaltskontingente
Inhaltsraub Wenige OAuth-Sitzungen mit hohem Traffic-Volumen innerhalb von 5 Minuten
Content Scraper Große Anzahl von URIs in einem 5-Minuten-Fenster aufgerufen
Unterschiedliches Betriebssystem Mehrere Betriebssystemfamilien in einem 5-Minuten-Fenster verwendet
Unterschiedliche User-Agent-Familie Mehrere User-Agent-Familien in einem 5-Minuten-Zeitfenster verwendet
Flooder Hoher Anteil des Traffics von IP-Adressen in einem 5-Minuten-Fenster
Ratespiel Große Anzahl von Antwortfehlern in einem 5-Minuten-Fenster
Erratener Log-in Hohes Traffic-Volumen an wenige URIs in 5-Minuten-Zeitfenstern
OAuth Abuser Hohe Anzahl von OAuth-Sitzungen mit wenigen User-Agents in den letzten 24 Stunden
OAuth-Collector Viele OAuth-Sitzungen mit wenigen User-Agent-Familien in den letzten 24 Stunden
OAuth-Harvestor Hohe Anzahl an OAuth-Sitzungen mit hohem Traffic innerhalb von 5 Minuten
Roboter-Nutzer Mehr 403-Ablehnungsfehler in den letzten 24 Stunden
Kurze Session Hohe Anzahl kurzer OAuth-Sitzungen
Static Content Scraper Hoher Anteil der Antwortnutzlastgröße von IP-Adresse in einem 5-Minuten-Fenster
Unwetter Wenige hohe Traffic-Spitzen in einem 5-Minuten-Fenster
Wirbelsturm Konsistente Traffic-Spitzen in einem 5-Minuten-Zeitfenster
Torlistenregel Die IP-Adresse stammt aus einem TOR-Projekt und die IP löst mindestens eine weitere Bot-Regel aus.