Cómo tomar medidas ante actividad sospechosa

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

Puedes tomar medidas para interceptar solicitudes sospechosas, como bloquearlas o marcarlas para un manejo especial dentro de los proxies de API. También puedes tomar medidas para permitir expresamente las solicitudes de direcciones IP específicas.

Cómo funcionan las acciones

En la consola de Apigee Sense, puedes tomar medidas para permitir, bloquear o marcar solicitudes de clientes específicos de forma explícita. Apigee Edge aplica estas acciones a las solicitudes antes de que los proxies de API las procesen. Por lo general, deberás tomar medidas porque las solicitudes se ajustan a patrones de comportamiento no deseado (en el caso de la acción Permitir) porque deseas excluir a un cliente de las acciones restrictivas existentes que realizaste.

Si quieres saber en qué solicitudes debes tomar medidas, usa el informe de detección (en la consola de Apigee Sense, haz clic en el menú Detección y, luego, en Informar) para identificar los comportamientos de las solicitudes que quieres bloquear o marcar. Por ejemplo, el informe de detección podría mostrar que un conjunto de solicitudes presenta el comportamiento de Brute Guessor. Puedes tomar medidas para bloquear las solicitudes de esas direcciones IP.

Puedes realizar los siguientes tipos de acciones.

Acción Descripción Orden de prioridad
Permitir Permite que se completen las solicitudes de la categoría seleccionada. Puedes realizar la acción Permitir para permitir de forma explícita las solicitudes de direcciones IP de cliente específicas a pesar de otras acciones que podrían afectar la dirección IP. Por ejemplo, es posible que quieras permitir las solicitudes de una IP de cliente interna o asociada a pesar de que cumplen con un comportamiento “no deseado”. 1
Bloqueo Bloquea solicitudes en la categoría seleccionada. Cuando eliges bloquear las solicitudes por completo, Apigee Edge responde al cliente con un código de estado 403. 2
Marca Marca las solicitudes en la categoría seleccionada para que puedas realizar acciones en ellas dentro del código proxy de la API. Cuando marcas las solicitudes de un cliente, Apigee Edge agrega a la solicitud un encabezado X-SENSE-BOT-DETECTED con un valor de SENSE. Tu proxy de API puede responder según la presencia de este encabezado, como para enviar una respuesta en particular al cliente. 3

Orden de prioridad para las acciones de Apigee Sense

Apigee Sense aplica las acciones en orden de prioridad, desde Permitir bloquear hasta Marcar. Por ejemplo, si una dirección IP determinada tiene habilitadas las acciones Permitir y Bloquear, Apigee Sense aplicará la acción Permitir y omitirá la Bloquear.

Apigee Sense aplica un orden de prioridad porque puedes aplicar múltiples acciones a una dirección IP sin darte cuenta. Eso se debe a que, generalmente, tomas medidas en función de un comportamiento, como bloquear a los adivinadores brutos, que tiene muchas direcciones IP asociadas. Más adelante, cuando realices otra acción en una sola IP (por ejemplo, singularizar una dirección IP amigable que se permita), tanto la acción aplicada por el comportamiento como las acciones aplicadas de la IP única estarán habilitadas para la IP. Sin embargo, solo se aplica la acción con la prioridad más alta a las solicitudes provenientes de una dirección IP determinada.

Por lo tanto, aunque se pueden habilitar acciones de los tres tipos para una dirección IP, la acción Permitir tendrá prioridad sobre una acción Bloquear o Marcar.

Identificar las solicitudes y los clientes en los que debe tomar medidas

En la consola de Apigee Sense, puedes filtrar y agrupar clientes sospechosos por origen y por qué son sospechosos. Una vez que hayas aislado el grupo que deseas, puedes tomar medidas en las IP de ese grupo, como bloquearlo.

Puedes filtrar los clientes sospechosos por las siguientes particiones:

Partición Descripción
Motivo de bot único Indica el motivo por el que una solicitud es sospechosa. Consulta más información sobre los motivos a continuación.
Grupo de motivos del bot Un conjunto de motivos asociados con un solo conjunto de una o más direcciones IP. Por ejemplo, el análisis podría haber identificado cuatro direcciones IP cuyas solicitudes coincidían con los criterios por tres motivos.
País Indica el país de donde proviene la solicitud.
Organización del sistema autónomo Es la organización de AS de donde provino la solicitud.

Motivos

Cuando se analizan las solicitudes a la API, Apigee Sense mide las solicitudes mediante criterios que determinan si el comportamiento de la solicitud es sospechoso. Si las solicitudes provenientes de la IP cumplen con criterios que sugieren un motivo de actividad sospechosa, Apigee Sense informa esto en su consola.

En la siguiente tabla, se describen los motivos por los que las solicitudes se identifican como sospechosas. En el portal, puedes ver la lista de criterios y filtrar los clientes que realizan solicitudes sospechosas por estos motivos.

También puedes personalizar los criterios de acuerdo con las necesidades de tu uso de la API. Para obtener más información, consulta Personaliza las reglas de detección.

Motivo Comportamiento capturado
Brute Guessor Mayor proporción de errores de respuesta durante las 24 horas anteriores
Exceso de la cuota de contenido Solicitudes adicionales después del error 403 debido a que se superó la cuota de contenido
Ladrón de contenido Pocas sesiones de OAuth con un gran volumen de tráfico en un período de 5 minutos
Raspador de contenido Gran cantidad de URI a los que se llama en una ventana de 5 minutos
SO distinto Uso de varias familias de sistemas operativos en un período de 5 minutos
Familia de usuarios-agentes distintos Uso de varias familias de usuarios-agentes en un período de 5 minutos
Flooder Alta proporción de tráfico desde la IP en un período de 5 minutos
Adivinador Gran cantidad de errores de respuesta en un período de 5 minutos
Acceder a Guessor Gran volumen de tráfico a pocos URI en un período de 5 minutos
OAuth Abuser Gran cantidad de sesiones de OAuth con una pequeña cantidad de usuarios-agentes durante las 24 horas anteriores
Recopilador de OAuth Gran cantidad de sesiones de OAuth con una pequeña cantidad de familias de usuarios-agentes durante las últimas 24 horas
Recolector de OAuth Gran cantidad de sesiones de OAuth con tráfico significativo en un período de 5 minutos
Robot Abuser Mayor cantidad de errores de rechazo 403 en las últimas 24 horas
Sesión corta Gran cantidad de sesiones cortas de OAuth
Static Content Scraper Proporción alta de tamaño de la carga útil de respuesta desde la IP en un período de 5 minutos
Storm Pocos aumentos repentinos de tráfico en una ventana de 5 minutos
Tornado Aumentos repentinos constantes en el tráfico en un período de 5 minutos
Regla de lista de Tor La IP se origina en un proyecto TOR y la IP activa al menos otra regla de bot