כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של
Apigee X. מידע
אפשר לנקוט פעולה כדי ליירט בקשות חשודות, למשל על ידי חסימת בקשות או על ידי סימון שלהן לטיפול מיוחד דרך שרתי ה-proxy של ה-API. תוכל גם לנקוט פעולה כדי להתיר באופן מפורש בקשות מכתובות IP ספציפיות.
הסבר על פעולות
במסוף של Apigee Sense, אפשר לבצע פעולות כדי לאשר, לחסום או לסמן בקשות מלקוחות ספציפיים באופן מפורש. ב-Apigee Edge מחילים את הפעולות האלה על בקשות לפני ששרתי ה-proxy של ה-API מעבדים אותן. בדרך כלל, תינקטו אחת מהפעולות הבאות כי הבקשות מתאימות לדפוסים של התנהגות לא רצויה או (במקרה של הפעולה'אישור') כי אתם רוצים להחריג לקוח מפעולות אסורות קיימות שנקטתם.
כדי לבדוק על אילו בקשות צריך לנקוט פעולה, משתמשים בדוח הזיהוי (במסוף Apigee Sense, לוחצים על התפריט Detection ואז על 'דיווח') כדי לזהות התנהגויות של בקשות שרוצים לחסום או לסמן. לדוגמה, דוח הזיהוי עשוי להראות שקבוצת בקשות מציגה את ההתנהגות של Brute Guessor. אתם יכולים לנקוט פעולה כדי לחסום בקשות מכתובות ה-IP האלה.
ניתן לבצע את סוגי הפעולות הבאים.
| פעולה | תיאור | סדר קדימות |
|---|---|---|
| אישור | אפשר להמשיך בקשות בקטגוריה שנבחרה. תוכלו לבצע את פעולת ההרשאה כדי להתיר באופן מפורש בקשות מכתובות IP ספציפיות של לקוחות, למרות פעולות אחרות שעשויות להשפיע על כתובת ה-IP. לדוגמה, ייתכן שתרצו להתיר בקשות IP של לקוח פנימי או שותף, למרות שהן פועלות באופן "לא רצוי". | 1 |
| חסימה | חסימת בקשות בקטגוריה שנבחרה. כשבוחרים לחסום בקשות לחלוטין, Apigee Edge מגיב ללקוח עם קוד סטטוס 403. | 2 |
| דגל | סמן בקשות בקטגוריה שנבחרה כדי שתוכל לנקוט פעולה לגביהן בתוך קוד ה-API של שרת ה-API. כשמסמנים בקשות של לקוח, Apigee Edge מוסיפה לבקשה כותרת X-SENSE-BOT-DETECTED עם הערך SENSE. שרת ה-API של ממשק ה-API יכול להגיב על סמך נוכחות הכותרת הזו, למשל לשלוח תגובה ספציפית ללקוח. |
3 |
סדר קדימות לפעולות של Apigee Sense
האפליקציה Apigee Sense מחילה את הפעולות לפי סדר קדימות, החל מ-Allow to block (אישור) כדי לחסום את Tags (סימון). לדוגמה, אם כתובת IP נתונה מיישמת גם פעולת אישור וגם פעולת חסימה, Apigee Sense מחיל את הפעולה Allow ותתעלם מפעולת החסימה.
אפליקציית Apigee Sense אוכפת סדר קדימות כי אפשר להחיל מספר פעולות על כתובת IP בלי להיות מודעים אליה. הסיבה לכך היא שבדרך כלל אתם נוקטים פעולות בהתאם להתנהגות מסוימת (לדוגמה: לחסום מנחשים גסים) שיש לה כתובות IP רבות שמשויכות אליה. לאחר מכן, אם תבצעו פעולה נוספת בכתובת IP מסוימת, למשל על ידי בחירת כתובת IP ידידותית שאתם רוצים לאפשר, המערכת תפעיל עבור כתובת ה-IP גם את הפעולה החלה על התנהגות וגם את הפעולה הבודדת שהוחלה על כתובת IP. עם זאת, רק הפעולה בעלת העדיפות הגבוהה ביותר נאכפת עבור בקשות מכתובת IP נתונה.
לכן, למרות שניתן להפעיל פעולות מכל שלושת הסוגים עבור כתובת IP, הפעולה Allow תקבל עדיפות על פני פעולות חסימה או סימון.
זיהוי בקשות ולקוחות לנקיטת פעולה
במסוף Apigee Sense, אפשר לסנן ולקבץ לקוחות חשודים לפי המקור שלהם והסיבה שבגללה הם חשודים. אחרי שתבודד את הקבוצה הרצויה, תוכל לבצע פעולות לגבי כתובות ה-IP שבקבוצה, למשל לחסום אותן.
תוכל לסנן לקוחות חשודים לפי המחיצות הבאות:
| מחיצה | תיאור |
|---|---|
| הסיבה לבוט היחיד | הסיבה לבקשה חשודה. מידע נוסף על הסיבות מופיע בהמשך. |
| קבוצת הסיבות לשימוש בבוטים | קבוצת סיבות המשויכות לקבוצה מסוימת של כתובת IP אחת או יותר. לדוגמה, ייתכן שהניתוח זיהה ארבע כתובות IP שהבקשות שלהן תאמו לקריטריונים, משלוש סיבות. |
| מדינה | המדינה שממנה נשלחה הבקשה. |
| ארגון מערכת אוטונומית | ארגון ה-AS שממנו הגיעה הבקשה. |
סיבות
במהלך ניתוח של בקשות API, ב-Apigee Sense מודדים את הבקשות באמצעות קריטריונים שקובעים אם התנהגות הבקשות היא חשודה. אם בקשות מכתובת ה-IP עומדות בקריטריונים שמעידים על סיבה לפעילות חשודה, Apigee Sense מדווח על כך במסוף שלה.
בטבלה הבאה מפורטות הסיבות שבקשות מזוהות כחשודות. בפורטל ניתן לראות את רשימת הקריטריונים ולסנן לקוחות ששולחים בקשות חשודות לפי הסיבות האלה.
תוכלו גם להתאים אישית את הקריטריונים בהתאם לצרכים של השימוש שלכם ב-API. למידע נוסף, אפשר לעיין בהתאמה אישית של כללי הזיהוי.
| הסיבה | ההתנהגות מתועדת |
|---|---|
| נחש ברוטה | שיעור גדול יותר של שגיאות תגובה במהלך 24 השעות האחרונות |
| חריגה ממכסת התוכן | בקשות נוספות אחרי שגיאה 403 עקב חריגה ממכסת התוכן |
| שודד תוכן | מעט סשנים של OAuth עם נפח תנועה גדול בחלון של 5 דקות |
| גירוד תוכן | התקשרות למספר גדול של מזהי URI בחלון של 5 דקות |
| מערכת הפעלה ייחודית | שימוש בכמה קבוצות של מערכות הפעלה בחלון של 5 דקות |
| קבוצה של סוכני משתמש ייחודיים | שימוש בכמה משפחות של סוכני משתמש בחלון של 5 דקות |
| שיטפון | שיעור גבוה של תנועה שמגיעה מכתובת IP בתוך חלון של 5 דקות |
| מנחש | מספר גדול של שגיאות תגובה בחלון של 5 דקות |
| ניחושים להתחברות | נפח תנועה גדול לכמה מזהי URI בחלון של 5 דקות |
| משתמש לרעה ב-OAuth | מספר רב של סשנים ב-OAuth עם מספר קטן של סוכני משתמש במהלך 24 השעות האחרונות |
| אספן OAuth | מספר גבוה של סשנים של OAuth עם מספר קטן של משפחות של סוכני משתמש במהלך 24 השעות האחרונות |
| מאגר OAuth | מספר רב של סשנים מסוג OAuth עם נפח תנועה משמעותי בפרק זמן של 5 דקות |
| ניצול לרעה של רובוטים | מספר גדול יותר של שגיאות דחייה מסוג 403 ב-24 השעות האחרונות |
| סשן קצר | מספר גבוה של סשנים קצרים של OAuth |
| גירוד תוכן סטטי | יחס גבוה מגודל המטען הייעודי (payload) של תגובה מ-IP בתוך חלון של 5 דקות |
| סערה | מעט עליות חדות בנפח התנועה בחלון של 5 דקות |
| טורנדו | עליות חדות בנפח התנועה בחלון של 5 דקות |
| כלל של רשימת Tor | כתובת ה-IP מגיעה מפרויקט TOR, וכתובת ה-IP מפעילה לפחות כלל בוט אחד נוסף |