Prendere provvedimenti in merito ad attività sospette

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
informazioni

Puoi intervenire per intercettare le richieste sospette, ad esempio bloccando le richieste o segnalandole per una gestione speciale all'interno dei tuoi proxy API. Puoi anche prendere provvedimenti per consentire espressamente le richieste provenienti da indirizzi IP specifici.

Come funzionano le azioni

Nella console Apigee Sense, puoi intervenire per consentire, bloccare o segnalare esplicitamente le richieste provenienti da client specifici. Apigee Edge applica queste azioni alle richieste prima che i proxy API le elaborino. In genere, prendi provvedimenti perché le richieste sono conformi a pattern di comportamenti indesiderati o (nel caso dell'azione Consenti) perché vuoi escludere un client dalle azioni proibitive già intraprese.

Per scoprire su quali richieste intervenire, utilizza il report di rilevamento (nella console Apigee Sense, fai clic sul menu Rilevamento, quindi su Report) per identificare i comportamenti delle richieste da bloccare o segnalare. Ad esempio, nel report sul rilevamento potrebbe essere mostrato che un insieme di richieste presenta il comportamento Brute Guessor. Puoi intervenire per bloccare le richieste provenienti da questi indirizzi IP.

Puoi eseguire i seguenti tipi di azioni.

Azione Descrizione Ordine di precedenza
Consenti Consenti le richieste nella categoria selezionata per continuare. Puoi eseguire l'azione Consenti per consentire esplicitamente le richieste da indirizzi IP client specifici, nonostante altre azioni che potrebbero influire sull'indirizzo IP. Ad esempio, potresti voler consentire le richieste IP di un client interno o partner, nonostante siano conformi a un comportamento "indesiderato". 1
Blocca Blocca le richieste nella categoria selezionata. Quando scegli di bloccare completamente le richieste, Apigee Edge risponde al client con un codice di stato 403. 2
Bandiera Contrassegna le richieste nella categoria selezionata in modo da poter intervenire in merito all'interno del codice proxy API. Quando segnali le richieste di un client, Apigee Edge aggiunge alla richiesta un'intestazione X-SENSE-BOT-DETECTED con valore SENSE. Il tuo proxy API può rispondere in base alla presenza di questa intestazione, ad esempio per inviare una risposta specifica al client. 3

Ordine di precedenza per le azioni Apigee Sense

Apigee Sense applica le azioni in ordine di precedenza, da Consenti a Blocca a Segnala. Ad esempio, se per un determinato indirizzo IP sono abilitate sia un'azione Consenti che un'azione Blocca, Apigee Sense applicherà l'azione Consenti e ignorerà l'azione Blocca.

Apigee Sense applica un ordine di precedenza perché puoi applicare più azioni a un indirizzo IP senza rendersene conto. Questo perché solitamente intraprendi azioni su un comportamento, ad esempio bloccare gli utenti malintenzionati, a cui sono associati molti indirizzi IP. Se in un secondo momento esegui un'altra azione su un singolo IP, ad esempio identificando un indirizzo IP semplice per consentire l'esecuzione, sia l'azione basata sul comportamento sia le singole azioni applicate dall'IP vengono attivate per l'IP. Tuttavia, solo l'azione con la precedenza più alta viene applicata alle richieste provenienti da un determinato indirizzo IP.

Pertanto, anche se per un indirizzo IP possono essere attivate azioni di tutti e tre i tipi, l'azione Consenti ha la precedenza su un'azione Blocca o Segnala.

Identificare le richieste e i clienti in base ai quali intervenire

Nella console Apigee Sense, puoi filtrare e raggruppare i client sospetti in base all'origine e al motivo per cui sono sospetti. Una volta isolato il gruppo desiderato, puoi intervenire sugli IP di quel gruppo, ad esempio bloccarli.

Puoi filtrare i client sospetti in base alle seguenti partizioni:

Partizione Descrizione
Motivo singolo bot Il motivo per cui una richiesta è sospetta. Scopri di più sui motivi di seguito.
Gruppo motivi bot Un insieme di motivi associati a un singolo insieme di uno o più indirizzi IP. Ad esempio, l'analisi potrebbe aver identificato quattro indirizzi IP le cui richieste corrispondevano ai criteri per tre motivi.
Paese Il paese da cui ha avuto origine la richiesta.
Organizzazione del sistema autonomo L'organizzazione AS da cui proviene la richiesta.

Motivi

Quando analizza le richieste API, Apigee Sense misura le richieste utilizzando criteri che determinano se il comportamento della richiesta è sospetto. Se le richieste dall'IP soddisfano i criteri che suggeriscono un motivo per attività sospette, Apigee Sense lo segnala nella console.

La tabella seguente descrive i motivi per cui le richieste sono identificate come sospette. Nel portale puoi vedere l'elenco dei criteri e filtrare i clienti che presentano richieste sospette in base a questi motivi.

Puoi anche personalizzare i criteri in base alle esigenze dell'utilizzo dell'API. Per scoprire di più, vedi Personalizzazione delle regole di rilevamento.

Motivo Comportamento acquisito
Guessor bruta Maggiore quantità di errori di risposta nelle 24 ore precedenti
Supervisore quota contenuti Richieste aggiuntive dopo l'errore 403 a causa del superamento della quota di contenuti
Rapinatore di contenuti Poche sessioni OAuth con volume elevato di traffico in un periodo di 5 minuti
Raschietto per i contenuti Numero elevato di URI richiamati in una finestra di 5 minuti
Sistema operativo distinto Più famiglie di sistemi operativi utilizzate in un intervallo di 5 minuti
Famiglia di user agent distinta Più famiglie di user agent utilizzate in un periodo di 5 minuti
Inondazione Percentuale elevata di traffico da IP in una finestra di 5 minuti
Guessor Numero elevato di errori di risposta in un periodo di 5 minuti
Guessor dell'accesso Volume elevato di traffico verso pochi URI in un periodo di 5 minuti
Abuso OAuth Numero elevato di sessioni OAuth con un numero ridotto di user agent nelle 24 ore precedenti
Raccoglitore OAuth Numero elevato di sessioni OAuth con un numero ridotto di famiglie di user agent nelle 24 ore precedenti
OAuth Harvestor Numero elevato di sessioni OAuth con traffico significativo in un periodo di 5 minuti
Abuso di robot Maggior numero di errori di rifiuto 403 nelle ultime 24 ore
Sessione breve Numero elevato di sessioni OAuth brevi
Raschietto per contenuti statici Percentuale elevata di dimensioni del payload di risposta da IP in una finestra di 5 minuti
Storm Pochi picchi di traffico in un periodo di 5 minuti
Tromba d'aria Picchi di traffico costanti in un periodo di 5 minuti
Regola dell'elenco tor L'IP ha origine da un progetto TOR e l'IP attiva almeno un'altra regola bot