Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Puoi intervenire per intercettare le richieste sospette, ad esempio bloccando le richieste o segnalandole per una gestione speciale all'interno dei tuoi proxy API. Puoi anche prendere provvedimenti per consentire espressamente le richieste provenienti da indirizzi IP specifici.
Come funzionano le azioni
Nella console Apigee Sense, puoi intervenire per consentire, bloccare o segnalare esplicitamente le richieste provenienti da client specifici. Apigee Edge applica queste azioni alle richieste prima che i proxy API le elaborino. In genere, prendi provvedimenti perché le richieste sono conformi a pattern di comportamenti indesiderati o (nel caso dell'azione Consenti) perché vuoi escludere un client dalle azioni proibitive già intraprese.
Per scoprire su quali richieste intervenire, utilizza il report di rilevamento (nella console Apigee Sense, fai clic sul menu Rilevamento, quindi su Report) per identificare i comportamenti delle richieste da bloccare o segnalare. Ad esempio, nel report sul rilevamento potrebbe essere mostrato che un insieme di richieste presenta il comportamento Brute Guessor. Puoi intervenire per bloccare le richieste provenienti da questi indirizzi IP.
Puoi eseguire i seguenti tipi di azioni.
| Azione | Descrizione | Ordine di precedenza |
|---|---|---|
| Consenti | Consenti le richieste nella categoria selezionata per continuare. Puoi eseguire l'azione Consenti per consentire esplicitamente le richieste da indirizzi IP client specifici, nonostante altre azioni che potrebbero influire sull'indirizzo IP. Ad esempio, potresti voler consentire le richieste IP di un client interno o partner, nonostante siano conformi a un comportamento "indesiderato". | 1 |
| Blocca | Blocca le richieste nella categoria selezionata. Quando scegli di bloccare completamente le richieste, Apigee Edge risponde al client con un codice di stato 403. | 2 |
| Bandiera | Contrassegna le richieste nella categoria selezionata in modo da poter intervenire in merito all'interno del codice proxy API. Quando segnali le richieste di un client, Apigee Edge aggiunge alla richiesta un'intestazione X-SENSE-BOT-DETECTED con valore SENSE. Il tuo proxy API può rispondere in base alla presenza di questa intestazione, ad esempio per inviare una risposta specifica al client. |
3 |
Ordine di precedenza per le azioni Apigee Sense
Apigee Sense applica le azioni in ordine di precedenza, da Consenti a Blocca a Segnala. Ad esempio, se per un determinato indirizzo IP sono abilitate sia un'azione Consenti che un'azione Blocca, Apigee Sense applicherà l'azione Consenti e ignorerà l'azione Blocca.
Apigee Sense applica un ordine di precedenza perché puoi applicare più azioni a un indirizzo IP senza rendersene conto. Questo perché solitamente intraprendi azioni su un comportamento, ad esempio bloccare gli utenti malintenzionati, a cui sono associati molti indirizzi IP. Se in un secondo momento esegui un'altra azione su un singolo IP, ad esempio identificando un indirizzo IP semplice per consentire l'esecuzione, sia l'azione basata sul comportamento sia le singole azioni applicate dall'IP vengono attivate per l'IP. Tuttavia, solo l'azione con la precedenza più alta viene applicata alle richieste provenienti da un determinato indirizzo IP.
Pertanto, anche se per un indirizzo IP possono essere attivate azioni di tutti e tre i tipi, l'azione Consenti ha la precedenza su un'azione Blocca o Segnala.
Identificare le richieste e i clienti in base ai quali intervenire
Nella console Apigee Sense, puoi filtrare e raggruppare i client sospetti in base all'origine e al motivo per cui sono sospetti. Una volta isolato il gruppo desiderato, puoi intervenire sugli IP di quel gruppo, ad esempio bloccarli.
Puoi filtrare i client sospetti in base alle seguenti partizioni:
| Partizione | Descrizione |
|---|---|
| Motivo singolo bot | Il motivo per cui una richiesta è sospetta. Scopri di più sui motivi di seguito. |
| Gruppo motivi bot | Un insieme di motivi associati a un singolo insieme di uno o più indirizzi IP. Ad esempio, l'analisi potrebbe aver identificato quattro indirizzi IP le cui richieste corrispondevano ai criteri per tre motivi. |
| Paese | Il paese da cui ha avuto origine la richiesta. |
| Organizzazione del sistema autonomo | L'organizzazione AS da cui proviene la richiesta. |
Motivi
Quando analizza le richieste API, Apigee Sense misura le richieste utilizzando criteri che determinano se il comportamento della richiesta è sospetto. Se le richieste dall'IP soddisfano i criteri che suggeriscono un motivo per attività sospette, Apigee Sense lo segnala nella console.
La tabella seguente descrive i motivi per cui le richieste sono identificate come sospette. Nel portale puoi vedere l'elenco dei criteri e filtrare i clienti che presentano richieste sospette in base a questi motivi.
Puoi anche personalizzare i criteri in base alle esigenze dell'utilizzo dell'API. Per scoprire di più, vedi Personalizzazione delle regole di rilevamento.
| Motivo | Comportamento acquisito |
|---|---|
| Guessor bruta | Maggiore quantità di errori di risposta nelle 24 ore precedenti |
| Supervisore quota contenuti | Richieste aggiuntive dopo l'errore 403 a causa del superamento della quota di contenuti |
| Rapinatore di contenuti | Poche sessioni OAuth con volume elevato di traffico in un periodo di 5 minuti |
| Raschietto per i contenuti | Numero elevato di URI richiamati in una finestra di 5 minuti |
| Sistema operativo distinto | Più famiglie di sistemi operativi utilizzate in un intervallo di 5 minuti |
| Famiglia di user agent distinta | Più famiglie di user agent utilizzate in un periodo di 5 minuti |
| Inondazione | Percentuale elevata di traffico da IP in una finestra di 5 minuti |
| Guessor | Numero elevato di errori di risposta in un periodo di 5 minuti |
| Guessor dell'accesso | Volume elevato di traffico verso pochi URI in un periodo di 5 minuti |
| Abuso OAuth | Numero elevato di sessioni OAuth con un numero ridotto di user agent nelle 24 ore precedenti |
| Raccoglitore OAuth | Numero elevato di sessioni OAuth con un numero ridotto di famiglie di user agent nelle 24 ore precedenti |
| OAuth Harvestor | Numero elevato di sessioni OAuth con traffico significativo in un periodo di 5 minuti |
| Abuso di robot | Maggior numero di errori di rifiuto 403 nelle ultime 24 ore |
| Sessione breve | Numero elevato di sessioni OAuth brevi |
| Raschietto per contenuti statici | Percentuale elevata di dimensioni del payload di risposta da IP in una finestra di 5 minuti |
| Storm | Pochi picchi di traffico in un periodo di 5 minuti |
| Tromba d'aria | Picchi di traffico costanti in un periodo di 5 minuti |
| Regola dell'elenco tor | L'IP ha origine da un progetto TOR e l'IP attiva almeno un'altra regola bot |