Podejmowanie działań w związku z podejrzaną aktywnością

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X.
Informacje

Możesz podejmować działania związane z przechwytywaniem podejrzanych żądań, na przykład blokować żądania lub oznaczać je do specjalnej obsługi w serwerach proxy interfejsu API. Możesz też zezwolić na żądania z określonych adresów IP.

Na czym polegają działania

W konsoli Apigee Sense możesz bezpośrednio zezwalać na łączenie, blokować lub oznaczać żądania od określonych klientów. Apigee Edge stosuje te działania do żądań przed przetworzeniem ich przez serwery proxy interfejsu API. Zazwyczaj podejmujesz działania, ponieważ żądania pasują do wzorców niechcianego zachowania lub (w przypadku działania zezwalającego) chcesz wykluczyć klienta z podejmowanych przez Ciebie działań prewencyjnych.

Aby dowiedzieć się, które żądania należy podjąć, skorzystaj z raportu wykrywania (w konsoli Apigee Sense kliknij menu Wykrywanie, a następnie Zgłoś), aby zidentyfikować zachowania związane z żądaniami, które chcesz zablokować lub oznaczyć. Raport o wykrywaniu może np. wskazywać, że w zbiorze żądań występuje brutalne zgadywanie. Możesz zablokować żądania wysyłane z tych adresów IP.

Możesz:

Działanie Opis Kolejność pierwszeństwa
Zezwól Zezwól na kontynuowanie żądań z wybranej kategorii. Możesz wykonać działanie Zezwalaj, aby wyraźnie zezwolić na żądania z określonych adresów IP klientów, niezależnie od innych działań, które mogą mieć wpływ na ten adres. Możesz na przykład zezwolić na żądania z wewnętrznego lub partnera adresu IP klienta, mimo że ich zachowanie jest „niechciane”. 1
Blok Blokuj żądania w wybranej kategorii. Jeśli wybierzesz całkowite blokowanie żądań, Apigee Edge w odpowiedzi wyświetli klientowi kod stanu 403. 2
Flaga Oznaczaj żądania z wybranej kategorii, aby można było podejmować na nich działania w kodzie serwera proxy interfejsu API. Gdy oznaczysz żądania klienta, Apigee Edge doda do żądania nagłówek X-SENSE-BOT-DETECTED o wartości SENSE. Serwer proxy interfejsu API może odpowiadać na podstawie obecności tego nagłówka, na przykład wysłać konkretną odpowiedź do klienta. 3

Kolejność pierwszeństwa dla działań Apigee Sense

Apigee Sense stosuje działania w kolejności od zezwolenia do blokowania. Jeśli na przykład dla danego adresu IP włączono zarówno działanie zezwalające, jak i blokujące, Apigee Sense zignoruje blokadę.

Apigee Sense wymusza kolejność pierwszeństwa, ponieważ do adresu IP można zastosować kilka działań. Dzieje się tak dlatego, że zazwyczaj wykonujesz działania związane z zachowaniem, np. blokujesz brutalne osoby, z którymi jest powiązanych wiele adresów IP. Gdy później podejmujesz inne działanie dotyczące tego samego adresu IP (np. włączasz łatwy adres IP do zezwolenia), włączone są dla niego zarówno działania wykonywane z zachowaniem zachowania, jak i działania z pojedynczym adresem IP. Jednak dla żądań z danego adresu IP wymuszane jest tylko działanie o najwyższym priorytecie.

Mimo że dla adresu IP można włączyć działania wszystkich trzech typów, działanie zezwalające ma pierwszeństwo przed działaniem blokowania lub oznaczenia.

Identyfikacja próśb i klientów do podjęcia działań

W konsoli Apigee Sense możesz filtrować i grupować podejrzanych klientów według pochodzenia i powodu wykrycia. Po odizolowaniu grupy możesz podjąć działania związane z adresami IP z tej grupy, na przykład je zablokować.

Podejrzane klienty możesz filtrować według tych partycji:

Partycja Opis
Powód jednego bota Przyczyna, dla której dane żądanie jest podejrzane. Więcej informacji o przyczynach znajdziesz poniżej.
Grupa przyczyn dotyczących bota Zestaw przyczyn powiązanych z 1 zbiorem co najmniej 1 adresu IP. Na przykład analiza mogła zidentyfikować 4 adresy IP, których żądania spełniały kryteria z 3 powodów.
Kraj Kraj, z którego pochodzi żądanie.
Organizacja systemu autonomicznego Organizacja AS, od której pochodzi żądanie.

Przyczyny

Podczas analizy żądań do interfejsu API Apigee Sense mierzy żądania na podstawie kryteriów, które określają, czy zachowanie żądania jest podejrzane. Jeśli żądania z adresu IP spełniają kryteria sugerujące przyczynę podejrzanej aktywności, Apigee Sense zgłasza to w swojej konsoli.

W tabeli poniżej opisujemy przyczyny, dla których żądania są klasyfikowane jako podejrzane. W portalu możesz wyświetlić listę kryteriów i filtrować klientów wysyłających podejrzane żądania według tych powodów.

Możesz też dostosować kryteria do potrzeb związanych z używaniem interfejsu API. Więcej informacji znajdziesz w artykule Dostosowywanie reguł wykrywania.

Przyczyna Przechwycone zachowanie
Brute Guess większy odsetek błędów odpowiedzi w ciągu ostatnich 24 godzin,
Przekroczono limit treści Dodatkowe żądania po wystąpieniu błędu 403 z powodu przekroczenia limitu treści
Osoba złożona z treści Mało sesji OAuth z dużym ruchem w ciągu 5 minut
Pobieranie treści Duża liczba identyfikatorów URI wywołanych w ciągu 5 minut
Osobny system operacyjny Wiele rodzin systemów operacyjnych w 5-minutowym okresie
Rodzina osobnych klientów użytkownika Wykorzystywanie wielu rodzin klientów użytkownika w 5-minutowym okresie
Zalewa Wysoki odsetek ruchu z adresu IP w ciągu 5 minut
Zgadywanka Duża liczba błędów odpowiedzi w 5-minutowym okresie
zgadywanie logowania Duże natężenie ruchu z niewielu identyfikatorów URI w ciągu 5 minut
Nadużywanie protokołu OAuth Duża liczba sesji OAuth z małą liczbą klientów użytkownika w ciągu ostatnich 24 godzin
Kolektor OAuth Duża liczba sesji OAuth z niewielką liczbą rodzin klientów użytkownika w ciągu ostatnich 24 godzin
Narzędzie do zbierania danych OAuth Duża liczba sesji OAuth z dużym ruchem w ciągu 5 minut
Nadużywanie robotów Większa liczba błędów 403 dotyczących odrzucenia w ciągu ostatnich 24 godzin
Sesja krótka Duża liczba krótkich sesji OAuth
Zgarniacz treści statycznych Wysoki odsetek ładunku odpowiedzi z adresu IP w 5-minutowym okresie
Burza Mało wysokich wzrostów ruchu w ciągu 5 minut
Tornado Regularne wzrosty ruchu w ciągu 5 minut
Reguła listy Tor Adres IP pochodzi z projektu TOR, a adres IP aktywuje co najmniej jedną inną regułę bota