ดําเนินการกับกิจกรรมที่น่าสงสัย

คุณกําลังดูเอกสาร Apigee Edge
ดูเอกสารประกอบเกี่ยวกับ Apigee X

คุณสามารถสกัดกั้นคําขอที่น่าสงสัย เช่น บล็อกคําขอ หรือรายงานคําขอเพื่อรับการจัดการพิเศษภายในพร็อกซี API ได้ นอกจากนี้คุณยังดําเนินการอนุญาตคําขอที่ชัดเจนจากที่อยู่ IP ที่เฉพาะเจาะจงได้อีกด้วย

วิธีการทำงานของการกระทำ

ในคอนโซล Apigee Sense คุณสามารถดําเนินการเพื่ออนุญาต บล็อก หรือแจ้งคําขออย่างชัดแจ้งจากลูกค้าบางรายได้ Apigee Edge จะนําการดําเนินการเหล่านี้ไปใช้กับคําขอก่อนที่พร็อกซี API จะประมวลผลคําขอเหล่านั้น โดยทั่วไป คุณจะดําเนินการอย่างใดอย่างหนึ่งเนื่องจากคําขอนั้นเป็นไปตามรูปแบบของพฤติกรรมที่ไม่พึงประสงค์ หรือ (ในกรณีของการดําเนินการอนุญาต) เนื่องจากคุณต้องการยกเว้นไคลเอ็นต์จากการดําเนินการห้ามที่มีอยู่

หากต้องการทราบว่าคําขอใดจะดําเนินการ ให้ใช้รายงานการตรวจจับ (ในคอนโซล Apigee Sense ให้คลิกเมนู "การตรวจจับ" แล้วคลิก "รายงาน") เพื่อระบุลักษณะการทํางานของคําขอที่คุณต้องการบล็อกหรือแจ้งว่าไม่เหมาะสม ตัวอย่างเช่น รายงานการตรวจจับอาจแสดงรายการชุดคําขอที่แสดงลักษณะการทํางานของ Brute Guessor คุณสามารถดําเนินการเพื่อบล็อกคําขอจากที่อยู่ IP เหล่านั้นได้

ประเภทการดําเนินการที่คุณทําได้มีดังนี้

การดำเนินการ คำอธิบาย ลําดับความสําคัญ
อนุญาต อนุญาตให้ส่งคําขอในหมวดหมู่ที่เลือกเพื่อดําเนินการต่อ คุณอาจดําเนินการอนุญาตเพื่ออนุญาตคําขอจากที่อยู่ IP ของไคลเอ็นต์ที่ระบุอย่างชัดเจน แม้ว่าจะมีการดําเนินการอื่นที่อาจส่งผลต่อที่อยู่ IP ตัวอย่างเช่น คุณอาจต้องการอนุญาตคําขอของ IP ลูกค้าภายในหรือพาร์ทเนอร์ แม้ว่าคําขอเหล่านั้นจะมีลักษณะการทํางาน "ที่ไม่ต้องการ" ก็ตาม 1
บล็อก บล็อกคําขอในหมวดหมู่ที่เลือก เมื่อคุณเลือกที่จะบล็อกคําขอทั้งหมด Apigee Edge จะตอบสนองไคลเอ็นต์ด้วยรหัสสถานะ 403 2
ธง ติดธงทําเครื่องหมายคําขอในหมวดหมู่ที่เลือกเพื่อให้คุณดําเนินการกับคําขอเหล่านั้นภายในพร็อกซี API ได้ เมื่อคุณแจ้งคําขอของลูกค้า Apigee Edge จะเพิ่มส่วนหัว X-SENSE-BOT-DETECTED ที่มีค่า SENSE ลงในคําขอ พร็อกซี API ของคุณสามารถตอบกลับตามการปรากฏของส่วนหัวนี้ได้ เช่น เพื่อส่งการตอบกลับไปยังไคลเอ็นต์ 3

ลําดับความสําคัญของการดําเนินการสําหรับ Apigee Sense

Apigee Sense จะใช้การทํางานโดยเรียงตามลําดับความสําคัญ จาก Allow to Block ไปจนถึง Flag ตัวอย่างเช่น ถ้าที่อยู่ IP หนึ่งมีการเปิดใช้งานทั้งการอนุญาตและการบล็อกไว้ Apigee Sense จะใช้การทํางาน Allow และเพิกเฉยต่อการดําเนินการบล็อก

Apigee Sense บังคับใช้ลําดับสําคัญเนื่องจากคุณจะใช้การดําเนินการหลายรายการกับที่อยู่ IP ได้โดยที่ไม่รู้ตัว นั่นเป็นเพราะว่าคุณมักจะดําเนินการในพฤติกรรม เช่น เพื่อบล็อกตัวคาดเดาที่ไม่ค่อยมีที่อยู่ IP เชื่อมโยงอยู่ เมื่อคุณดําเนินการอื่นๆ ในภายหลังบน IP เดียว เช่น ด้วยการใช้ที่อยู่ IP ที่ยอมให้ใช้งาน ทั้งการดําเนินการที่ใช้พฤติกรรมและการดําเนินการที่ใช้ IP เดี่ยวจะเปิดใช้งานสําหรับ IP นั้น แต่จะยังบังคับใช้การดําเนินการที่มีลําดับความสําคัญสูงสุดสําหรับคําขอจากที่อยู่ IP ที่ระบุเท่านั้น

ดังนั้น แม้จะสามารถเปิดใช้การทํางานของทั้ง 3 ประเภทให้กับที่อยู่ IP ได้ แต่การดําเนินการ "อนุญาต" จะมีลําดับความสําคัญเหนือกว่าการบล็อกหรือการตั้งค่าสถานะ

การระบุคําขอและไคลเอ็นต์สําหรับการดําเนินการ

ในคอนโซล Apigee Sense คุณจะกรองและจัดกลุ่มไคลเอ็นต์ที่น่าสงสัยตามต้นทางและสาเหตุที่น่าสงสัยได้ เมื่อแยกกลุ่มที่ต้องการแล้ว คุณสามารถดําเนินการกับ IP ในกลุ่มนั้นได้ เช่น เพื่อบล็อก IP

คุณกรองลูกค้าที่น่าสงสัยได้โดยใช้พาร์ติชันต่อไปนี้

พาร์ติชัน คำอธิบาย
เหตุผลของบ็อตรายการเดียว เหตุผลที่คําขอน่าสงสัย ดูเหตุผลเพิ่มเติมด้านล่าง
กลุ่มเหตุผลของบ็อต ชุดของเหตุผลที่เชื่อมโยงกับชุดของที่อยู่ IP อย่างน้อย 1 รายการ ตัวอย่างเช่น การวิเคราะห์อาจระบุที่อยู่ IP จํานวนสี่รายการ ซึ่งคําขอตรงกับเกณฑ์ของเหตุผล 3 ข้อ
ประเทศ ประเทศที่เกิดคําขอ
องค์กรที่ใช้ระบบอัตโนมัติ องค์กร AS ที่เป็นต้นทางของคําขอ

เหตุผล

เมื่อวิเคราะห์คําขอ API Apigee Sense จะวัดคําขอโดยใช้เกณฑ์ที่ตัดสินว่าพฤติกรรมคําขอน่าสงสัยหรือไม่ หากคําขอจาก IP ตรงกับเกณฑ์ที่แนะนําเหตุผลในการมีกิจกรรมที่น่าสงสัย Apigee Sense จะรายงานเรื่องนี้ในคอนโซล

ตารางต่อไปนี้จะอธิบายสาเหตุที่คําขอถูกระบุว่าน่าสงสัย ในพอร์ทัล คุณสามารถดูรายการเกณฑ์และกรองไคลเอ็นต์ที่ส่งคําขอที่น่าสงสัยได้ด้วยสาเหตุเหล่านี้

นอกจากนี้คุณยังสามารถปรับแต่งเกณฑ์ตามความต้องการของการใช้ API ของคุณได้อีกด้วย สําหรับข้อมูลเพิ่มเติม โปรดดูที่การปรับแต่งกฎการตรวจหา

เหตุผล บันทึกพฤติกรรมแล้ว
Brute Guessor ข้อผิดพลาดจํานวนมากในการตอบสนองในช่วง 24 ชั่วโมงที่ผ่านมา
เกินโควต้าเนื้อหา คําขอเพิ่มเติมหลังจากข้อผิดพลาด 403 เนื่องจากมีเนื้อหาเกินโควต้า
เนื้อหา เซสชัน OAuth ที่มีปริมาณการเข้าชมจํานวนมากในหน้าต่าง 5 นาที
ผู้ทําลายเนื้อหา URI จํานวนมากถูกเรียกในหน้าต่าง 5 นาที
ระบบปฏิบัติการที่แตกต่าง ตระกูลระบบปฏิบัติการหลายตระกูลที่ใช้ในกรอบเวลา 5 นาที
กลุ่ม User Agent ที่ไม่ซ้ํากัน ตระกูล User Agent หลายตัวที่ใช้ในกรอบเวลา 5 นาที
น้ําท่วม การเข้าชมจํานวนมากจาก IP ในหน้าต่าง 5 นาที
ผู้เดา เกิดข้อผิดพลาดในการตอบกลับจํานวนมากในหน้าต่าง 5 นาที
คําถามในการเข้าสู่ระบบ มีการเข้าชม URI น้อยในช่วงเวลา 5 นาที
ผู้ใช้ OAuth จํานวนเซสชัน OAuth จํานวนมากที่มี User Agent จํานวนเล็กน้อยในช่วง 24 ชั่วโมงที่ผ่านมา
ผู้รวบรวม OAuth เซสชัน OAuth จํานวนมากที่มีประเภท User Agent จํานวนน้อยในช่วง 24 ชั่วโมงที่ผ่านมา
ผู้เก็บเกี่ยว OAuth จํานวนเซสชัน OAuth ที่มีการเข้าชมจํานวนมากในหน้าต่าง 5 นาที
ผู้ใช้โรบอต ข้อผิดพลาดการปฏิเสธ 403 จํานวนมากในช่วง 24 ชั่วโมงที่ผ่านมา
เซสชันสั้นๆ จํานวนเซสชัน OAuth สั้นๆ จํานวนมาก
ผู้ทําลายเนื้อหาแบบคงที่ สัดส่วนสูงของขนาดเปย์โหลดการตอบกลับจาก IP ในช่วงเวลา 5 นาที
พายุ การเข้าชมพุ่งสูงขึ้นเล็กน้อยในช่วงเวลา 5 นาที
ทอร์นาโด การเข้าชมที่เพิ่มขึ้นอย่างต่อเนื่องอย่างสม่ําเสมอในหน้าต่าง 5 นาที
กฎรายการ Tor IP มาจากโครงการ TOR