コンテンツにスキップ

ボット活動の解析

API Abuse Prevention はMLアルゴリズムに基づいて悪意のあるボット活動を識別します。このような攻撃は、単一のブロックされたリクエストだけでは解析できません。したがって、Wallarmプラットフォームがボット活動を様々な角度から調査するための幅広いツールを提供することが不可欠です。

API不正利用ダッシュボード

API Abuse Prevention は直感的に、直近30日間のボット活動データを API Abuse Prevention セクション → Statistics タブで視覚化します。タイムライン図を使用すれば、ボット活動の急増を容易に特定できます。さらに、Top AttackersTop Targets ウィジェットにより、最も活発なボットや最も攻撃されたAPIおよびアプリケーションを判断できます。ダッシュボード上の要素を1クリックするだけで、Attacks タブに詳細調査へ進むことが可能です。

また、下部の Behavioral patterns ではボットの挙動を分析できます。各検知器の詳細情報や、ボットの挙動判定においてどのように連携したかを確認できます。このウィジェットと右上のdeny- or graylisted IPのカウンターは、IP Lists history へリンクしており、ボットのIPがブロックリストに登録された日時や期間を確認できます。

API不正利用防止の統計

ボット活動が検出されなかった場合、Legitimate traffic 状態が表示されます:

API不正利用防止の統計 - ボット検出なし

ボット検出はトラフィックに依存しているため、十分な量のトラフィックがない場合、API Abuse Prevention は Insufficient data to build statistics というメッセージで通知します。各プロファイルのトラフィックは Profiles タブで確認できます。

Attacks

Wallarm Console の Attacks セクションで、ボットによって実行された攻撃を調査できます。api_abuseaccount_takeoverscrapingsecurity_crawlers の検索キーを使用するか、Type フィルターから適切なオプションを選択してください。

API不正利用イベント

API Abuse Prevention によりボットIPがdenylistに登録された場合でも、デフォルトではWallarmはそのIPから発信されたブロックされたリクエストの統計を表示します。

Detector値

トリガーされたdetectorsと、それらの値が示す通常の挙動からの逸脱度にご留意ください。上記の図では、例えば通常が < 10 であるところにQuery abuse326、通常が > 1 であるところにRequest interval0.05 と表示されております。

Heatmaps

ボット情報は3種類のヒートマップで視覚化されます。すべてのヒートマップにおいて、バブルが大きいほど赤に近く、右上隅に位置するほど、そのIPをボットと判断すべき理由が多いことを示しています。

ヒートマップ上では、現在のボット(this bot)と過去24時間以内に同じアプリケーションを攻撃した他のボットとも比較できます。ボット数が多い場合は、最も疑わしい30件のみが表示されます。

ヒートマップ:

  • Performance は、現在およびその他の検出されたボットのパフォーマンスを、リクエストの非一意性、スケジュールされたリクエスト、RPS、リクエスト間隔などとともに視覚化します。

  • Behavior は、現在およびその他の検出されたボットの疑わしい行動スコアを、疑わしさの度合い、重要または敏感なエンドポイントへのリクエスト数、RPS、ボット検知器の検出数などとともに視覚化します。

  • HTTP errors は、ボット活動によって引き起こされたAPIエラーを、対象エンドポイント数、不安全なリクエスト数、RPS、受信エラー応答コード数とともに視覚化します.

API Sessionsを使用したAPI不正利用検出の精度検証

Once the malicious bot activity is detected by Wallarm's API Abuse Prevention and displayed in the Attacks section, you have an ability to know the full context of this attack's requests: to which user session they belong and what the full sequence of requests in this session is. This allows investigating all activity of the actor to verify whether the decision to mark this actor as malicious bot was correct.

To perform this analysis, in Wallarm Console → Attacks, access the bot attack details, then click Explore in API Sessions. Wallarm will open the API Session section filtered: the session(s) related to this bot activities will be displayed.

!API Sessions section - monitored sessions