概述
当您在已有的 Bot 管理策略基础上,需要针对特定 Bot 行为或特征定制精细化策略时,自定义 Bot 规则可以为您提供灵活的匹配条件(例如:客户端 IP、头部信息、请求方法、静态特征识别和客户端画像分析结果等),同时可结合按权重随机选择处置动作的处置策略,帮助您创建精确的管理策略,有效管理 Bot 访问站点带来的风险。
说明:
自定义 Bot 规则支持按权重随机配置多个处置动作。例如,您可以将 25% 的请求配置为观察,25% 的请求配置为拦截,25% 的请求配置为放行,25% 的请求配置为托管挑战。这种方式可以混淆 Bot 工具对 Bot 效果的认知,同时也有助于在灰度测试阶段减少风险。
场景一:敏感 API 接口的 Bot 请求突增时,通过静默处理规避
示例场景
在 Web 安全分析中,发现大量突增请求访问登录接口,经过检视非正常客户端,请求主要来自 222.22.22.0/24 网段中多个代理客户端,大量尝试使用多种类型客户端登录账号。为了紧急规避业务风险,同时消耗恶意工具资源,可通过静默处置相关来源的请求(保持客户端 TCP 连接,但不再响应 HTTP 请求)。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Bot 管理,进入 Bot 管理详情页面。
3. 在自定义 Bot 规则卡片中,单击设置,进入配置页面。
4. 单击添加规则,以示例场景为例,可参照如下步骤配置:
4.1 填写规则名称后,添加匹配条件为客户端 IP 匹配 222.22.22.0/24 网段且 User-Agent 包含 cURL。
4.2 在执行动作中,处置方式选择为静默处理。配置后规则如下所示。
?
5. 单击确定,即可完成规则配置并下发。
场景二:对登录页面启用多种处置方式组合的 Bot 管理策略,减少账号盗用(ATO:Account-Take-Over)风险
示例场景
为了管控账号盗用风险,避免批量登录方式盗用账号,业务需针对访问登录页面进行人机校验同时尽可能保障用户体验,可针对客户端画像分析结果为 客户端画像分析(包括使用撞库等方式的账号盗用手段)的客户端进行管控处理:对一定比例登录页面访问进行人机校验,对于另一部分请求增加短时间等待,以确保工具进行批量登录尝试时,会在一定次数尝试后触发人机挑战,并且通过短时间等待避免工具进行高频尝试。
操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击安全防护 > Bot 管理,进入 Bot 管理详情页面。
3. 在自定义 Bot 规则卡片中,单击设置,进入配置页面。
4. 单击添加规则,以示例场景为例,可参照如下步骤配置:
4.1 填写规则名称后,添加匹配条件为请求客户端画像等于账号接管攻击-较高置信度。
4.2 在执行动作中,处置方式先选择为托管挑战,然后点击新增处置方式,添加处置方式为(短时间)等待后响应。设置托管挑战权重为20%,(短时间)等待后响应权重为80%。配置后规则如下。
?
5. 单击确定,即可完成规则配置并下发。
