Il rilevamento delle anomalie analizza il traffico verso il vostro dominio alla ricerca di sessioni (token) che rappresentano un comportamento anomalo. Questo può aiutare a identificare i comportamenti anomali derivanti da:
- Bot
- Utenti umani che tentano di giocare con la coda o con il vostro sito web
- Le sessioni che si impegnano in un comportamento collaborativo, come la condivisione di token tra gli utenti
- I servizi software legittimi vengono bloccati nelle code
I nostri algoritmi di rilevamento delle anomalie utilizzano l'analisi statistica per analizzare il traffico in tempo reale, utilizzando una serie di metriche tra cui:
- Varietà di URL richiesti e tendenza verso URL di interesse per i bot
- Velocità delle richieste
- Indirizzi IP, lingua e stringhe di agenti associati ai token
- Conteggio dei token provenienti da IP associati
- Età della sessione
- Geolocalizzazione
- Anomalie delle stringhe degli agenti
- reputazione dell'IP e segnalazioni di IP simili da parte di altri siti che utilizzano CrowdHandler
Questi fattori vengono utilizzati per costruire un quadro di norme statistiche per il vostro sito web e le sale d'attesa. Le sessioni anomale vengono quindi segnalate. È possibile analizzare le singole sessioni per prendere decisioni in casi individuali, oppure impostare una soglia per vietare gli IP che presentano un comportamento anomalo.
Come iniziare
Il rilevamento delle anomalie è disponibile nei piani Professional ed Enterprise. Per individuare le sessioni anomale, accedere al pannello di amministrazione e fare clic sulla scheda Sessioni.
La schermata delle sessioni mostra tutti gli utenti presenti sul sito web o nella coda di una sala d'attesa, in ordine di coda. Il punteggio di rischio (da 0 a 100) indica quanto siano anomale determinate sessioni.
È possibile utilizzare il filtro del punteggio minimo per individuare i punteggi più anomali. (Ad esempio, impostandolo su 50 e premendo Aggiorna, si troveranno tutte le sessioni con punteggio superiore a 50).
In alternativa, è possibile ordinare le sessioni utilizzando la colonna delle anomalie, in modo che le sessioni più anomale si trovino in cima alla schermata.
Sessioni di indagine
Oltre al punteggio di rischio di anomalia, vengono visualizzate altre informazioni sulla sessione che possono aiutare a indicare il grado di rischio della sessione. Tra queste, i dettagli sulla schermata dell'agente e le informazioni sull'IP, tra cui la geo-localizzazione, l'ISP e se l'IP proviene da un centro dati, se utilizza una rete come TOR o se è elencato in qualche database di abusi.
Fare clic sull'icona della lente di ingrandimento per osservare la sessione in modo più dettagliato. In questo modo viene mostrata la cronologia della sessione: i sondaggi dalle sale d'attesa, la progressione nella coda, i clic sugli URL, le modifiche alle informazioni sull'IP e sull'agente. Verrà inoltre visualizzata una ripartizione dei fattori di rischio che contribuiscono al punteggio di rischio.
Agire
Dovreste essere in grado di decidere se si tratta di una sessione legittima o dubbia. In base alla vostra opinione, da questa schermata potete intraprendere una serie di azioni immediate:
Cancellare il token
Se la coda è attiva, l'eliminazione del token farà sì che l'utente venga messo in fondo alla coda. Questo accadrà sia che l'utente abbia già superato la coda e sia entrato nel vostro sito, sia che sia in coda ma stia avanzando verso la parte anteriore. L'utente non riceverà una notifica con un motivo, ma si troverà in fondo alla coda. Se avete una coda consistente e volete accelerare il transito per i vostri utenti legittimi, questa è l'azione migliore da intraprendere.
Bloccare l'IP
Il blocco dell'IP comporta il blocco di tutte le sessioni che hanno origine da questo IP, comprese quelle in corso. Gli utenti riceveranno una pagina di sala d'attesa con un messaggio di blocco. Questa è l'azione migliore da intraprendere per quanto riguarda i comportamenti dubbi quando non si dispone di una coda attiva. Ad esempio, i bot scraper e spinner. Il blocco di un singolo IP potrebbe non essere efficace se il token proviene da più IP, anche se il blocco automatico degli IP può essere utile in questo scenario.
Ignorare l'IP
Stiamo rilevando un comportamento anomalo. Oltre ai cattivi attori, questo potrebbe segnalare servizi legittimi che stanno facendo richieste al vostro sito web. Ad esempio: Servizi di monitoraggio dei tempi di attività, gateway di pagamento che confermano le transazioni. In questi casi è possibile impostare l'IP in modo che venga ignorato o bypassato. Oltre a evitare che questi servizi siano bloccati nelle code, questo impedirà ai token provenienti da questi IP di essere segnalati dal rilevamento delle anomalie in futuro.
Protezione automatica
Le sessioni anomale e il traffico bot costituiscono un'alta percentuale del traffico dei siti web tipici. Pertanto, è probabile che tenere sotto controllo le singole sessioni diventi presto noioso. Si consiglia quindi di utilizzare i controlli del Firewall per bloccare automaticamente le sessioni con un punteggio di anomalia superiore al 95% e di monitorare regolarmente per vedere se è possibile ridurre tale soglia.
Se si sceglie di non bloccare affatto in base alle soglie di anomalia, per timore di falsi positivi, tali informazioni saranno comunque utilizzate per informare le raccomandazioni di blocco IP e per contribuire a mantenere le regole di blocco globale di CrowdHandler(alle quali è possibile aderire).