Premiers pas avec la console Apigee Sense

Vous consultez la documentation sur Apigee Edge.
Consultez la documentation sur Apigee X.

Cet article vous permet de découvrir la console Apigee Sense. Dans la console, vous pouvez afficher les résultats de l'analyse Apigee du trafic vers vos proxys d'API. Lorsque vous identifiez des clients qui effectuent des requêtes suspectes (une attaque de bot, par exemple), vous pouvez utiliser la console pour prendre des mesures en bloquant ou en signalant les requêtes provenant de l'adresse IP de ces clients.

Comme décrit dans Qu'est-ce qu'Apigee Sense ?, Apigee Sense collecte et analyse les données concernant les requêtes adressées à vos API. Grâce à cette analyse, Apigee Sense identifie des modèles pouvant représenter des requêtes suspectes. Avec la console Apigee Sense, vous pouvez afficher les résultats d'analyse des requêtes et agir en conséquence.

  1. Ouvrez l'expérience New Edge.

  2. Dans l'interface New Edge, cliquez sur le menu Analyze (Analyser), puis sur Sense (Sense).

  3. La page Sense présente un instantané graphique de l'activité des requêtes, y compris les requêtes suspectes.

  4. Dans l'angle supérieur droit de la console, sélectionnez l'organisation Apigee Edge dont vous souhaitez afficher les données de la requête.

    Il s'agit de l'organisation contenant les proxys d'API pour lesquels Apigee Sense collecte les données de requête.

  5. En haut à gauche, sélectionnez la date pour laquelle vous disposez de données d'analyse Apigee Sense.

    Une fois la date sélectionnée, les graphiques de cette page offrent un aperçu très général de l'analyse d'Apigee Sense, y compris du trafic de requêtes.

Afficher le récapitulatif de l'analyse des requêtes

Vous pouvez avoir une vue d'ensemble des activités suspectes. Elle vous permet d'afficher des informations plus détaillées.

  1. En haut de la page, cliquez sur le menu Détection > Rapport pour afficher les données sur l'activité suspecte dans les requêtes.

    En haut du page Rapport sur l'analyse des robots, la section Trafic suspecté du bot affiche le récapitulatif du trafic, avec des mesures spécifiques aux demandes suspectes.

    La page "Détection" propose également deux affichages pour les activités suspectes.

    • Partition View regroupe les clients en fonction de la raison pour laquelle Apigee Sense les présente comme suspectes.
    • L'affichage sous forme de liste liste les clients de la requête par adresse IP, ainsi que plusieurs autres aspects des données.

  2. Dans la vue Partition, vous pouvez afficher le trafic classé dans des schémas représentant des activités suspectes. Pour en savoir plus sur les schémas, consultez Prendre des mesures en cas d'activité suspecte. Le trafic des requêtes regroupées dans ces formats est le résultat de l'analyse d'Apigee Sense de vos données de requête.

    Toutes les requêtes conformes à un format ne sont pas abusives. Vous recherchez un nombre de bots et/ou un trafic très élevés.

    Par exemple, le format Tentative de connexion représente un grand nombre de tentatives d'accès à un proxy de connexion sur une période de 24 heures. Dans l'image ci-dessous, le nombre de bots est très élevé par rapport aux autres modèles. Cela signifie qu'un grand nombre de clients tentent, en un seul jour, d'accéder au proxy de connexion. C'est pourquoi ce modèle vaut la peine d'être examiné.

Examiner à l'aide des détails de l'analyse

Une fois que vous avez identifié un ensemble de requêtes pouvant contenir une activité suspecte, telle qu'une attaque par bots, vous pouvez obtenir une vue plus détaillée des requêtes. Pour isoler les véritables attaques de bots, vous devez combiner l'analyse d'Apigee Sense avec vos propres connaissances des clients appelant vos API.

  1. Sur la page Partition View (Vue par partition), sur la page Detection (Détection), recherchez un modèle qui vous intéresse, par exemple un modèle avec un nombre de bots très élevé, puis cliquez sur le bouton View (Afficher) pour voir les détails de ce motif.

    Vous voyez ici une vue détaillée de l'activité conforme au modèle que vous avez sélectionné. La liste présentée ici contient quelques données intéressantes:

    • Il existe un grand nombre d'adresses IP, soit près de mille en 24 heures.
    • Elles sont associées à un nombre relativement faible d'organisations de systèmes autonomes (AS), et elles sont géographiquement distribuées géographiquement.
    • Le nombre de robots est relativement cohérent entre 250 et 260 pour chacune des adresses IP. Elle est également représentée par la mesure du % du trafic généré par des bots.

    Dans l'ensemble, ces informations suggèrent que les requêtes provenant de ces adresses IP représentent une attaque mécanisée et coordonnée sur l'URI de connexion.

  2. Pour afficher davantage de détails sur un seul client, cliquez sur l'une des adresses IP dans la colonne de gauche.

  3. Cliquez sur l'onglet Détection pour voir ce qu'Apigee Sense a découvert sur les requêtes provenant de l'adresse IP.

    En haut de la boîte de dialogue, vous verrez la liste des comportements détectés par Apigee Sense pour les requêtes provenant de cette adresse IP.

    Sous Détection, utilisez les catégories du menu déroulant pour décider si les requêtes provenant d'une adresse IP doivent être traitées différemment par Apigee Edge. Par exemple, les catégories de valeurs suivantes peuvent vous aider à déterminer si l'adresse IP représente une attaque:

    • Code d'état de la réponse. Une liste dominée par un grand nombre de codes d'erreur (500, par exemple) suggère qu'un client effectue plusieurs tentatives avec la mauvaise demande. En d'autres termes, un client envoie simplement la requête à plusieurs reprises sans avoir connaissance d'un résultat d'erreur.
    • URI de la demande. Certains URI sont particulièrement importants en tant que points d'attaque. Un URI de connexion en fait partie.

  4. Cliquez sur l'onglet Protection pour afficher la liste des règles de protection qui ont déjà été activées pour les requêtes provenant de cette adresse IP.

    Les règles sont listées par ordre de priorité, avec l'action la plus élevée (Autoriser) en haut et le plus bas (indicateur) en bas. Dans Apigee Sense, vous pouvez effectuer plusieurs types d'actions sur une même adresse IP. Cela se produit généralement lorsque vous agissez sur un comportement incluant plusieurs adresses IP, comme le blocage des devineurs bruts. Cependant, certaines adresses IP peuvent correspondre à des modèles de comportement indésirables, tels que Brute Guessor, mais être quand même conviviales (lorsque vous (ou un partenaire) testez votre système, par exemple. Dans ce cas, vous devez autoriser ces adresses IP spécifiques, quel que soit leur comportement. Par conséquent, bien que les trois types d'actions soient activés pour l'adresse IP, l'action "Autoriser" prévaut sur une action "Bloquer" ou "Signaler".

    Après avoir vérifié qu'une adresse IP représente probablement un client sur lequel vous souhaitez intervenir, vous pouvez intercepter les requêtes de ce client.

  5. Dans la vue détaillée, cliquez sur le bouton Close (Fermer).

Prendre des mesures pour les clients qui effectuent des demandes suspectes

Vous avez un client dont vous souhaitez intercepter les requêtes, comme une attaque de bot ? Rédigez une règle pour bloquer ou signaler les requêtes du client avant qu'elles n'atteignent vos proxys.

  1. Sur la page Détection, dans le rapport d'analyse des bots, cliquez sur l'onglet Vue en partition pour revenir à la liste de modèles.

    Dans Partition View (Vue des partitions), notez que la liste de modèles a été raccourcie pour n'inclure que le modèle que vous avez sélectionné pour l'afficher précédemment. En effet, lorsque vous avez choisi d'afficher le format, vous avez commencé à filtrer la liste complète des résultats pour n'afficher que ce modèle. Les formats que vous filtrez sont affichés dans la zone Filtres en haut de la page.

  2. Sur la ligne correspondant au modèle, cliquez sur le bouton Act (Action) pour spécifier l'action à effectuer sur les requêtes provenant d'adresses IP correspondant à ce format.

  3. Dans la boîte de dialogue Règle Compose, définissez la manière dont Apigee Edge répondra aux requêtes provenant des adresses IP effectuant des appels dans le modèle que vous avez sélectionné.

    Ici, vous spécifiez une règle utilisée par Apigee Edge lorsque des requêtes sont reçues d'une adresse IP associée au format.

    1. Saisissez un nom pour la nouvelle règle, par exemple Block login attempters.

    2. Dans la liste des filtres, sélectionnez l'action que vous souhaitez qu'Apigee Edge effectue:

      • Autorisez la demande pour continuer à utiliser votre proxy, comme précédemment.
      • Bloquez complètement la requête avant que votre proxy ne commence à la traiter.
      • Signalez la requête en faisant en sorte qu'Apigee Edge ajoute un en-tête HTTP spécial que votre proxy peut rechercher. Apigee Edge ajoutera un en-tête X-SENSE-BOT-DETECTED avec la valeur SENSE. Par exemple, vous pouvez configurer votre proxy de sorte que lorsque vous recevez une requête d'un client particulier, vous pouvez renvoyer des données factices pour les induire en erreur. Dans votre proxy, vous allez examiner les en-têtes des requêtes entrantes, puis répondre de manière appropriée lorsqu'une requête signalée est reçue.

    3. Dans la zone Règles, vérifiez que les règles affichées sont celles que vous souhaitez qu'Apigee Sense utilise lors de la création de la règle.

    4. Dans la section Actif, sélectionnez Oui pour activer la règle.

    5. Sélectionnez la période après laquelle vous souhaitez que la règle expire (pour qu'Apigee Edge cesse de l'appliquer).

  4. Cliquez sur Créer pour envoyer la règle à Apigee Edge.

Vérifier les règles que vous avez créées

Si vous avez pris des mesures pour répondre à certains clients, vous pouvez les gérer sur la page "Règles de protection".

  1. En haut de la page, cliquez sur le menu Protection > Règles pour afficher la liste des règles que vous avez mises en place.
  2. Sur la page Règles de protection, vous pouvez afficher la liste des règles que vous avez créées. Vous pouvez alors :
    • Saisissez une valeur dans le champ de recherche pour filtrer les règles en fonction des valeurs de la liste, telles que le nom ou l'adresse IP.
    • Affichez les détails d'une règle ou identifiez les adresses IP pour lesquelles vous effectuez une action.
    • Cliquez sur une valeur de la colonne Règles de filtrage pour voir la composition de la règle.
    • Activez ou désactivez des règles.