Premiers pas avec la console Apigee Sense

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

Cette rubrique vous permettra d'obtenir une présentation de la console Apigee Sense. Dans la console, vous pouvez afficher les résultats de l'analyse Apigee Sense du trafic vers vos proxys d'API. Lorsque vous identifiez des clients qui effectuent des requêtes suspectes, par exemple dans le cadre d'une attaque de bot, vous pouvez utiliser la console pour prendre les mesures nécessaires en bloquant ou en signalant les requêtes provenant de l'adresse IP de ces clients.

Comme décrit dans la section Qu'est-ce qu'Apigee Sense ?, Apigee Sense collecte et analyse les données sur les requêtes adressées à vos API. Grâce à cette analyse, Apigee Sense identifie des schémas susceptibles de représenter des demandes suspectes. Avec la console Apigee Sense, vous pouvez afficher les résultats de l'analyse des requêtes et agir en conséquence.

  1. Ouvrez l'expérience New Edge.
  2. Dans l'expérience New Edge, cliquez sur le menu Analyze (Analyser), puis cliquez sur Sense.

  3. Sur la page Sense, vous trouverez un instantané graphique de l'activité des demandes, y compris les demandes suspectes.

  4. Dans le coin supérieur droit de la console, sélectionnez l'organisation Apigee Edge pour laquelle vous souhaitez afficher les données de requête.

    Il s'agit de l'organisation contenant les proxys d'API pour lesquels Apigee Sense collecte des données de requête.

  5. Dans le coin supérieur gauche, sélectionnez la date pour laquelle vous disposez de données d'analyse Apigee Sense.

    Lorsqu'une date est sélectionnée, les graphiques de cette page offrent une vue d'ensemble de l'analyse Apigee Sense, y compris le trafic des requêtes.

Afficher le résumé de l'analyse des requêtes

Vous pouvez obtenir une vue d'ensemble des activités suspectes. Vous pouvez ainsi accéder à plus de détails.

  1. En haut de la page, cliquez sur le menu Détection > Rapport pour afficher les données sur les activités suspectes détectées parmi les demandes.

    Sur la page Rapport d'analyse des bots, la section Trafic de bots potentiel en haut de la page récapitule le trafic et fournit des mesures spécifiques aux requêtes suspectes.

    La page "Détection" propose également deux affichages des activités suspectes.

    • L'option Partition View (Vue de la partition) regroupe les clients en fonction de la raison pour laquelle Apigee Sense les présente comme suspects.
    • La vue sous forme de liste répertorie les clients de la requête en fonction de leur adresse IP, ainsi que plusieurs autres aspects des données.
  2. Dans l'affichage de la partition, vous pouvez afficher le trafic catégorisé par modèle qui représente une activité suspecte. Pour en savoir plus sur les tendances, consultez Prendre des mesures en cas d'activité suspecte. Le trafic des requêtes regroupé dans ces modèles est le produit de l'analyse Apigee Sense des données de vos requêtes.

    Les requêtes conformes à un format ne sont pas toutes abusives. Vous recherchez un nombre de bots et/ou des chiffres de trafic très élevés.

    Par exemple, le schéma Tentative de connexion représente un grand nombre de tentatives d'accès à un proxy de connexion dans une fenêtre de 24 heures. Sur l'image suivante, un nombre de robots très élevé (par rapport à d'autres schémas) indique qu'un grand nombre de clients tentent, au cours d'une même journée, d'atteindre le proxy de connexion. Ce modèle vaut donc la peine d’être examiné.

Examiner à l'aide des détails de l'analyse

Une fois que vous avez identifié un ensemble de requêtes pouvant comporter une activité suspecte, telle qu'une attaque de robot, vous pouvez obtenir une vue plus détaillée des demandes. Pour isoler les véritables attaques de bots, vous devez combiner l'analyse Apigee Sense avec vos propres connaissances des clients qui appellent vos API.

  1. Dans la section Partition View (Vue des partitions) de la page Detection (Détection), identifiez un format qui vous intéresse, par exemple un modèle avec un très grand nombre de bots, puis cliquez sur le bouton View (Afficher) pour obtenir des informations détaillées sur ce que le format représente.

    Vous accédez alors à une vue détaillée de l'activité en fonction du modèle que vous avez sélectionné. La liste présentée ici contient quelques données importantes:

    • Il existe un grand nombre d'adresses IP : près d'un millier en 24 heures.
    • Il existe un nombre relativement faible d'organisations de systèmes autonomes derrière ces adresses IP, et ces organisations sont réparties géographiquement.
    • Le trafic généré par les robots est assez constant, entre 250 et 260 par adresse IP. Cette métrique est également représentée par la mesure du % du trafic généré par les robots.

    L'ensemble de ces informations suggère que les requêtes provenant de ces adresses IP représentent une attaque coordonnée et mécanisée sur l'URI de connexion.

  2. Pour afficher encore plus de détails sur un seul client, cliquez sur l'une des adresses IP dans la colonne de gauche.

  3. Cliquez sur l'onglet Détection pour voir ce qu'Apigee Sense a découvert sur les requêtes provenant de l'adresse IP.

    En haut de la boîte de dialogue, vous trouverez la liste des comportements détectés par Apigee Sense pour les requêtes provenant de cette adresse IP.

    Sous Détection, utilisez les catégories de la liste déroulante pour décider si les requêtes provenant d'une adresse IP doivent être traitées différemment par Apigee Edge. Par exemple, les catégories de valeurs suivantes peuvent vous aider à déterminer si l'adresse IP représente une attaque:

    • Code d'état de la réponse. Une liste dominée par un grand nombre de codes d'erreur (500, par exemple) suggère qu'un client effectue plusieurs tentatives avec la mauvaise requête. En d'autres termes, un client qui envoie simplement la requête à plusieurs reprises sans être au courant du résultat d'une erreur.
    • URI de la demande. Certains URI sont particulièrement importants en tant que points d'attaque. L'URI de connexion en fait partie.
  4. Cliquez sur l'onglet Protection pour afficher la liste des règles de protection qui ont déjà été activées pour les requêtes provenant de cette adresse IP.

    Les règles sont listées par ordre de priorité, avec l'action la plus élevée ("Autoriser") en haut et la plus faible (indicateur) en bas. Dans Apigee Sense, vous pouvez effectuer plusieurs types d'actions sur une même adresse IP. En général, cela est dû à un comportement qui inclut plusieurs adresses IP, par exemple pour bloquer les utilisateurs qui ne sont pas devinés. Toutefois, certaines adresses IP peuvent correspondre à des modèles de comportement indésirables, comme Brute Guessor, mais être toujours des adresses IP conviviales, par exemple lorsque vous ou un partenaire testez votre système. Dans ce cas, vous pouvez autoriser ces adresses IP spécifiques, quel que soit leur comportement. Ainsi, bien que les actions des trois types soient activées pour l'adresse IP, l'action Autoriser prévaut sur l'action de blocage ou de signalement.

    Après avoir confirmé qu'une adresse IP représente probablement un client sur lequel vous souhaitez intervenir, vous pouvez agir pour intercepter les requêtes de ce client.

  5. Dans la vue détaillée, cliquez sur le bouton Fermer.

Prendre des mesures concernant les clients effectuant des demandes suspectes

Êtes-vous confiant(e) que vous avez un client dont vous souhaitez intercepter les requêtes, comme une attaque de bot ? Composez une règle pour bloquer ou signaler les requêtes du client avant qu'elles n'atteignent vos proxys.

  1. Sur la page Détection, dans le rapport d'analyse des robots, cliquez sur l'onglet Vue de la partition pour revenir à l'affichage de la liste des formats.

    Dans la vue de la partition, notez que la liste des modèles a été raccourcie pour n'inclure que le modèle que vous avez sélectionné précédemment. En effet, lorsque vous avez choisi d'afficher le format, vous avez commencé à filtrer la liste complète des résultats pour ne garder que ce format. Les règles que vous définissez pour le filtrage s'affichent dans la zone Filtres située en haut de la page.

  2. Sur la ligne du format, cliquez sur le bouton Act (Agir) pour spécifier une action à effectuer pour les requêtes provenant d'adresses IP qui correspondent au format.

  3. Dans la boîte de dialogue Compose Rule (Règle de rédaction), définissez la manière dont Apigee Edge répond aux requêtes provenant d'adresses IP qui effectuent des appels selon le modèle que vous avez sélectionné.

    Ici, vous allez spécifier une règle utilisée par Apigee Edge lorsque les requêtes sont reçues d'une adresse IP dans le modèle.

    1. Attribuez un nom à la nouvelle règle (par exemple, Block login attempters).
    2. Dans la liste des filtres, sélectionnez l'action que vous souhaitez qu'Apigee Edge effectue:

      • Autorisez la demande à accéder à votre proxy comme précédemment.
      • Bloquez complètement la demande avant que le proxy ne commence à la traiter.
      • Marquez la demande en demandant à Apigee Edge d'ajouter un en-tête HTTP spécial que votre proxy peut rechercher. Apigee Edge ajoute un en-tête X-SENSE-BOT-DETECTED avec la valeur SENSE. Par exemple, vous pouvez configurer votre proxy de sorte que, lorsque vous recevez une demande d'un client particulier, vous puissiez renvoyer des données factices pour l'induire en erreur. Dans votre proxy, vous examinerez les en-têtes des requêtes entrantes, puis vous répondrez de manière appropriée lorsqu'une requête signalée est reçue.
    3. Dans la zone Règles, vérifiez que les règles affichées sont celles que vous souhaitez qu'Apigee Sense utilise lors de la création de la règle.

    4. Sous Actif, sélectionnez Oui pour activer la règle.

    5. Sélectionnez un délai après lequel vous souhaitez que la règle expire (pour qu'Apigee Edge cesse de l'appliquer).

  4. Cliquez sur Créer pour envoyer la règle à Apigee Edge.

Vérifier les règles que vous avez créées

Si vous avez mis en place des règles pour répondre à certains clients, vous pouvez les gérer sur la page "Règles de protection".

  1. En haut de la page, cliquez sur le menu Protection > Règles pour afficher la liste des règles appliquées.
  2. Sur la page Règles de protection, vous pouvez afficher la liste des règles que vous avez créées. Vous pouvez alors :
    • Saisissez une valeur dans le champ de recherche pour filtrer les règles en fonction des valeurs de la liste, telles que le nom ou l'adresse IP.
    • Affichez les détails d'une règle ou identifiez les adresses IP concernées.
    • Cliquez sur une valeur dans la colonne Filtrer les règles pour voir ce qui compose la règle.
    • Activez ou désactivez les règles.