Prendre des mesures en cas d'activité suspecte

Vous consultez la documentation sur Apigee Edge.
Consultez la documentation sur Apigee X.

Vous pouvez prendre des mesures pour intercepter les requêtes suspectes, par exemple en les bloquant ou en les signalant pour qu'elles soient traitées dans vos proxys d'API. Vous pouvez également prendre les mesures nécessaires pour autoriser explicitement des requêtes provenant d'adresses IP spécifiques.

Fonctionnement des actions

Dans la console Apigee Sense, vous pouvez prendre les mesures nécessaires pour autoriser, bloquer ou signaler explicitement des requêtes émanant de clients spécifiques. Apigee Edge applique ces actions aux requêtes avant que vos proxys d'API ne les traitent. En règle générale, vous devez prendre des mesures soit parce que les requêtes sont conformes à des modèles de comportement indésirable, soit parce que vous souhaitez empêcher un client des actions interdites que vous avez effectuées, dans le cas de l'action "Autoriser".

Pour identifier les requêtes à traiter, utilisez le rapport de détection (dans la console Apigee Sense, cliquez sur le menu "Détection", puis sur "Signaler") pour identifier les comportements de requête que vous souhaitez bloquer ou signaler. Par exemple, le rapport de détection peut indiquer qu'un ensemble de requêtes présente le comportement de Brute Guessor. Vous pouvez prendre des mesures pour bloquer les requêtes provenant de ces adresses IP.

Vous pouvez effectuer les actions suivantes :

Action Description Ordre de priorité
Autoriser Autorisez les requêtes de la catégorie sélectionnée à poursuivre. Vous pouvez prendre la mesure suivante : autoriser explicitement les requêtes provenant d'adresses IP client spécifiques, bien que d'autres actions puissent affecter l'adresse IP. Par exemple, vous pouvez autoriser les demandes adressées à une adresse IP d'un client interne ou d'un partenaire, même si elles sont conformes à un comportement "indésirable". 1
Bloquer Bloquer les demandes dans la catégorie sélectionnée. Si vous choisissez de bloquer complètement les requêtes, Apigee Edge répond au client avec un code d'état 403. 2
Option Marquez les requêtes dans la catégorie sélectionnée afin de pouvoir les traiter dans le code de proxy de l'API. Lorsque vous signalez les requêtes d'un client, Apigee Edge y ajoute un en-tête X-SENSE-BOT-DETECTED avec la valeur SENSE. Votre proxy d'API peut répondre en fonction de la présence de cet en-tête, par exemple pour envoyer une réponse particulière au client. 3

Ordre de priorité des actions Apigee Sense

Apigee Sense applique les actions par ordre de priorité, de la règle "Allow to Block" à "Flag". Par exemple, si les actions "Allow" et "Block" sont activées pour une adresse IP donnée, Apigee Sense applique l'action "Allow" (Autoriser) et ignore l'action "Block".

Apigee Sense applique un ordre de priorité, car vous pouvez appliquer plusieurs actions à une adresse IP sans vous en rendre compte. En effet, vous effectuez généralement des actions en raison d'un comportement qui est associé à de nombreuses adresses IP (comme bloquer les devineurs bruts). Lorsque vous effectuez une autre action par la suite sur une seule adresse IP, par exemple en chantant une adresse IP conviviale, l'action appliquée et l'action appliquée à une adresse IP unique sont toutes deux activées pour l'adresse IP. Cependant, seule l'action à la priorité la plus élevée est appliquée aux requêtes provenant d'une adresse IP donnée.

Par conséquent, bien que les trois types d'actions puissent être activés pour une adresse IP, l'action "Autoriser" prévaut sur les actions "Bloquer" ou "Signaler".

Identifier les demandes et les clients à traiter

Dans la console Apigee Sense, vous pouvez filtrer et regrouper les clients suspects selon leur origine et la raison pour laquelle ils sont suspects. Une fois que vous avez isolé le groupe de votre choix, vous pouvez agir sur les adresses IP de ce groupe, par exemple en les bloquant.

Vous pouvez filtrer les clients suspects en fonction des partitions suivantes:

Partition Description
Motif du bot unique Motif de la demande suspecte. Vous trouverez plus de détails ci-dessous.
Groupe de motifs de bot Ensemble de raisons associées à un seul ensemble d'une ou de plusieurs adresses IP. Par exemple, l'analyse peut avoir identifié quatre adresses IP dont les requêtes répondaient aux critères pour trois raisons.
Pays Pays dans lequel la requête a été effectuée.
Organisation de système autonome Organisation AS d'où provient la requête.

Raisons

Lors de l'analyse des requêtes API, Apigee Sense mesure les requêtes à l'aide de critères qui déterminent si leur comportement est suspect. Si les requêtes provenant de l'adresse IP répondent à des critères suggérant un motif d'activité suspecte, Apigee Sense le signale dans sa console.

Le tableau suivant décrit les raisons pour lesquelles les demandes sont identifiées comme suspectes. Dans le portail, vous pouvez consulter la liste des critères et filtrer les clients qui effectuent des requêtes suspectes en fonction de ces raisons.

Vous pouvez également personnaliser les critères en fonction des besoins de votre utilisation de l'API. Pour en savoir plus, consultez Personnaliser les règles de détection.

Motif Comportement capturé
Brute Guessor Proportion plus importante d'erreurs de réponse au cours des dernières 24 heures
Dépassement du quota de contenu Requêtes supplémentaires après l'erreur 403 en raison du dépassement du quota de contenu
Vol Peu de sessions OAuth générant un trafic important sur une période de cinq minutes
Grattoir de contenu Grand nombre d'URI appelés dans un intervalle de cinq minutes
OS distinct Familles de systèmes d'exploitation multiples utilisées en 5 minutes
Famille d'user-agent distincte Familles de user-agents multiples utilisées dans un intervalle de cinq minutes
Flooder Proportion élevée de trafic provenant des adresses IP sur une période de cinq minutes
Professeur Nombre important d'erreurs de réponse sur une période de cinq minutes
Connexion du formateur Volume élevé de trafic vers quelques URI dans une fenêtre de cinq minutes
OAuth Abuser Nombre élevé de sessions OAuth avec peu de user-agents au cours des 24 heures précédentes
OAuth Collector Nombre élevé de sessions OAuth avec peu de familles de user-agents au cours des 24 heures précédentes
Harvestor OAuth Nombre élevé de sessions OAuth avec un trafic important sur une période de 5 minutes
Robot Abuser Plus grand nombre d'erreurs de refus 403 au cours des dernières 24 heures
Session courte Nombre élevé de sessions OAuth courtes
Static Content Scraper Proportion élevée de la taille de la charge utile de réponse à partir de l'adresse IP dans une fenêtre de cinq minutes
Storm Quelques pics de trafic importants sur une période de 5 minutes
Tornade Des pics constants de trafic sur une période de cinq minutes
Règle de la liste Tor L'adresse IP provient d'un projet TOR