Vous consultez la documentation sur Apigee Edge.
Consultez la documentation sur Apigee X.
Vous pouvez prendre des mesures pour intercepter les requêtes suspectes, par exemple en les bloquant ou en les signalant pour qu'elles soient traitées dans vos proxys d'API. Vous pouvez également prendre les mesures nécessaires pour autoriser explicitement des requêtes provenant d'adresses IP spécifiques.
Fonctionnement des actions
Dans la console Apigee Sense, vous pouvez prendre les mesures nécessaires pour autoriser, bloquer ou signaler explicitement des requêtes émanant de clients spécifiques. Apigee Edge applique ces actions aux requêtes avant que vos proxys d'API ne les traitent. En règle générale, vous devez prendre des mesures soit parce que les requêtes sont conformes à des modèles de comportement indésirable, soit parce que vous souhaitez empêcher un client des actions interdites que vous avez effectuées, dans le cas de l'action "Autoriser".
Pour identifier les requêtes à traiter, utilisez le rapport de détection (dans la console Apigee Sense, cliquez sur le menu "Détection", puis sur "Signaler") pour identifier les comportements de requête que vous souhaitez bloquer ou signaler. Par exemple, le rapport de détection peut indiquer qu'un ensemble de requêtes présente le comportement de Brute Guessor. Vous pouvez prendre des mesures pour bloquer les requêtes provenant de ces adresses IP.
Vous pouvez effectuer les actions suivantes :
| Action | Description | Ordre de priorité |
|---|---|---|
| Autoriser | Autorisez les requêtes de la catégorie sélectionnée à poursuivre. Vous pouvez prendre la mesure suivante : autoriser explicitement les requêtes provenant d'adresses IP client spécifiques, bien que d'autres actions puissent affecter l'adresse IP. Par exemple, vous pouvez autoriser les demandes adressées à une adresse IP d'un client interne ou d'un partenaire, même si elles sont conformes à un comportement "indésirable". | 1 |
| Bloquer | Bloquer les demandes dans la catégorie sélectionnée. Si vous choisissez de bloquer complètement les requêtes, Apigee Edge répond au client avec un code d'état 403. | 2 |
| Option | Marquez les requêtes dans la catégorie sélectionnée afin de pouvoir les traiter dans le code de proxy de l'API. Lorsque vous signalez les requêtes d'un client, Apigee Edge y ajoute un en-tête X-SENSE-BOT-DETECTED avec la valeur SENSE. Votre proxy d'API peut répondre en fonction de la présence de cet en-tête, par exemple pour envoyer une réponse particulière au client. |
3 |
Ordre de priorité des actions Apigee Sense
Apigee Sense applique les actions par ordre de priorité, de la règle "Allow to Block" à "Flag". Par exemple, si les actions "Allow" et "Block" sont activées pour une adresse IP donnée, Apigee Sense applique l'action "Allow" (Autoriser) et ignore l'action "Block".
Apigee Sense applique un ordre de priorité, car vous pouvez appliquer plusieurs actions à une adresse IP sans vous en rendre compte. En effet, vous effectuez généralement des actions en raison d'un comportement qui est associé à de nombreuses adresses IP (comme bloquer les devineurs bruts). Lorsque vous effectuez une autre action par la suite sur une seule adresse IP, par exemple en chantant une adresse IP conviviale, l'action appliquée et l'action appliquée à une adresse IP unique sont toutes deux activées pour l'adresse IP. Cependant, seule l'action à la priorité la plus élevée est appliquée aux requêtes provenant d'une adresse IP donnée.
Par conséquent, bien que les trois types d'actions puissent être activés pour une adresse IP, l'action "Autoriser" prévaut sur les actions "Bloquer" ou "Signaler".
Identifier les demandes et les clients à traiter
Dans la console Apigee Sense, vous pouvez filtrer et regrouper les clients suspects selon leur origine et la raison pour laquelle ils sont suspects. Une fois que vous avez isolé le groupe de votre choix, vous pouvez agir sur les adresses IP de ce groupe, par exemple en les bloquant.
Vous pouvez filtrer les clients suspects en fonction des partitions suivantes:
| Partition | Description |
|---|---|
| Motif du bot unique | Motif de la demande suspecte. Vous trouverez plus de détails ci-dessous. |
| Groupe de motifs de bot | Ensemble de raisons associées à un seul ensemble d'une ou de plusieurs adresses IP. Par exemple, l'analyse peut avoir identifié quatre adresses IP dont les requêtes répondaient aux critères pour trois raisons. |
| Pays | Pays dans lequel la requête a été effectuée. |
| Organisation de système autonome | Organisation AS d'où provient la requête. |
Raisons
Lors de l'analyse des requêtes API, Apigee Sense mesure les requêtes à l'aide de critères qui déterminent si leur comportement est suspect. Si les requêtes provenant de l'adresse IP répondent à des critères suggérant un motif d'activité suspecte, Apigee Sense le signale dans sa console.
Le tableau suivant décrit les raisons pour lesquelles les demandes sont identifiées comme suspectes. Dans le portail, vous pouvez consulter la liste des critères et filtrer les clients qui effectuent des requêtes suspectes en fonction de ces raisons.
Vous pouvez également personnaliser les critères en fonction des besoins de votre utilisation de l'API. Pour en savoir plus, consultez Personnaliser les règles de détection.
| Motif | Comportement capturé |
|---|---|
| Brute Guessor | Proportion plus importante d'erreurs de réponse au cours des dernières 24 heures |
| Dépassement du quota de contenu | Requêtes supplémentaires après l'erreur 403 en raison du dépassement du quota de contenu |
| Vol | Peu de sessions OAuth générant un trafic important sur une période de cinq minutes |
| Grattoir de contenu | Grand nombre d'URI appelés dans un intervalle de cinq minutes |
| OS distinct | Familles de systèmes d'exploitation multiples utilisées en 5 minutes |
| Famille d'user-agent distincte | Familles de user-agents multiples utilisées dans un intervalle de cinq minutes |
| Flooder | Proportion élevée de trafic provenant des adresses IP sur une période de cinq minutes |
| Professeur | Nombre important d'erreurs de réponse sur une période de cinq minutes |
| Connexion du formateur | Volume élevé de trafic vers quelques URI dans une fenêtre de cinq minutes |
| OAuth Abuser | Nombre élevé de sessions OAuth avec peu de user-agents au cours des 24 heures précédentes |
| OAuth Collector | Nombre élevé de sessions OAuth avec peu de familles de user-agents au cours des 24 heures précédentes |
| Harvestor OAuth | Nombre élevé de sessions OAuth avec un trafic important sur une période de 5 minutes |
| Robot Abuser | Plus grand nombre d'erreurs de refus 403 au cours des dernières 24 heures |
| Session courte | Nombre élevé de sessions OAuth courtes |
| Static Content Scraper | Proportion élevée de la taille de la charge utile de réponse à partir de l'adresse IP dans une fenêtre de cinq minutes |
| Storm | Quelques pics de trafic importants sur une période de 5 minutes |
| Tornade | Des pics constants de trafic sur une période de cinq minutes |
| Règle de la liste Tor | L'adresse IP provient d'un projet TOR |