Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info
Vous pouvez prendre des mesures pour intercepter les requêtes suspectes, par exemple en les bloquant ou en les signalant pour un traitement spécial dans vos proxys d'API. Vous pouvez également prendre des mesures pour autoriser expressément les requêtes provenant d'adresses IP spécifiques.
Fonctionnement des actions
Dans la console Apigee Sense, vous pouvez prendre des mesures pour autoriser, bloquer ou signaler explicitement les requêtes de clients spécifiques. Apigee Edge applique ces actions aux requêtes avant que vos proxys d'API ne les traitent. En règle générale, vous prenez des mesures soit parce que les requêtes correspondent à des modèles de comportement indésirable, soit (dans le cas de l'action "Autoriser") parce que vous souhaitez exclure un client des actions prohibitives que vous avez déjà prises.
Pour identifier les requêtes à traiter, utilisez le rapport de détection (dans la console Apigee Sense, cliquez sur le menu "Détection", puis sur "Rapport") afin d'identifier les comportements de requête que vous souhaitez bloquer ou signaler. Par exemple, le rapport de détection peut indiquer qu'un ensemble de requêtes présente le comportement de forçage par cassage de mot de passe. Vous pouvez prendre des mesures pour bloquer les requêtes provenant de ces adresses IP.
Vous pouvez effectuer les types d'actions suivants.
| Action | Description | Ordre de priorité |
|---|---|---|
| Autoriser | Autorisez les requêtes de la catégorie sélectionnée à être traitées. Vous pouvez prendre l'action "Allow" (Autoriser) pour autoriser explicitement les requêtes provenant d'adresses IP client spécifiques, malgré d'autres actions pouvant avoir un impact sur l'adresse IP. Par exemple, vous pouvez autoriser les requêtes d'une adresse IP de client interne ou partenaire, même si elles correspondent à un comportement "indésirable". | 1 |
| Bloquer | Bloquez les requêtes de la catégorie sélectionnée. Lorsque vous choisissez de bloquer complètement les requêtes, Apigee Edge répond au client avec un code d'état 403. | 2 |
| Option | Marquez les requêtes de la catégorie sélectionnée afin de pouvoir les traiter dans le code du proxy d'API. Lorsque vous signalez les requêtes d'un client, Apigee Edge ajoute à la requête un en-tête X-SENSE-BOT-DETECTED avec une valeur de SENSE. Votre proxy d'API peut répondre en fonction de la présence de cet en-tête, par exemple pour envoyer une réponse particulière au client. |
3 |
Ordre de priorité des actions Apigee Sense
Apigee Sense applique les actions dans l'ordre de priorité, de l'autorisation au blocage, puis au signalement. Par exemple, si une adresse IP donnée est associée à la fois à une action d'autorisation et à une action de blocage, Apigee Sense appliquera l'action d'autorisation et ignorera l'action de blocage.
Apigee Sense applique un ordre de priorité, car vous pouvez appliquer plusieurs actions à une adresse IP sans vous en rendre compte. En effet, vous prenez généralement des mesures en fonction d'un comportement (par exemple, pour bloquer les attaques par force brute) auquel de nombreuses adresses IP sont associées. Lorsque vous effectuez une autre action sur une seule adresse IP (par exemple, en sélectionnant une adresse IP conviviale à autoriser), l'action appliquée au comportement et les actions appliquées à une seule adresse IP sont activées pour l'adresse IP. Cependant, seule l'action ayant la priorité la plus élevée est appliquée aux requêtes provenant d'une adresse IP donnée.
Par conséquent, même si les trois types d'actions peuvent être activés pour une adresse IP, l'action d'autorisation prévaut sur les actions de blocage ou de signalement.
Identifier les demandes et les clients à traiter
Dans la console Apigee Sense, vous pouvez filtrer et regrouper les clients suspects en fonction de leur origine et de la raison pour laquelle ils sont suspects. Une fois le groupe souhaité isolé, vous pouvez prendre des mesures sur les adresses IP de ce groupe, par exemple les bloquer.
Vous pouvez filtrer les clients suspects par les partitions suivantes:
| Partition | Description |
|---|---|
| Raison de bot unique | Motif pour lequel une requête est suspecte. Pour en savoir plus, consultez les informations ci-dessous. |
| Groupe de raisons de bot | Ensemble de raisons associées à un ensemble unique d'une ou de plusieurs adresses IP. Par exemple, l'analyse peut avoir identifié quatre adresses IP dont les requêtes correspondaient aux critères pour trois raisons. |
| Pays | Pays d'où provient la requête. |
| Organisation d'un système autonome | Organisation de l'AS à l'origine de la requête. |
Motifs
Lorsque vous analysez les requêtes d'API, Apigee Sense les mesure à l'aide de critères qui déterminent si leur comportement est suspect. Si les requêtes de l'adresse IP répondent aux critères suggérant une activité suspecte, Apigee Sense en informe dans sa console.
Le tableau suivant décrit les raisons pour lesquelles les requêtes sont identifiées comme suspectes. Dans le portail, vous pouvez consulter la liste des critères et filtrer les clients qui envoient des requêtes suspectes en fonction de ces raisons.
Vous pouvez également personnaliser les critères en fonction des besoins de votre utilisation de l'API. Pour en savoir plus, consultez Personnaliser les règles de détection.
| Motif | Comportement capturé |
|---|---|
| Brute Guessor | Plus grande partie d'erreurs de réponse au cours des dernières 24 heures |
| Quota de contenu dépassé | Demandes supplémentaires après une erreur 403 due au dépassement du quota de contenu |
| Content Robber | Peu de sessions OAuth avec un volume de trafic élevé sur une période de cinq minutes |
| Content Scraper | Nombre élevé d'URI appelés dans un intervalle de cinq minutes |
| Système d'exploitation distinct | Plusieurs familles de systèmes d'exploitation utilisées sur une période de cinq minutes |
| Famille d'user-agent distincte | Plusieurs familles d'user-agents utilisées sur une période de cinq minutes |
| Flooder | Haute proportion de trafic provenant d'une adresse IP dans un intervalle de cinq minutes |
| Guessor | Nombre élevé d'erreurs de réponse dans un intervalle de cinq minutes |
| Login Guessor | Trafic important vers quelques URI dans un intervalle de cinq minutes |
| OAuth Abuser | Nombre élevé de sessions OAuth avec un petit nombre d'user-agents au cours des dernières 24 heures |
| Collecteur OAuth | Nombre élevé de sessions OAuth avec un petit nombre de familles d'user-agents au cours des dernières 24 heures |
| OAuth Harvestor | Nombre élevé de sessions OAuth avec un trafic important dans un intervalle de cinq minutes |
| Robot Abuser | Nombre plus élevé d'erreurs de refus 403 au cours des dernières 24 heures |
| Séance courte | Nombre élevé de sessions OAuth courtes |
| Static Content Scraper | Proportion élevée de taille de la charge utile de la réponse émanant d'une même adresse IP, dans un intervalle de cinq minutes |
| Storm | Quelques pics de trafic élevés sur une période de cinq minutes |
| Tornade | Pics de trafic réguliers sur une période de cinq minutes |
| Règle de liste Tor | L'adresse IP provient d'un projet TOR et déclenche au moins une autre règle de robot |