Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Vous pouvez prendre des mesures pour intercepter les requêtes suspectes, par exemple en bloquant les requêtes ou en les signalant pour une gestion spéciale dans vos proxys d'API. Vous pouvez également prendre des mesures pour autoriser expressément les requêtes provenant d'adresses IP spécifiques.
Fonctionnement des actions
Dans la console Apigee Sense, vous pouvez autoriser, bloquer ou signaler explicitement des requêtes provenant de clients spécifiques. Apigee Edge applique ces actions aux requêtes avant que vos proxys d'API ne les traitent. En règle générale, vous intervenez lorsque les demandes sont conformes à des modèles de comportement indésirable ou (dans le cas de l'action d'autorisation) pour exclure un client des actions interdites que vous avez déjà effectuées.
Pour identifier les demandes sur lesquelles prendre des mesures, utilisez le rapport de détection (dans la console Apigee Sense, cliquez sur le menu Détection, puis sur "Rapport") afin d'identifier les comportements de requête que vous souhaitez bloquer ou signaler. Par exemple, le rapport de détection peut indiquer qu'un ensemble de requêtes présente le comportement Brute Guessor. Vous pouvez prendre des mesures pour bloquer les requêtes provenant de ces adresses IP.
Vous pouvez effectuer les types d'actions suivants.
| Action | Description | Ordre de priorité |
|---|---|---|
| Autoriser | Autorisez les demandes de la catégorie sélectionnée pour continuer. L'action "Autoriser" peut vous permettre d'autoriser explicitement les requêtes provenant d'adresses IP de clients spécifiques, malgré d'autres actions susceptibles d'avoir un impact sur l'adresse IP. Par exemple, vous pouvez autoriser les requêtes d'adresse IP client interne ou partenaire même si elles sont conformes à un comportement "indésirable". | 1 |
| Cale | Bloquer les requêtes dans la catégorie sélectionnée. Lorsque vous choisissez de bloquer complètement les requêtes, Apigee Edge répond au client avec un code d'état 403. | 2 |
| Drapeau | Marquez les requêtes dans la catégorie sélectionnée afin de pouvoir les traiter dans le code de proxy de l'API. Lorsque vous signalez les requêtes d'un client, Apigee Edge ajoute à la demande un en-tête X-SENSE-BOT-DETECTED avec la valeur SENSE. Votre proxy d'API peut répondre en fonction de la présence de cet en-tête, par exemple pour envoyer une réponse particulière au client. |
3 |
Ordre de priorité pour les actions Apigee Sense
Apigee Sense applique les actions par ordre de priorité, de "Autoriser à bloquer" à "Indicateur". Par exemple, si une action "Autoriser" et une action de blocage sont activées pour une adresse IP donnée, Apigee Sense applique l'action "Autoriser" et ignore l'action "Bloquer".
Apigee Sense applique un ordre de priorité car vous pouvez appliquer plusieurs actions à une adresse IP sans vous en rendre compte. En effet, vous prenez généralement des mesures en réponse à un comportement (par exemple, pour bloquer les utilisateurs qui ne se contentent pas de deviner) auquel de nombreuses adresses IP sont associées. Lorsque vous effectuez ultérieurement une autre action sur une adresse IP unique, par exemple en séparant une adresse IP conviviale pour l'autoriser, l'action appliquée au comportement et les actions appliquées via une adresse IP unique sont toutes deux activées pour l'adresse IP. Pourtant, seule l'action ayant la priorité la plus élevée est appliquée aux requêtes provenant d'une adresse IP donnée.
Ainsi, bien que des actions des trois types puissent être activées pour une adresse IP, l'action Autoriser prévaut sur une action de blocage ou de signalement.
Identifier les demandes et les clients sur lesquels agir
Dans la console Apigee Sense, vous pouvez filtrer et regrouper les clients suspects en fonction de leur origine et du motif de leur suspicion. Une fois que vous avez isolé le groupe souhaité, vous pouvez prendre des mesures sur les adresses IP de ce groupe, par exemple les bloquer.
Vous pouvez filtrer les clients suspects selon les partitions suivantes:
| Partition | Description |
|---|---|
| Motif de bot unique | Motif pour lequel une demande est suspecte. Vous trouverez plus d'informations sur les raisons ci-dessous. |
| Groupe de motifs associés au robot | Ensemble de motifs associés à un seul ensemble d'une ou plusieurs adresses IP. Par exemple, l'analyse peut avoir identifié quatre adresses IP dont les demandes correspondaient aux critères pour trois raisons. |
| Pays | Pays d'origine de la requête. |
| Organisation de systèmes autonomes | Organisation AS à l'origine de la demande. |
Raisons
Lors de l'analyse des requêtes d'API, Apigee Sense les mesure à l'aide de critères qui déterminent si le comportement de la requête est suspect. Si les requêtes provenant de l'adresse IP répondent aux critères suggérant un motif d'activité suspecte, Apigee Sense le signale dans sa console.
Le tableau suivant décrit les raisons pour lesquelles les demandes sont identifiées comme suspectes. Sur le portail, vous pouvez consulter la liste des critères et filtrer les clients émettant des demandes suspectes en fonction de ces motifs.
Vous pouvez également personnaliser les critères en fonction des besoins de votre utilisation de l'API. Pour en savoir plus, consultez Personnaliser les règles de détection.
| Motif | Comportement enregistré |
|---|---|
| Brute Guessor | Plus grande proportion d'erreurs de réponse au cours des dernières 24 heures |
| Dépassement du quota de contenus | Demandes supplémentaires après l'erreur 403 en raison du dépassement du quota de contenu |
| Vol de contenu | Peu de sessions OAuth avec un volume de trafic important sur une période de 5 minutes |
| Grattoir de contenu | Nombre important d'URI appelés dans un délai de cinq minutes |
| Distinct OS | Plusieurs familles de systèmes d'exploitation utilisées dans un intervalle de 5 minutes |
| Famille d'user-agents distincts | Plusieurs familles de user-agents utilisées dans un intervalle de 5 minutes |
| Flooder | Proportion élevée de trafic provenant d'adresses IP sur une période de 5 minutes |
| Guessorur | Nombre élevé d'erreurs de réponse sur une période de 5 minutes |
| Se connecter à Guessor | Volume élevé de trafic vers quelques URI par fenêtre de cinq minutes |
| OAuth Abuser | Nombre élevé de sessions OAuth avec un petit nombre de user-agents au cours des dernières 24 heures |
| Collecteur OAuth | Nombre élevé de sessions OAuth avec peu de familles de user-agents au cours des dernières 24 heures |
| Collecteur OAuth | Nombre élevé de sessions OAuth avec un trafic important sur une période de cinq minutes |
| Robot Abuser | Un plus grand nombre d'erreurs de refus 403 au cours des dernières 24 heures |
| Courte session | Nombre élevé de sessions OAuth courtes |
| Static Content Scraper | Proportion élevée de la taille de la charge utile de réponse provenant de l'adresse IP dans une fenêtre de 5 minutes |
| Storm | Peu de pics de trafic importants sur une période de 5 minutes |
| Tornade | Pics de trafic réguliers sur une période de 5 minutes |
| Règle de liste Tor | L'adresse IP provient d'un projet TOR, et l'adresse IP déclenche au moins une autre règle de bot |