Détection des abus

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d'Apigee Edge.

La détection des abus avec Advanced API Security vous permet de consulter les incidents de sécurité impliquant vos API. Un incident de sécurité est un groupe d'événements suivant des schémas similaires, qui peuvent représenter une menace de sécurité. Advanced API Security utilise des modèles de machine learning pour détecter des schémas indiquant une activité malveillante, y compris le scraping et les anomalies d'API, et regroupe les événements suivant des schémas similaires.

Lorsque Advanced API Security détecte un incident de sécurité, elle signale les éléments suivants :

  • Le niveau de risque et la durée de l'incident
  • Proxys affectés par l'incident
  • Les adresses IP des événements d'incident
  • Les règles de détection déclenchées par l'incident
  • Les pays d'origine de l'incident

et d'autres informations connexes sur l'incident.

Vous pouvez accéder à la détection des abus via l'UI Apigee, comme décrit ci-dessous, ou via l'API Incidents ou l'API des statistiques de sécurité.

Pour connaître les rôles nécessaires pour effectuer des tâches de détection des abus, consultez la section Rôles requis pour la détection des abus.

Améliorer les modèles de machine learning pour la détection d'abus

Apigee vous aide à améliorer les modèles de machine learning pour la détection des abus dans votre organisation, en nous autorisant à entraîner les modèles sur vos données. L'entraînement des modèles sur vos données permet d'améliorer leur précision pour détecter les incidents de sécurité. L'entraînement ne s'appliquera qu'à vos modèles et ne sera partagé avec aucun autre client Google Cloud.

Lorsque vous ouvrez la page Détection des abus dans l'interface utilisateur d'Apigee, une bannière vous demandant l'autorisation d'entraîner les modèles de sécurité de votre organisation sur vos données s'affiche.

Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.

Ouvrir la page Détection des abus.

Pour ouvrir la page Détection des abus, procédez comme suit :

  • Si vous utilisez https://console.cloud.google.com/apigee : sélectionnez Advanced API Security > Détection des abus.
  • Si vous utilisez l'interface utilisateur Apigee classique : sélectionnez Analyser > Sécurité des API > Détection des abus.

La page principale Détection des abus s'affiche :

Page principale de détection des abus

Modifier les autorisations pour permettre à Apigee d'améliorer vos modèles de machine learning

Vous pouvez modifier vos autorisations pour autoriser Apigee à améliorer vos modèles de machine learning à tout moment en cliquant sur Paramètres en haut à droite de la détection des abus et en sélectionnant l'option permettant d'activer ou de désactiver cette fonctionnalité.

Page principale de détection des abus

En haut de la page, vous pouvez sélectionner l'une des périodes récentes suivantes pour l'affichage des incidents : les 12 heures, 1 jour, 1 semaine ou 2 semaines les plus récents.

Le tableau de la page affiche les environnements de votre organisation affectés par des incidents de sécurité pendant l'intervalle de temps sélectionné.

Chaque ligne du tableau affiche également les éléments suivants :

  • Environnement : environnement dans lequel l'utilisation abusive a eu lieu.
  • Nombre total d'incidents : nombre total d'incidents dans l'environnement au cours de l'intervalle de temps sélectionné. Pour en savoir plus sur les incidents et les données affichés dans l'interface utilisateur, consultez la section Limites applicables aux incidents et aux données affichées.

  • Niveau de risque : affiche le nombre d'incidents selon trois niveaux de risque : grave, modéré et faible. Le niveau de risque est basé sur différentes caractéristiques d'un incident, telles que le nombre de règles détectées, leur type et la taille relative de l'incident par rapport au trafic légitime. Le niveau de risque est conçu pour vous aider à hiérarchiser les incidents à examiner. Vous pouvez ainsi vous concentrer sur les plus critiques.

    Le niveau de risque peut prendre l'une des valeurs suivantes :

    • Grave : les incidents graves présentent un risque élevé. Nous vous recommandons de les analyser en priorité.
    • Modéré : les incidents modérés présentent un certain risque, celui-ci reste inférieur aux incidents graves. Nous vous recommandons de les prioriser par rapport aux incidents à faible risque.
    • Faible : les incidents à faible risque peuvent être examinés en dernier, après avoir examiné les incidents de risque supérieur.

    Le nombre situé à côté de chaque niveau de risque indique le nombre d'incidents associés à ce niveau de risque.

Détails de l'environnement

Pour afficher les incidents dans un environnement pour la période sélectionnée, sélectionnez l'environnement dans le tableau ci-dessus. La vue Détails de l'environnement s'affiche :

Vue des incidents.

Si vous constatez un incident ou un trafic détecté et que vous souhaitez créer une action de sécurité pour bloquer ou signaler les requêtes associées à l'incident ou au trafic détecté, cliquez sur Créer une action de sécurité en haut de la page. La page Actions de sécurité s'ouvre.

La vue Détails de l'environnement comporte deux onglets :

  • Incidents : affiche la liste des incidents dans l'environnement et des informations les concernant.
  • Trafic détecté : affiche les détails du trafic abusif détecté lié aux incidents.

Incidents

L'onglet Incidents de la vue Détails de l'environnement ci-dessus affiche les options suivantes :

  • Environnement : modifiez l'environnement pour lequel afficher les incidents.
  • Proxy : vous pouvez sélectionner Tous pour afficher les incidents concernant tous les proxys, ou sélectionner un proxy individuel pour n'afficher que les incidents de ce proxy.
  • Inclure les incidents archivés : lorsque cette option est sélectionnée, la liste des incidents affiche les incidents archivés. Les incidents archivés s'affichent avec une icône : Icône "Archivé"

    Pour masquer les incidents archivés dans la liste, désélectionnez Inclure les incidents archivés. Vous pouvez masquer les incidents archivés si de nombreux incidents s'affichent et que vous ne souhaitez pas tous les afficher, ou si vous souhaitez masquer les incidents que vous avez déjà examinés.

La vue Incidents affiche également les éléments suivants :

  • Nom de l'incident : nom généré résumant l'incident.
  • Niveau de risque : niveau de risque de l'incident.

  • Règles de détection : liste des règles de détection déclenchées par l'incident.

  • Trafic lié à l'incident : nombre total d'événements, c'est-à-dire des appels d'API tagués par l'une des règles de détection liées à l'incident.
  • Premier événement détecté : date et heure de détection du premier événement de l'incident.
  • Dernier événement détecté : date et heure de détection du dernier événement de l'incident.
  • Durée : durée de l'incident, du premier événement au dernier.
  • UUID : identifiant unique universel de l'incident.

Détails de l'incident

Pour afficher les détails d'un incident, cliquez sur son nom dans le tableau. Ceci affiche le volet Présentation de la vue Détails de l'incident s'affiche, comme illustré ci-dessous :

Vue des détails de l'incident.

Comme dans la vue Détails de l'environnement, vous pouvez cliquer sur Créer une action de sécurité en haut de la page pour créer une action de sécurité en réponse à l'incident.

La vue Détails de l'incident comporte deux onglets, Présentation et Attributs. Les attributs, également appelés dimensions, sont des regroupements de données qui vous permettent d'afficher l'incident de différentes manières. Par exemple, l'attribut "Produits d'API" vous permet d'afficher les données d'incident par produit d'API.

Les onglets Présentation et Attributs sont décrits ci-dessous.

Archiver des incidents

Pour vous aider à distinguer les incidents que vous avez déjà examinés des autres, vous pouvez archiver ceux qui ne vous intéressent plus. L'archivage d'un incident le masque de la liste Détails de l'environnement > Incidents (à condition que l'option Inclure les incidents archivés ne soit pas sélectionnée). L'archivage ne supprime pas un incident : vous pouvez toujours le désarchiver si vous changez d'avis.

Pour archiver un incident, sélectionnez Archiver en haut de la vue Détails de l'incident. Une fois cette opération effectuée, l'étiquette du bouton Archiver devient Désarchiver. Bouton "Désarchiver"

Désarchiver des incidents

Pour désarchiver un incident archivé, procédez comme suit :

  1. Dans la vue Détails de l'environnement > Incidents, cliquez sur l'icône située à côté de l'incident que vous souhaitez désarchiver : Icône "Archivé"
  2. En haut de la liste des incidents, cliquez sur Désarchiver.

Vous pouvez aussi cliquer sur Désarchiver si vous êtes dans la vue Détails de l'incident.

Onglets Présentation et Attributs

Présentation

Le volet Présentation affiche les informations de base sur l'incident, y compris les éléments suivants :

  • Nom de l'incident : nom de l'incident.
  • Niveau de risque : niveau de risque de l'incident.
  • Proxys concernés : nombre de proxys affectés par l'incident. Cliquez sur Afficher les proxys pour afficher les proxys concernés.
  • Durée : durée de l'incident, du premier événement au dernier.
  • Événements : affiche un graphique de séries temporelles des événements de l'incident. Pour chaque point de temps du graphique, la valeur "y" associée correspond au nombre total d'événements sur une courte période autour de ce moment. Si vous passez la souris sur un point du graphique, le nombre d'événements de la période la plus récente est affiché sous Valeur. Vous pouvez voir les valeurs où les périodes changent en déplaçant le curseur vers la gauche ou vers la droite, et en observant les modifications.

    Le volet Événements affiche également les informations suivantes sur les événements :

    • Premier événement détecté : date et heure de détection du premier événement de l'incident.
    • Dernier événement détecté : date et heure de détection du dernier événement de l'incident.
    • Trafic total lié à l'incident : nombre total d'événements liés à l'incident.

    Pour afficher les adresses IP liées à l'incident, cliquez sur Afficher toutes les adresses IP.

    Remarque : Cette opération affiche des adresses IP uniques, même si plusieurs incidents correspondent à la même adresse IP.
  • Principales règles détectées : affiche au maximum cinq des principaux groupes de règles détectés, y compris les informations suivantes :
    • Règles dominantes : règles de détection les plus significatives déclenchées par l'incident.
    • Événements d'API pour les règles dominantes : nombre d'événements d'API tagués par les règles dominantes.
    • Nombre total de règles détectées : nombre de règles de détection déclenchées par l'incident.

    Pour afficher toutes les règles, cliquez sur Afficher toutes les règles en bas de la fiche.

  • Principaux pays détectés : carte indiquant les pays à l'origine des événements de l'incident. Sous la carte se trouve un graphique affichant au maximum cinq de ces pays, ainsi que le pourcentage du trafic total émis par chacun de ces pays.

    Remarque : Si le pays d'origine des événements ne peut pas être déterminé, la carte affiche non défini.

    Pour afficher tous les pays, cliquez sur Afficher tous les pays en bas de la fiche.

Attributs

La vue Attributs vous permet d'approfondir les détails d'un incident. Les attributs, également appelés dimensions, sont des regroupements de données qui vous permettent d'afficher l'incident de différentes manières. Par exemple, l'attribut "Produits d'API" vous permet d'afficher les données d'incident par produit d'API.

Pour afficher la section Attributs, sélectionnez Attributs en haut de la vue Détails de l'incident.

Volet Attributs où les produits d'API sont sélectionnés.

Le volet de gauche affiche tous les attributs et le nombre de valeurs distinctes pour chaque attribut. Vous pouvez sélectionner un attribut pour afficher les détails de l'incident associé.

L'image ci-dessus montre la vue Attributs pour les Produits d'API. Le volet Produits d'API affiche des graphiques du pourcentage d'appels d'API effectués pour chaque produit d'API. Consultez la section Que signifie l'attribut (not set) ? pour en savoir plus sur la valeur (not set).

Le champ Filtre vous permet de filtrer les données affichées dans le volet d'un attribut suivant diverses propriétés.

En général, le volet d'un attribut affiche un tableau qui présente les données d'incident suivant les valeurs de l'attribut. Les colonnes du tableau sont les suivantes :

  • Nombre total d'appels effectués : nombre total d'appels d'API.
  • Pourcentage d'appels : pourcentage de tous les appels pour chaque valeur de l'attribut.
  • Date et heure de dernière détection : date et heure de la dernière détection d'un événement lié à l'incident.

Pour certains attributs, la table comporte des colonnes supplémentaires.

Vous pouvez choisir parmi les attributs suivants dans le volet de gauche :

  • Produits d'API : affichez les détails de l'incident par produit d'API.
  • Clés d'application : affichez les détails des incidents par clé d'application, également appelée clé API ou clé client, correspondant à un identifiant pour le client.
  • Pays/Régions : affichez les détails de l'incident par pays et région d'origine des événements.
  • Développeurs : affichez les détails de l'incident selon les développeurs, c'est-à-dire les personnes qui utilisent vos API pour développer des applications. Outre les trois colonnes décrites ci-dessus, l'attribut Développeurs comprend également une colonne intitulée Applications, qui indique le nombre d'applications pour chaque développeur.
  • Applications des développeurs : affichez les détails de l'incident par application.

    Outre les trois colonnes décrites ci-dessus, l'attribut Applications des développeurs contient également la colonne Développeurs, qui indique les personnes ayant créé les applications.

  • Adresses IP : affichez les détails de l'incident par adresse IP, qui sont les sources des événements de l'incident. Cliquez sur Afficher toutes les adresses IP pour afficher les adresses IP. Remarque : Le volet Adresses IP affiche des adresses IP uniques, même si plusieurs incidents correspondent à la même adresse IP.

    L'attribut Adresses IP affiche les colonnes suivantes :

    • Adresse IP : adresse IP pour l'incident.
    • Emplacement : emplacement de l'adresse IP.
    • Trafic détecté : nombre total de requêtes provenant de l'adresse IP.
    • Pourcentage d'appels : pourcentage de requêtes provenant de l'adresse IP parmi tous les appels de l'environnement.
    • Premier événement détecté : première fois qu'un événement a été détecté dans l'incident.
    • Dernier événement détecté : dernière fois qu'un événement a été détecté dans l'incident.
  • Proxys : affichez les détails des incidents par proxy.
  • Codes de réponse : affichez les détails de l'incident par code de réponse.
  • Règles : affichez les détails de l'incident par règle de détection.
  • User-agents : affichez les détails de l'incident par user-agent, c'est-à-dire l'agent logiciel qui a effectué l'appel d'API.

Que signifie l'attribut (not set) ?

Un attribut peut parfois avoir la valeur (not set). Plusieurs raisons peuvent expliquer cela. En premier lieu, il est possible qu'Apigee ne dispose pas de suffisamment d'informations pour déterminer la valeur de l'attribut, par exemple le pays d'origine d'un appel d'API. Il est également possible que l'attribut ne s'applique pas à un cas particulier. Pour plus d'informations, consultez la section Signification d'une valeur d'entité d'analyse "(not set)".

Trafic détecté

La vue Trafic détecté affiche des informations sur les incidents dont le dernier événement détecté s'est produit au cours des 14 derniers jours. Pour en savoir plus sur la période des données affichées dans l'interface utilisateur, consultez la section Limites applicables aux incidents et aux données affichées.

Pour ouvrir la vue Trafic détecté, sélectionnez Trafic détecté dans la vue Détails de l'environnement, comme illustré ci-dessous :

Vue "Métriques d'utilisation abusive".

La vue Trafic détecté affiche les données suivantes :

  • Trafic total : nombre total de requêtes.
  • Trafic détecté : nombre de requêtes provenant d'adresses IP associées à un abus détecté.
  • Pourcentage de trafic détecté : pourcentage de trafic détecté par rapport au trafic total.
  • Nombre d'adresses IP détectées : nombre d'adresses IP distinctes correspondant à l'abus détecté. Plusieurs requêtes provenant de la même adresse IP ne sont comptabilisées qu'une seule fois.

La vue Trafic détecté affiche également un tableau listant les détails de chaque adresse IP correspondant à l'abus détecté. Notez que par défaut, pour des raisons de confidentialité, les adresses IP ne sont pas affichées. Pour les afficher, sélectionnez Afficher toutes les adresses IP en haut du tableau.

Chaque ligne du tableau des adresses IP contient :

  • Adresse IP : adresse IP de l'abus détecté. Cliquez sur Afficher pour afficher l'adresse.
  • Emplacement : emplacement de l'adresse IP.
  • Clé d'application principale : clé d'application utilisée le plus fréquemment dans les requêtes provenant de l'adresse IP. Remarque : la clé d'application est un autre terme qui désigne la clé API.
  • Règles de détection : liste de toutes les règles de détection déclenchées par l'abus.
  • URL principale : URL ayant reçu le plus de requêtes provenant de l'adresse IP.
  • Trafic détecté : nombre de requêtes provenant de l'adresse IP.
  • Pourcentage de trafic détecté : pourcentage de requêtes provenant de l'adresse IP parmi toutes les requêtes de l'environnement.
  • Premier événement détecté : première fois qu'un événement a été détecté dans une requête provenant de l'adresse IP au cours de la période sélectionnée en haut de la page Scores de sécurité.
  • Dernier événement détecté : dernière fois qu'un événement a été détecté dans une requête provenant de l'adresse IP au cours de la période sélectionnée en haut de la page Scores de sécurité.

Limites de la détection des abus

La détection des abus présente les limites suivantes.

  • Les incidents dont le dernier événement détecté date de plus de 14 jours ne s'affichent pas dans l'interface utilisateur de détection des abus. Pour en savoir plus sur les incidents et les données affichés dans l'interface utilisateur, consultez la section Limites applicables aux incidents et aux données affichées.
  • Lorsque vous activez Advanced API Security pour une organisation pour la première fois ou que vous la réactivez, il existe un délai pendant lequel les événements sont regroupés en incidents. Par la suite, il y aura des retards périodiques.
  • Le chargement de la page des attributs Détails de l'incident peut prendre un certain temps pour les organisations présentant un trafic important.