Cette page a été traduite par l'API Cloud Translation.

Règles de détection

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d' Apigee Edge.

Advanced API Security utilise des règles de détection pour détecter des modèles inhabituels dans le trafic des API pouvant représenter une activité malveillante. Ces règles incluent des modèles de machine learning, entraînés sur des données d'API réelles et des règles descriptives, basées sur des types connus de menaces d'API.

Le tableau suivant répertorie les règles de détection et leur description.

Règle de détection	Description
Preview : Advanced API Scraper	Un modèle de machine learning qui détecte le scraping des API, c'est-à-dire l'extraction des informations ciblées à partir d'API à des fins malveillantes.
Preview : Détection avancée des anomalies	Modèle de machine learning permettant de détecter des anomalies (modèles inhabituels d'événements) dans le trafic des API. Consultez À propos de la détection avancée des anomalies.
Brute Guessor	Haute proportion d'erreurs de réponse au cours des dernières 24 heures
Flooder	Proportion élevée de trafic provenant d'une adresse IP dans un intervalle de cinq minutes
OAuth Abuser	Nombre élevé de sessions OAuth avec un petit nombre d'user-agents au cours des dernières 24 heures
Robot Abuser	Nombre élevé d'erreurs de refus 403 au cours des dernières 24 heures
Static Content Scraper	Proportion élevée de taille de la charge utile de la réponse émanant d'une même adresse IP, dans un intervalle de cinq minutes
TorListRule	Liste d'adresses IP de nœuds de sortie Tor. Un nœud de sortie Tor est le dernier nœud Tor par lequel le trafic transite sur le réseau Tor avant d'arriver sur Internet. La détection des nœuds de sortie Tor indique qu'un agent a envoyé du trafic vers vos API depuis le réseau Tor, probablement à des fins malveillantes.

À propos de la détection d'anomalies avancée

L'algorithme de détection avancée des anomalies apprend à partir de votre trafic d'API, en tenant compte de facteurs tels que les taux d'erreur, le volume de trafic, la taille des requêtes, la latence, la géolocalisation et d'autres métadonnées de trafic au niveau de l'environnement. Si des changements importants se produisent dans les schémas de trafic (par exemple, une augmentation du trafic, des taux d'erreur ou de la latence), le modèle signale l'adresse IP qui a contribué à l'anomalie dans la section "Trafic détecté".

Vous pouvez également combiner la détection des anomalies avec des actions de sécurité pour signaler ou refuser automatiquement le trafic détecté comme anormal par le modèle. Pour en savoir plus, consultez le post de la communauté "Utiliser les actions de sécurité d'Apigee Advanced API Security pour signaler et bloquer le trafic suspect".

Comportement du modèle

Pour réduire le risque que des personnes malintentionnées exploitent le modèle, nous ne divulguons pas d'informations spécifiques sur son fonctionnement ni sur la façon dont les incidents sont détectés. Toutefois, ces informations supplémentaires peuvent vous aider à tirer le meilleur parti de la détection des anomalies :

Tenir compte de la variance saisonnière : le modèle étant entraîné sur vos données de trafic, il peut reconnaître et prendre en compte les variances saisonnières du trafic (comme le trafic des fêtes), si vos données de trafic incluent des données précédentes pour ce modèle, comme les mêmes fêtes l'année précédente.
Affichage des anomalies :

Pour les clients Apigee et hybrides existants : Apigee vous recommande de disposer d'au moins deux semaines de données historiques sur le trafic d'API. Pour des résultats plus précis, il est préférable de disposer de 12 semaines de données historiques. La détection d'anomalies avancée commence à identifier les anomalies dans les six heures suivant l'activation de l'entraînement du modèle.
Nouveaux utilisateurs d'Apigee : le modèle commence à afficher les anomalies six heures après l'activation, si vous disposez d'au moins deux semaines de données historiques. Toutefois, nous vous recommandons d'être prudent lorsque vous agissez en fonction des anomalies détectées, jusqu'à ce que le modèle dispose d'au moins 12 semaines de données pour l'entraînement. Le modèle est entraîné en continu sur vos données de trafic historiques afin de gagner en précision au fil du temps.

Limites

Pour la détection des utilisations abusives et la détection avancée des anomalies :

Les anomalies sont détectées au niveau de l'environnement. La détection des anomalies au niveau de chaque proxy n'est pas disponible pour le moment.
La détection des anomalies n'est pas disponible pour les clients VPC-SC pour le moment.

Règles de machine learning et de détection

Advanced API Security utilise des modèles créés avec les algorithmes de machine learning de Google pour détecter les menaces de sécurité pesant sur vos API. Ces modèles sont pré-entraînés sur des ensembles de données de trafic d'API réels (y compris vos données de trafic actuelles, si elles sont activées) contenant des menaces de sécurité connues. Par conséquent, les modèles apprennent à reconnaître les modèles de trafic d'API inhabituels, tels que le scraping et les anomalies d'API, et les événements de cluster basés sur des modèles similaires.

Deux des règles de détection sont basées sur des modèles de machine learning :

Advanced API Scraper
Détection d'anomalies avancée