Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Règles de détection

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d' Apigee Edge.

Advanced API Security utilise des règles de détection pour détecter des modèles inhabituels dans le trafic des API pouvant représenter une activité malveillante. Ces règles incluent des modèles de machine learning, entraînés sur des données d'API réelles et des règles descriptives, basées sur des types connus de menaces d'API.

Le tableau suivant répertorie les règles de détection et leur description.

Règle de détection	Description
Preview : Advanced API Scraper	Un modèle de machine learning qui détecte le scraping des API, c'est-à-dire l'extraction des informations ciblées à partir d'API à des fins malveillantes.
Aperçu : Détection avancée des anomalies	Modèle de machine learning permettant de détecter des anomalies (modèles inhabituels d'événements) dans le trafic des API. Consultez la section À propos de la détection avancée des anomalies.
Brute Guessor	Proportion élevée d'erreurs de réponse (4xx et 5xx) au cours des dernières 24 heures
Flooder	Proportion élevée de trafic provenant d'une adresse IP dans un intervalle de cinq minutes
OAuth Abuser	Nombre élevé de sessions OAuth avec un petit nombre d'user-agents au cours des dernières 24 heures
Robot Abuser	Nombre élevé d'erreurs de refus 403 au cours des dernières 24 heures
Static Content Scraper	Proportion élevée de taille de la charge utile de la réponse émanant d'une même adresse IP, dans un intervalle de cinq minutes
TorListRule	Liste d'adresses IP de nœuds de sortie Tor. Un nœud de sortie Tor est le dernier nœud Tor par lequel le trafic transite sur le réseau Tor avant d'arriver sur Internet. La détection des nœuds de sortie Tor indique qu'un agent a envoyé du trafic à vos API depuis le réseau Tor, peut-être à des fins malveillantes.

À propos de la détection avancée des anomalies

L'algorithme de détection avancée des anomalies apprend de votre trafic d'API, en tenant compte de facteurs tels que les taux d'erreur, le volume de trafic, la taille des requêtes, la latence, la géolocalisation et d'autres métadonnées de trafic au niveau de l'environnement. En cas de changements importants dans les modèles de trafic (par exemple, une augmentation du trafic, des taux d'erreur ou de la latence), le modèle signale l'adresse IP qui a contribué à l'anomalie dans le trafic détecté.

Vous pouvez également combiner la détection des anomalies avec des actions de sécurité pour signaler ou refuser automatiquement le trafic détecté comme anormal par le modèle. Pour en savoir plus, consultez le post de la communauté "Utiliser les actions de sécurité d'Apigee Advanced API Security pour signaler et bloquer le trafic suspect".

Comportement du modèle

Pour réduire le risque que des acteurs malveillants exploitent le modèle, nous ne divulguons pas d'informations spécifiques sur son fonctionnement ni sur la manière dont les incidents sont détectés. Toutefois, ces informations supplémentaires peuvent vous aider à tirer le meilleur parti de la détection des anomalies :

Prise en compte des variations saisonnières : le modèle étant entraîné sur vos données sur le trafic, il peut reconnaître et prendre en compte les variations saisonnières du trafic (comme le trafic pendant les fêtes), si vos données sur le trafic incluent des données précédentes pour ce modèle, comme les mêmes fêtes l'année précédente.
Détection des anomalies :

Pour les clients Apigee et hybrides existants : Apigee vous recommande de disposer d'au moins deux semaines de données historiques sur le trafic d'API. Pour obtenir des résultats plus précis, il est préférable de disposer de 12 semaines de données historiques. La détection avancée des anomalies commence à détecter les anomalies dans les six heures suivant l'activation de l'entraînement du modèle.
Nouveaux utilisateurs d'Apigee : le modèle commence à détecter les anomalies six heures après l'activation, si vous disposez d'au moins deux semaines de données historiques. Toutefois, nous vous recommandons d'être prudent lorsque vous agissez sur les anomalies détectées tant que le modèle ne dispose pas d'au moins 12 semaines de données pour l'entraînement. Le modèle est entraîné en continu sur vos données sur le trafic historiques afin de devenir plus précis au fil du temps.

Limites

Pour la détection avancée des anomalies de la détection des abus, les anomalies sont détectées au niveau de l'environnement. La détection des anomalies au niveau d'un proxy individuel n'est pas prise en charge pour le moment.

Règles de machine learning et de détection

Advanced API Security utilise des modèles créés avec les algorithmes de machine learning de Google pour détecter les menaces de sécurité pesant sur vos API. Ces modèles sont pré-entraînés sur des ensembles de données de trafic d'API réels (y compris vos données de trafic actuelles, si cette option est activée) contenant des menaces de sécurité connues. Par conséquent, les modèles apprennent à reconnaître les modèles de trafic d'API inhabituels, tels que le scraping et les anomalies d'API, et les événements de cluster basés sur des modèles similaires.

Deux des règles de détection sont basées sur des modèles de machine learning :

Advanced API Scraper
Détection d'anomalies avancée