Cette page s'applique à Apigee et à Apigee hybrid.
Consultez la documentation d'
Apigee Edge.
Les rapports de sécurité identifient les menaces de sécurité pesant sur vos API. Pour générer les rapports, Apigee analyse les données de trafic des API sur un intervalle de temps spécifié et recherche des schémas de trafic inhabituels pouvant être causés par des agents malveillants. Le rapport obtenu indique une activité suspecte. Vous pouvez utiliser ces informations pour bloquer les attaques contre vos API.
Vous pouvez créer des rapports de sécurité dans Apigee dans la console Cloud ou à l'aide de l'API des rapports de sécurité. Si vous utilisez l'interface utilisateur, les données des rapports sont limitées à l'environnement que vous choisissez. Toutefois, à l'aide de l'API, vous pouvez également créer des rapports pour les groupes d'environnements.
Pour connaître les rôles nécessaires à l'exécution des tâches liées aux rapports de sécurité, consultez la section Rôles requis pour les rapports de sécurité.
Pour utiliser cette fonctionnalité, vous devez activer le module complémentaire. Si vous avez souscrit un abonnement, vous pouvez activer le module complémentaire pour votre organisation. Pour plus d'informations, consultez la page Gérer Advanced API Security pour les organisations avec abonnement. Si vous êtes un client facturé à l'usage, vous pouvez activer le module complémentaire dans vos environnements éligibles. Pour en savoir plus, consultez la page Gérer le module complémentaire Advanced API Security.
Détection des bots
L'une des menaces les plus critiques pour la sécurité des API provient des bots : les scripts automatisés qui envoient des requêtes malveillantes aux API. Advanced API Security recherche des schémas de trafic d'API spécifiques, appelés règles de détection, qui sont basés sur l'analyse de données d'API réelles afin de détecter les bots.
Retard des données des rapports de sécurité
Les données transmises par le pipeline Apigee Analytics présentent un retard moyen de 15 à 20 minutes. Par conséquent, un rapport de sécurité dans lequel l'heure de fin date de moins de 20 minutes dans le passé peut renvoyer des résultats incorrects.
Métriques et fonctions d'agrégation dans les rapports sur la sécurité
Vous pouvez utiliser les métriques et les fonctions d'agrégation suivantes, qui calculent les statistiques sur une métrique, pour un rapport.
| Métrique | Description | Aggregation function |
|---|---|---|
bot |
Nombre d'adresses IP distinctes pour les bots détectés sur des intervalles d'une minute. | count_distinct |
bot_traffic |
Nombre de messages provenant d'adresses IP de bots détectés sur un intervalle d'une minute. | sum |
message_count |
Nombre total d'appels d'API traités par Apigee par intervalles d'une minute. Remarque : |
sum |
response_size |
Taille de la charge utile de réponse renvoyée en octets. | sum, avg, min, max |
bot_first_detected |
Date et heure auxquelles le bot a été détecté pour la première fois. Disponible uniquement via l'API. | min |
bot_last_detected |
Date et heure auxquelles le bot a été détecté pour la dernière fois. Disponible uniquement via l'API. | max |
Dimensions dans les rapports sur la sécurité
Les dimensions vous permettent de regrouper des valeurs de métriques en fonction des sous-ensembles de données associés. Le tableau suivant décrit les dimensions spécifiques à Advanced API Security :
| Dimension | Description |
|---|---|
bot_reason |
Peut être n'importe quelle combinaison des règles de détection de sécurité.
|
incident_id (aperçu) |
UUID pour un incident de sécurité, qui est renvoyé par un appel à l'API Incidents. Consultez la section Exemple : obtenir les détails d'un incident spécifique.
|
security_action |
L'action de sécurité. Les valeurs possibles sont ALLOW, DENY ou FLAG.
|
security_action_name |
Nom de l'action de sécurité. |
security_action_headers |
En-têtes que vous pouvez utiliser pour interroger une action de sécurité de signalement. |
Outre ces dimensions spécifiques à Advanced API Security, Advanced API Security accepte également d'autres dimensions, décrites dans Dimensions.
Consulter les rapports sur la sécurité
Le tableau suivant répertorie des exemples de rapports sur la sécurité que vous pouvez créer à l'aide de différentes métriques et dimensions :
| Signaler | Métriques | Dimensions |
|---|---|---|
| Rapport sur tout le trafic des bots et le nombre de bots pour chaque environnement | bot, bot_traffic | environment |
| Rapport sur le trafic et le nombre de bots pour différentes raisons de bot | bot, bot_traffic | bot_reason |
| Rapport sur le trafic et le nombre de bots pour différents pays | bot, bot_traffic | ax_geo_country |
| Rapport sur le trafic et le nombre de bots pour différents FAI | bot, bot_traffic | ax_isp |
| Rapport de détection de bot (vue détaillée) | bot_traffic | IP client résolue, ax_isp, bot_reason, request_uri, client_id |
| Trafic du bot par jeton d'accès | bot_traffic | access_token |
| Trafic bot par proxy d'API | bot_traffic | apiproxy |
| Trafic du bot par famille d'agent | bot_traffic | ax_ua_agent_family |
| Trafic bot par user-agent | bot_traffic | User-agent |
| Trafic du bot par type d'agent | bot_traffic | ax_ua_agent_type |
| Trafic du bot par catégorie d'appareil | bot_traffic | ax_ua_device_category |
| Trafic du bot par famille d'OS | bot_traffic | ax_ua_os_family |
| Trafic du bot par ID client | bot_traffic | client_id |
| Trafic du bot par chemin de base du proxy | bot_traffic | proxy_basepath |
| Trafic du bot par suffixe de chemin de proxy | bot_traffic | proxy_pathsuffix |
| Trafic du bot par URI de requête | bot_traffic | request_uri |
| Trafic du bot par verbe de requête | bot_traffic | request_verb |
| Trafic du bot par code d'état de la réponse | bot_traffic | response_status_code |
Limites des rapports de sécurité
Les rapports de sécurité présentent les limites suivantes :
- Les données transmises par le pipeline Apigee Analytics présentent un retard moyen de 15 à 20 minutes. Par conséquent, la création d'un rapport dans lequel l'heure de fin date de moins de 20 minutes dans le passé peut renvoyer des résultats incorrects.
- La période maximale pour les rapports sur les bots est d'un an.
- Vous pouvez utiliser un maximum de 25 métriques dans un rapport et un maximum de 25 dimensions.
- Comme pour l'API de création de rapports personnalisés asynchrones, la limite est fixée à 31 Mo de données par rapport. Si vous rencontrez une limite de taille sur un rapport, vous pouvez :
- Réduire la période du rapport.
- Répartir les données en sous-ensembles plus petits en filtrant sur un ensemble de valeurs, puis créer plusieurs rapports, un pour chaque sous-ensemble.
- En raison de la confidentialité, la dimension IP client résolue ne peut pas être répertoriée dans le même rapport avec la dimension ax_geo_city ou ax_geo_country.
- Les tâches de rapport sur la sécurité qui filtrent sur
incident_iddoivent inclureincident_iden tant que dimension. - Les métriques suivantes sont disponibles uniquement via l'API Security Reports et pas dans l'interface utilisateur : bot_first_detected (min) et bot_last_detected (max).