Ce document explique comment utiliser la fonctionnalité "Attaques et enquêtes" pour identifier et examiner les menaces de sécurité telles que le credential stuffing.
reCAPTCHA détecte les attaques et les affiche sur la page Attaques de la Google Cloud console. Vous pouvez afficher une liste des attaques potentielles et examiner les détails de l'enquête pour comprendre la portée et l'impact d'une attaque.
Présentation
La fonctionnalité "Attaques et enquêtes" vous aide à identifier les attaques ciblant vos sites. reCAPTCHA analyse votre trafic pour identifier les schémas d'utilisation abusive. reCAPTCHA détecte les comportements anormaux et les signale comme des attaques potentielles.
Types d'attaques compatibles
Les attaques sont classées par type. Comprendre le type d'attaque peut vous aider à adapter votre enquête. Les types d'attaques suivants sont compatibles :
Credential stuffing : ce type d'attaque utilise des listes de noms d'utilisateur et de mots de passe volés pour tenter d'obtenir un accès non autorisé aux comptes utilisateur.
Afficher les attaques et enquêter sur elles
Pour afficher la liste des attaques détectées, accédez à la page **Attaques** de la Google Cloud console.
La page Attaques répertorie les attaques détectées, ainsi que des informations clés pour vous aider à identifier et à hiérarchiser les menaces. Cliquez sur une attaque pour ouvrir la page Détails de l'attaque, qui fournit une vue complète de l'enquête.
Pour comprendre la portée d'une attaque, commencez par évaluer son impact. Les informations de la page Détails de l'attaque vous aident à comprendre l'ampleur de l'incident afin de pouvoir hiérarchiser les enquêtes qui nécessitent une attention immédiate.
Analyser les schémas de trafic
Utilisez la chronologie des événements pour visualiser le cycle de vie de l'attaque. Recherchez les pics d'activité frauduleuse pour identifier le moment où l'attaque était la plus agressive. Si disponible, examinez les événements potentiellement légitimes. Ces requêtes semblent légitimes, mais partagent des schémas avec l'attaque détectée, ce qui peut indiquer un comportement sophistiqué de bot ou un réseau compromis.
Identifier et bloquer les menaces
Pour arrêter l'attaque et éviter qu'elle ne se reproduise, vous devez identifier ses caractéristiques et son origine. La liste détaillée des événements vous permet d'inspecter les requêtes individuelles pour trouver des points communs. Recherchez des schémas dans les données suivantes des événements :
- Adresse IP de l'utilisateur transmise par le site : vérifiez si les attaques proviennent d'un sous-réseau spécifique.
- User-agent transmis par le site : identifiez des versions de navigateur spécifiques ou des signatures de bot.
- Libellé de protection du compte : recherchez des signes d'activité de connexion suspecte ou de piratage de compte.
- Score : examinez la façon dont reCAPTCHA évalue ces requêtes spécifiques.
Utilisez ces insights pour configurer vos règles de pare-feu ou ajuster vos stratégies de sécurité reCAPTCHA.
Gérer l'état de l'enquête
Vous pouvez suivre la progression de vos enquêtes en mettant à jour l'état. Pour modifier l'état, cliquez sur Définir l'état sur la page Détails de l'attaque , puis sélectionnez l'état approprié :
- Nouveau : état par défaut d'une attaque nouvellement détectée.
- Actif : indique que l'enquête est en cours.
- Fermé : indique que vous avez terminé d'enquêter sur l'attaque. Si de nouveaux événements suspects sont détectés ultérieurement, l'état passe automatiquement de Fermé à Actif.