Identifier et examiner les attaques

Ce document explique comment utiliser la fonctionnalité "Attaques et enquêtes" pour identifier et examiner les menaces de sécurité telles que le credential stuffing.

reCAPTCHA détecte les attaques et les affiche sur la page Attaques de la console Google Cloud . Vous pouvez afficher la liste des attaques potentielles et examiner les détails de l'enquête pour comprendre l'étendue et l'impact d'une attaque.

Présentation

La fonctionnalité "Attaques et investigations" vous aide à identifier les attaques ciblant vos sites. reCAPTCHA analyse votre trafic pour identifier les schémas d'utilisation abusive. reCAPTCHA détecte les comportements anormaux et les signale comme des attaques potentielles.

Types d'attaques acceptés

Les attaques sont classées par type. Comprendre le type d'attaque peut vous aider à adapter votre enquête. Les types d'attaques suivants sont acceptés :

Bourrage d'identifiants : ce type d'attaque utilise des listes de noms d'utilisateur et de mots de passe volés pour tenter d'accéder de manière non autorisée aux comptes utilisateur.

Afficher les attaques et enquêter sur celles-ci

Pour afficher la liste des attaques détectées, accédez à la page Attaques dans la console Google Cloud .

La page Attaques liste les attaques détectées ainsi que des informations clés pour vous aider à identifier et à hiérarchiser les menaces. Cliquez sur une attaque pour ouvrir la page Détails de l'attaque, qui fournit une vue complète de l'investigation.

Pour comprendre l'ampleur d'une attaque, commencez par évaluer son impact. Les informations de la page Détails de l'attaque vous aident à comprendre l'ampleur de l'incident afin de pouvoir hiérarchiser les investigations qui nécessitent une attention immédiate.

Analyser les tendances du trafic

Utilisez la chronologie des événements pour visualiser le cycle de vie de l'attaque. Recherchez les pics d'activité frauduleuse pour identifier les périodes où l'attaque était la plus agressive. Si disponible, examinez les événements Potentiellement légitimes. Ces demandes semblent légitimes, mais partagent des schémas avec l'attaque détectée, ce qui peut indiquer un comportement sophistiqué de bot ou un réseau compromis.

Identifier et bloquer les menaces

Pour arrêter l'attaque et en éviter d'autres, vous devez identifier ses caractéristiques et son origine. La liste détaillée des événements vous permet d'inspecter les demandes individuelles pour identifier les points communs. Recherchez des tendances dans les données suivantes des événements :

  • Adresse IP de l'utilisateur transmise par le site : vérifiez si les attaques proviennent d'un sous-réseau spécifique.
  • User-agent transmis par le site : identifiez des versions de navigateur ou des signatures de robots spécifiques.
  • Libellé de protection du compte : recherchez les signes d'activité de connexion suspecte ou de piratage de compte.
  • Score : examinez comment reCAPTCHA évalue ces requêtes spécifiques.

Utilisez ces insights pour configurer vos règles de pare-feu ou ajuster vos stratégies de sécurité reCAPTCHA.

Gérer l'état d'une investigation

Vous pouvez suivre la progression de vos investigations en modifiant leur état. Pour modifier l'état, cliquez sur Définir l'état sur la page Détails de l'attaque, puis sélectionnez l'état approprié :

  • Nouveau : état par défaut d'une attaque récemment détectée.
  • Active : indique que l'enquête est en cours.
  • Fermée : indique que vous avez terminé d'examiner l'attaque. Si de nouveaux événements suspects sont détectés ultérieurement, l'état passe automatiquement de Fermé à Actif.

Étapes suivantes