Cette page a été traduite par l'API Cloud Translation.

Règles de détection

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d' Apigee Edge.

Advanced API Security utilise des règles de détection pour détecter des modèles inhabituels dans le trafic des API pouvant représenter une activité malveillante. Ces règles incluent des modèles de machine learning, entraînés sur des données d'API réelles et des règles descriptives, basées sur des types connus de menaces d'API.

Le tableau suivant répertorie les règles de détection et leur description.

Règle de détection	Description
Preview:Advanced API Scraper	Un modèle de machine learning qui détecte le scraping des API, c'est-à-dire l'extraction des informations ciblées à partir d'API à des fins malveillantes.
Preview : Détection avancée des anomalies	Modèle de machine learning permettant de détecter des anomalies (modèles inhabituels d'événements) dans le trafic des API. Consultez la section À propos de la détection d'anomalies avancée.
Brute Guessor	Haute proportion d'erreurs de réponse au cours des dernières 24 heures
Flooder	Haute proportion de trafic provenant d'une adresse IP dans un intervalle de cinq minutes
OAuth Abuser	Nombre élevé de sessions OAuth avec un petit nombre d'user-agents au cours des dernières 24 heures
Robot Abuser	Nombre élevé d'erreurs de refus 403 au cours des dernières 24 heures
Static Content Scraper	Proportion élevée de taille de la charge utile de la réponse émanant d'une même adresse IP, dans un intervalle de cinq minutes
TorListRule	Liste d'adresses IP de nœuds de sortie Tor. Un nœud de sortie Tor est le dernier nœud Tor par lequel le trafic transite sur le réseau Tor avant d'arriver sur Internet. La détection de nœuds de sortie Tor indique qu'un agent a envoyé du trafic à vos API à partir du réseau Tor, éventuellement à des fins malveillantes.

À propos de la détection d'anomalies avancée

L'algorithme de détection des anomalies avancées s'appuie sur le trafic de votre API, en tenant compte de facteurs tels que les taux d'erreur, le volume de trafic, la taille des requêtes, la latence, la géolocalisation et d'autres métadonnées de trafic au niveau de l'environnement. En cas de variations significatives des schémas de trafic (par exemple, une augmentation du trafic, des taux d'erreur ou de latence), le modèle signale l'adresse IP ayant contribué à l'anomalie dans "Trafic détecté".

Vous pouvez également combiner la détection d'anomalies avec des actions de sécurité pour signaler automatiquement ou refuser le trafic détecté comme anormal par le modèle. Pour en savoir plus, consultez le post de la communauté "Utiliser les actions de sécurité d'Advanced API Security d'Apigee pour signaler et bloquer le trafic suspect".

Comportement du modèle

Pour réduire le risque que des acteurs malveillants puissent exploiter le modèle, nous ne divulguons pas de détails spécifiques sur son fonctionnement ni sur la façon dont les incidents sont détectés. Toutefois, ces informations supplémentaires peuvent vous aider à exploiter au mieux la détection des anomalies:

Tenir compte de la variabilité saisonnière:comme le modèle est entraîné sur vos données de trafic, il peut reconnaître et tenir compte des variations saisonnières du trafic (comme le trafic pendant les fêtes), si vos données de trafic incluent des données précédentes pour ce modèle, comme les mêmes fêtes d'une année précédente.
Identifier les anomalies :

Pour les clients Apigee et hybrides existants:Apigee vous recommande de disposer d'au moins deux semaines de données historiques sur le trafic des API. Pour des résultats plus précis, 12 semaines de données historiques sont préférables. La détection d'anomalies avancée commence à détecter des anomalies dans les six heures suivant l'activation de l'entraînement du modèle.
Nouveaux utilisateurs d'Apigee:le modèle commence à détecter des anomalies six heures après l'activation, si vous disposez d'au moins deux semaines d'historique de données. Toutefois, nous vous recommandons de faire preuve de prudence lorsque vous réagissez aux anomalies détectées jusqu'à ce que le modèle dispose d'au moins 12 semaines de données pour l'entraînement. Le modèle est entraîné en continu sur votre historique de données sur le trafic afin de gagner en précision au fil du temps.

Limites

Pour la détection d'abus et la détection d'anomalies avancée:

Les anomalies sont détectées au niveau de l'environnement. La détection d'anomalies au niveau d'un proxy individuel n'est pas disponible pour le moment.
La détection d'anomalies n'est pas disponible pour les clients VPC-SC pour le moment.

Règles de machine learning et de détection

Advanced API Security utilise des modèles créés avec les algorithmes de machine learning de Google pour détecter les menaces de sécurité pesant sur vos API. Ces modèles sont pré-entraînés sur des ensembles de données de trafic d'API réels (y compris vos données de trafic actuelles, si elles sont activées) contenant des menaces de sécurité connues. Par conséquent, les modèles apprennent à reconnaître les modèles de trafic d'API inhabituels, tels que le scraping et les anomalies d'API, et les événements de cluster basés sur des modèles similaires.

Deux des règles de détection sont basées sur des modèles de machine learning:

Advanced API Scraper
Détection d'anomalies avancée