Détails de la violation du bot

Connexions client excessives

Lorsqu’un client tente d’accéder à l’application Web, la demande du client est traitée dans l’appliance Citrix ADC, au lieu de se connecter directement au serveur. Le trafic Web comprend des bots et les bots peuvent effectuer diverses actions à un rythme plus rapide qu’un humain.

À l’aide de l’indicateur Connexions client excessives, vous pouvez analyser des scénarios lorsqu’une application reçoit des connexions client exceptionnellement élevées via des bots.

Connexions client excessives

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le nombre total d’adresses IP transportant l’application

  • Plage d’adresses IP acceptée que l’application peut recevoir

Prise en charge de compte

Remarque

Assurez-vous d’activer les options avancées d’analyse de sécurité et de transaction Web. Pour de plus amples informations, consultez Configuration.

Certains robots malveillants peuvent voler les informations d’identification de l’utilisateur et effectuer divers types de cyberattaques. Ces bots malveillants sont connus sous le nom de mauvais bots. Il est essentiel d’identifier les robots défectueux et de protéger votre appliance contre toute forme d’attaques de sécurité avancées.

Conditions préalables

Vous devez configurer les paramètres de prise en charge de compte dans Citrix ADM.

  1. Accédez à Analytics > Paramètres > Violations de sécurité

  2. Cliquez sur Ajouter

    Prise en charge de compte

  3. Dans la page Ajouter une application, spécifiez les paramètres suivants :

    1. Application  : sélectionnez le serveur virtuel dans la liste.

    2. Méthode  : sélectionnez le type de méthode HTTP dans la liste. Les options disponibles sont GET, PUSH, POSTet UPDATE.

    3. URL de connexion et code de réponse de succès  : spécifiez l’URL de l’application Web et spécifiez le code d’état HTTP (par exemple, 302) pour lequel vous souhaitez que Citrix ADM signale la violation de prise en charge de compte des robots défectueux.

    4. Cliquez sur Add.

      Prise de contrôle de compte

Après avoir configuré les paramètres, à l’aide de l’indicateur de Account takeover, vous pouvez analyser si les robots défectueux ont tenté de prendre le contrôle de votre compte, en donnant plusieurs demandes ainsi que des informations d’identification.

Prise de contrôle du compte1

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant l’activité inhabituelle de connexion échouée totale, les connexions réussies et les connexions échouées

  • Adresse IP du robot incorrecte. Cliquez pour afficher des détails tels que l’heure, l’adresse IP, le nombre total de connexions réussies, le nombre total de connexions ayant échoué et le nombre total de demandes effectuées à partir de cette adresse IP.

    Prise de contrôle du compte1

Volume de téléchargement exceptionnellement élevé

Le trafic Web comprend également des données traitées pour le téléchargement. Par exemple, si votre nombre moyen de données de téléchargement par jour est de 500 Mo et si vous chargez 2 Go de données, cela peut être considéré comme un volume de données de téléchargement exceptionnellement élevé. Les robots sont également capables de traiter les données de téléchargement plus rapidement que les humains.

À l’aide de l’indicateur de volume de téléchargement exceptionnellement élevé, vous pouvez analyser des scénarios anormaux de téléchargement de données vers l’application via des robots.

Volume de téléchargement exceptionnellement important

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le volume total de données de téléchargement traité

  • Plage acceptée de données de téléchargement vers l’application

Volume de téléchargement exceptionnellement élevé

Semblable au volume élevé de téléchargement, les robots peuvent également effectuer des téléchargements plus rapides que les humains.

En utilisant l’indicateur de volume de téléchargement exceptionnellement élevé, vous pouvez analyser des scénarios anormaux de téléchargement de données de l’application via des robots.

Téléchargement exceptionnellement grand

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le volume total de données de téléchargement traité

  • La plage acceptée de données de téléchargement de l’application

Taux de demande exceptionnellement élevé

Vous pouvez contrôler le trafic entrant et sortant depuis ou vers une application. Une attaque bot peut effectuer un taux de demande élevé inhabituel. Par exemple, si vous configurez une application pour autoriser 100 requêtes/minute et si vous observez 350 requêtes, il peut s’agir d’une attaque de bot.

À l’aide de l’indicateur Taux de demande exceptionnellement élevé, vous pouvez analyser le taux de demande inhabituel reçu à l’application.

Taux de demande élevé

Sous Détails de l’événement, vous pouvez afficher :

  • L’application touchée. Vous pouvez également sélectionner l’application dans la liste si deux applications ou plus sont affectées par des violations.

  • Graphique indiquant toutes les violations

  • L’heure d’occurrence de la violation

  • Message de détection de la violation, indiquant le nombre total de demandes reçues et% de demandes excessives reçues par rapport aux demandes attendues

  • La fourchette acceptée de la fourchette de taux de demande prévue à partir de la demande