Configurer le Security Shield
Modes par workspace et par clé, seuils personnalisés, règles IP et webhooks SIEM.
Modes
Configurez le mode depuis Dashboard → Guardian → Security Shield → Configuration ou via l'API.
- off, shield complètement désactivé. Aucun scan, aucun événement.
- monitor (défaut), le scan s'exécute en tâche de fond. Aucun impact sur la latence. Les menaces sont loggées dans security_events sans jamais bloquer les requêtes. Idéal pour une phase de rodage avant d'activer le mode block.
- block, le scan est attendu avant l'appel upstream. Les requêtes dont le score atteint ou dépasse le seuil reçoivent une HTTP 400 threat_blocked immédiatement.
Seuil de blocage
Le seuil de blocage (0,0-1,0, défaut 0,85) détermine le threat_score minimum requis pour bloquer une requête en mode block. Nous recommandons de commencer à 0,85 et de diminuer uniquement si vous observez des menaces manquées dans les logs du mode monitor.
Override par clé API
Chaque clé API peut surcharger le mode du workspace. Passez une clé en mode block pour les intégrations non fiables, tout en maintenant votre automation interne en monitor. Utilisez Dashboard → Clés → ⋯ → Mode de sécurité.
Règles IP (allowlist / blocklist)
Ajoutez des règles CIDR sous Dashboard → Guardian → Security Shield → Règles IP. Les règles allow ont la priorité sur les règles deny.
Webhooks SIEM
Transférez les événements de menace vers Splunk, Datadog, un SIEM personnalisé ou tout endpoint HTTP. Les payloads sont signés avec une signature HMAC-SHA256 dans l'en-tête X-HiWay-Signature.