זיהוי התנהלות פוגעת

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

התכונה 'זיהוי ניצול לרעה' ב-Advanced API Security מאפשרת לכם לראות אירועי אבטחה שקשורים לממשקי ה-API שלכם. אירוע אבטחה הוא קבוצה של אירועים עם דפוסים דומים שיכולים לייצג איום אבטחה. התכונה 'אבטחת API מתקדמת' משתמשת במודלים של למידת מכונה כדי לזהות דפוסים שמצביעים על פעילות זדונית, כולל גירוד נתונים (scraping) של API וחריגות, ומקבצת אירועים על סמך דפוסים דומים.

כש-Advanced API Security מזהה אירוע אבטחה, הוא מדווח על הפרטים הבאים:

  • רמת הסיכון ומשך האירוע
  • השרתים הפרוקסי שהושפעו מהאירוע
  • כתובות ה-IP של האירועים שקשורים לתקרית
  • כללי הזיהוי שהופעלו על ידי האירוע
  • מדינות המקור של האירוע

ומידע קשור אחר על האירוע.

אפשר לגשת לזיהוי התנהלות פוגעת דרך ממשק המשתמש של Apigee, כמו שמתואר בהמשך, או דרך Incidents API או Security stats API.

במאמר תפקידים והרשאות שנדרשים לזיהוי התנהלות פוגעת מפורטים התפקידים וההרשאות שנדרשים לשימוש בזיהוי התנהלות פוגעת.

כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.

הבעת הסכמה לשימוש במודלים של למידת מכונה לזיהוי התנהלות פוגעת

אנחנו מבקשים את עזרתכם בשיפור המודלים של למידת המכונה לזיהוי התנהלות פוגעת בארגון שלכם, על ידי מתן הרשאה לאמן את המודלים על הנתונים שלכם. אימון המודלים על הנתונים שלכם עוזר לשפר את הדיוק שלהם בזיהוי אירועי אבטחה. ההדרכה תהיה רלוונטית רק לארגון שלכם. הנתונים שלכם לא ישותפו עם לקוחות אחרים של Google Cloud למטרות אימון.

כשפותחים בפעם הראשונה את הדף Abuse detection בממשק המשתמש של Apigee, מוצגת בקשת הסכמה לאפשר למודלים של למידת מכונה של Advanced API Security להשתמש בנתוני התנועה של ה-API לצורך אימון המודלים. כדי להשתמש במודל לזיהוי התנהלות פוגעת, צריך להביע הסכמה מפורשת. שימו לב: אם לא תבחרו להצטרף לאימון המודל, לא תראו זיהויים של כללים מ'זיהוי אנומליות מתקדם'. הכלל הזה לא פועל אם לא מביעים הסכמה לאימון מודלים.

במאמר ההרשאות והתפקידים הנדרשים לזיהוי התנהלות פוגעת מוסבר אילו תפקידים נדרשים כדי לנהל את ההפעלה של למידת מכונה.

שימוש במודל למידת מכונה לזיהוי שימוש לרעה – זיהוי אנומליות מתקדם

כדי לראות את האנומליות שזוהו בכלי לזיהוי התנהלות פוגעת, צריך להביע הסכמה לאימון מודל מתקדם לזיהוי אנומליות באמצעות למידת מכונה על נתוני תנועת ה-API.

המודל משתמש בנתונים שלכם רק לצורך אימון. הנתונים שלכם אף פעם לא משותפים עם לקוחות אחרים של Google Cloud .

כדי להביע הסכמה לשימוש בנתוני התנועה של ה-API לאימון מודל לזיהוי אנומליות, בוחרים באפשרות הזו כשמוסיפים זיהוי אנומליות להגדרות של זיהוי התנהלות פוגעת.

פתיחת הדף זיהוי התנהלות פוגעת

כדי לפתוח את הדף Abuse detection (זיהוי התנהלות פוגעת):

במסוף Google Cloud , נכנסים לדף Apigee > Advanced API Security > Abuse detection.

מעבר לדף 'זיהוי שימוש לרעה'

יוצג הדף הראשי של זיהוי התנהלות פוגעת:

הדף הראשי של זיהוי התנהלות פוגעת.

שינוי הרשאות כדי לאפשר ל-Apigee לשפר את המודלים של למידת המכונה

אתם יכולים לשנות את ההרשאות שמאפשרות ל-Apigee לשפר את מודלי הלמידה החישובית שלכם בכל שלב. כדי לעשות זאת, לוחצים על הגדרות בפינה השמאלית העליונה של הדף זיהוי התנהלות פוגעת ובוחרים באפשרות להפעיל או להשבית את התכונה הזו.

הדף הראשי של זיהוי שימוש לרעה

בחלק העליון של הדף, אפשר לבחור אחת מתקופות הזמן האחרונות הבאות שבהן רוצים לראות את האירועים: יום, שבוע או שבועיים.

בטבלה שבדף מוצגות הסביבות בארגון שהושפעו מאירועי אבטחה במהלך מרווח הזמן שנבחר.

בכל שורה בטבלה מוצגים גם הנתונים הבאים:

  • סביבה: הסביבה שבה התרחשה ההתנהלות הפוגעת.
  • סה"כ אירועים: המספר הכולל של האירועים בסביבה במהלך מרווח הזמן שנבחר. במאמר מגבלות על אירועים ועל נתונים שמוצגים מוסבר אילו אירועים ונתונים מוצגים בממשק המשתמש.

  • רמת סיכון: מוצג מספר התקריות בשלוש רמות סיכון: חמורה, בינונית ונמוכה. רמת הסיכון מבוססת על מאפיינים שונים של אירוע, כמו מספר הכללים שזוהו, הסוגים שלהם והגודל היחסי של האירוע בהשוואה לתעבורה לגיטימית. רמת הסיכון נועדה לעזור לכם לקבוע סדר עדיפויות לגבי התקריות שצריך לחקור, כדי שתוכלו להתמקד בתקריות הקריטיות ביותר.

    הערך של רמת הסיכון יכול להיות אחד מהערכים הבאים:

    • חמור: אירועים חמורים מציגים סיכון גבוה. מומלץ לתת עדיפות לבדיקה שלהן.
    • בינוני: אירועים ברמת סיכון בינונית מציגים סיכון מסוים, אבל פחות מאירועים ברמת סיכון חמורה. מומלץ לתת להם עדיפות גבוהה יותר מאשר לאירועים ברמת סיכון נמוכה.
    • נמוך: אפשר לחקור אירועים ברמת סיכון נמוכה בסוף, אחרי שחוקרים את האירועים ברמת סיכון גבוהה יותר.

    המספר שליד כל רמת סיכון מציין את מספר האירועים ברמת הסיכון הזו.

פרטי הסביבה

כדי לראות את האירועים בסביבה בטווח הזמן שנבחר, בוחרים את הסביבה בטבלה שמוצגת למעלה. תצוגת פרטי הסביבה תיפתח:

תצוגת האירועים.

אם אתם רואים אירוע או תנועת גולשים שזוהו, ואתם רוצים ליצור פעולת אבטחה כדי לחסום או לסמן בקשות שקשורות לאירוע או לתנועת הגולשים שזוהו, לוחצים על יצירת פעולת אבטחה בחלק העליון של הדף. ייפתח הדף פעולות אבטחה.

בתצוגה פרטי הסביבה יש שתי כרטיסיות:

אירועים

בכרטיסייה אירועים בתצוגה פרטי הסביבה, שמוצגת למעלה, מופיעות האפשרויות הבאות:

  • סביבה: אפשר לשנות את הסביבה שבה רוצים לראות את האירועים.
  • Proxy: אפשר להשתמש באפשרות Select all כדי להציג אירועים עבור כל ה-proxies, או לבחור proxy אחד או יותר כדי להציג אירועים רק עבור ה-proxies שנבחרו.
  • כולל אירועים שהועברו לארכיון: כשמסמנים את התיבה הזו, ברשימת האירועים מוצגים אירועים שהועברו לארכיון. אירועים שהועברו לארכיון מוצגים עם סמל לידם: סמל של אירוע בארכיון.

    כדי להסתיר מהרשימה אירועים שהועברו לארכיון, מבטלים את הסימון של הכללת אירועים שהועברו לארכיון. אולי תרצו להסתיר אירועים שהועברו לארכיון אם מוצגים הרבה אירועים ואתם לא רוצים לראות את כולם, או אם אתם רוצים להסתיר אירועים שכבר בדקתם.

בתצוגה אירועים מוצגים גם הפרטים הבאים:

  • שם האירוע: שם שנוצר לסיכום האירוע.

    יכול להיות שיופיע השם 'שונות' עבור אירועים מסוימים ברמת סיכון נמוכה. הם כוללים תעבורה שלא מתאימה לקבוצות שמייצגות דפוסי איומים מוגדרים היטב ובעלי סיכון גבוה יותר. (הפונקציונליות הזו עדיין לא זמינה אם הפעלתם VPC-SC).
  • רמת הסיכון: רמת הסיכון של האירוע. באופן כללי, מומלץ להתמקד קודם באירועים ברמת סיכון גבוהה, שגם רמת הביטחון שלהם גבוהה יותר מאשר באירועים ברמת סיכון נמוכה.

  • כללי הזיהוי המובילים: רשימה של כללי הזיהוי המובילים שהופעלו על ידי האירוע.

  • תנועה שקשורה לאירוע: המספר הכולל של אירועים: קריאות ל-API שתויגו על ידי אחד מכללי הזיהוי שקשורים לאירוע.
  • האירוע הראשון שזוהה: התאריך והשעה שבהם זוהה האירוע הראשון בתקרית.
  • האירוע האחרון שזוהה: התאריך והשעה שבהם זוהה האירוע האחרון בתקרית.
  • משך: משך האירוע, מהאירוע הראשון שלו ועד לאירוע האחרון.
  • UUID: המזהה הייחודי של התקרית.

פרטי האירוע

כדי לראות את הפרטים של אירוע, לוחצים על השם שלו בטבלה. תוצג החלונית סקירה כללית בתצוגה פרטי האירוע:

כדי ליצור פעולת אבטחה בתגובה לאירוע, לוחצים על יצירת פעולת אבטחה בחלק העליון של הדף.

בתצוגה פרטי האירוע יש שתי כרטיסיות: סקירה כללית ומאפיינים. מידע על הכרטיסייה 'סקירה כללית' זמין במאמר סקירה כללית, ומידע על מאפיינים זמין במאמר מאפיינים.

תצוגת פרטי האירוע

סקירה כללית

בחלונית סקירה כללית מוצג מידע בסיסי על האירוע, כולל:

  • שם האירוע: שם האירוע.
  • רמת הסיכון: רמת הסיכון של האירוע.
  • שרתי proxy מושפעים: מספר שרתי ה-proxy שהושפעו מהאירוע. לוחצים על הצגת שרתי proxy כדי לראות את שרתי ה-proxy המושפעים.
  • משך: משך האירוע, מהאירוע הראשון שלו ועד לאירוע האחרון. מוצגים גם התאריך והשעה שבהם האירוע זוהה לראשונה.
  • כתובות IP (ספירה): מספר כתובות ה-IP הייחודיות שזוהו באירוע הזה. כדי לראות מידע נוסף על כתובות ה-IP, לוחצים על הצגת כתובות IP.
  • תובנות: פרטי אירוע של זיהוי התנהלות פוגעת עשויים לכלול תובנות של AI גנרטיבי שנוצרו באמצעות מודלים גדולים של שפה (LLM) של AI גנרטיבי ב-Google Cloud. מודל ה-LLM מסכם את התנועה שזוהתה לכל אירוע כדי לעזור לכם להבין טוב יותר את אירוע האבטחה, מספק הקשר ומידע נוספים על האירוע, כולל קישורים למסמכים תומכים והמלצות לפעולות הבאות. כדי לשלוח משוב, לוחצים על סמל הלייק או הדיסלייק ומוסיפים הסבר (אופציונלי).

    סיכומי התובנות וההמלצות מבוססים על נתונים מ-14 הימים האחרונים, גם אם האירוע התחיל לפני יותר מ-14 ימים.
    התובנות האלה מ-AI גנרטיבי נכללות אוטומטית בזיהוי ניצול לרעה אם הפרויקט וחשבון המשתמש שלכם מוגדרים לשימוש ב-Cloud AI Companion API. אפשר לעיין במאמרים בנושא הפעלת Cloud AI Companion API בפרויקט ב-Google Cloud והקצאת תפקידי IAM בפרויקט ב-Google Cloud. בנוסף, לחשבונות משתמשים נדרשת הרשאה נוספת כדי להציג תובנות. מידע נוסף על התפקידים וההרשאות הנדרשים לזיהוי התנהלות פוגעת

    כדי להשבית את התובנות מ-AI גנרטיבי, משביתים את Cloud AI Companion API בפרויקט הזה לפי ההוראות במאמר השבתת שירותים.
  • אירועים: מוצג תרשים של סדרת אירועים בזמן בתקרית. לכל נקודת זמן בתרשים, ערך ה-y התואם הוא המספר הכולל של האירועים בתקופה קצרה סביב אותה נקודה. אם מעבירים את הסמן מעל נקודה בתרשים, מספר האירועים בתקופת הזמן האחרונה מוצג מתחת לערך. כדי לראות את הערכים שבהם משתנים פרקי הזמן, מזיזים את הסמן ימינה או שמאלה ומתבוננים בנקודות שבהן הערכים משתנים.

    בחלונית אירועים מוצגים גם סך התנועה בסביבה והתנועה שקשורה לאירוע.

  • הכללים המובילים שזוהו: מוצגות עד חמש מהקבוצות המובילות של הכללים שזוהו, כולל הפרטים הבאים:
    • כללים דומיננטיים: כללי הזיהוי המשמעותיים ביותר שהופעלו על ידי האירוע.
    • אירועים ב-API של כללים דומיננטיים: מספר האירועים ב-API שתויגו על ידי הכללים הדומיננטיים.
    • סה"כ כללים שזוהו: מספר כללי הזיהוי שהופעלו על ידי האירוע.

    כדי לראות את כל הכללים, לוחצים על הצגת כל הכללים בתחתית הכרטיס.

  • המדינות המובילות שזוהו: מפה שבה מוצגות המדינות שהיו מקורות לאירועים בתקרית. מתחת למפה מופיע תרשים שבו מוצגות עד חמש מהמדינות האלה ואחוז התנועה הכוללת שמגיעה מהן.

    הערה: אם אי אפשר לקבוע את מדינת המקור של האירועים, במפה מוצג הערך not set.

    כדי לראות את כל המדינות, לוחצים על הצגת כל המדינות בתחתית הכרטיס.

  • כתובות IP: אפשר לראות את פרטי האירוע לפי כתובות ה-IP של המקור לאירועים באירוע. כדי לראות את כל כתובות ה-IP ברשימה, בוחרים באפשרות הצגת כל כתובות ה-IP. הערה: בחלונית כתובות IP מוצגות כתובות IP ייחודיות, גם אם יותר מאירוע אחד תואם לאותה כתובת IP.

    כתובות IP – בעמודה הזו מוצגים הנתונים הבאים:

    • כתובת IP: כתובת ה-IP של האירוע. אם כתובת ה-IP לא מוצגת, לוחצים על View. אחרי שכתובת ה-IP מוצגת, לוחצים עליה כדי לראות את תצוגת הפרטים.
    • מיקום: המיקום של כתובת ה-IP.
    • תנועה שזוהתה: המספר הכולל של בקשות מכתובת ה-IP.
    • % מהקריאות: אחוז הבקשות מכתובת ה-IP מתוך כל הקריאות בסביבה.
    • האירוע הראשון שזוהה: הפעם הראשונה שבה זוהה אירוע בתקרית.
    • האירוע האחרון שזוהה: הפעם האחרונה שבה זוהה אירוע בתקרית.

  • בקטע API Keys (מפתחות API) מפורטים האירועים לפי מפתח API. בוחרים באפשרות הצגת כל מפתחות ה-API כדי לראות את כל מפתחות ה-API ברשימה. הרשימה כוללת את העמודות הבאות:

    • מפתח API: מפתח ה-API של האירוע. אם המפתח לא מוצג, לוחצים על View. אחרי שמפתח ה-API מוצג, לוחצים עליו כדי לראות את תצוגת הפרטים.
    • אפליקציה: אפליקציית המפתחים או אפליקציית AppGroup שמשויכת למפתח ה-API.
    • תנועה שזוהתה: המספר הכולל של בקשות ממפתח ה-API.
    • % מהקריאות: אחוז הבקשות ממפתח ה-API מתוך כל הקריאות בסביבה.
    • האירוע הראשון שזוהה: הפעם הראשונה שבה זוהה אירוע עם בקשה עם מפתח ה-API הזה בתקרית.
    • האירוע האחרון שזוהה: הפעם האחרונה שזוהה באירוע אירוע עם בקשה עם מפתח ה-API הזה.

צמצום מספר גדול של תוצאות חיוביות כוזבות

אם אתם רואים מספר גדול של תוצאות חיוביות שגויות וכתובות IP פנימיות שמסומנות כאנומליות על ידי כללי זיהוי השימוש לרעה של התכונה'אבטחת API מתקדמת', כדאי לפעול לפי ההנחיות שבקטע הזה כדי לפתור את הבעיה.

כברירת מחדל, Apigee משתמש בכתובת ה-IP הציבורית הראשונה שמופיעה בכותרת X-Forwarded-For (XFF) בבקשות ה-API. עם זאת, בארגונים עם תנועת API פנימית משמעותית, יכול להיות שכותרת ה-XFF תכלול כתובות IP פרטיות שמופיעות לפני כתובות IP ציבוריות. (לדוגמה, כשמשתמשים בכתובת IP של מאזן עומסים ציבורי). במקרה כזה, התנהגות ברירת המחדל של Apigee היא להתעלם מכתובות ה-IP הפרטיות בכותרת XFF ולהציג את כתובת ה-IP של מאזן העומסים הציבורי כמקור התנועה. התוצאה יכולה להיות ש-Apigee ישייך כמות גדולה באופן מלאכותי של תעבורת נתונים לכתובת ה-IP הציבורית הזו, ואז היא תסומן כדפוס חריג של תעבורת נתונים בתכונה 'זיהוי שימוש לרעה' של Advanced API Security.

כדי לפתור את הבעיה, צריך להגדיר זיהוי של כתובת ה-IP של הלקוח בסביבה כדי לציין איזו כתובת IP מערכת Apigee צריכה להשתמש בה ככתובת ה-IP של המקור. המדריכים לזיהוי כתובת ה-IP של הלקוח עוזרים ל-Apigee לדווח על כתובת ה-IP האמיתית של המקור לתנועת ה-API. לדוגמה, אפשר להגדיר ב-Apigee שתמיד תהיה שימוש בכתובת ה-IP הראשונה בכותרת XFF, גם אם זו כתובת IP פרטית.

העברת אירועים לארכיון

כדי לעזור לכם להבחין בין האירועים שכבר בדקתם לבין אלה שעדיין לא בדקתם, אתם יכולים להעביר לארכיון את האירועים שלא דורשים יותר את תשומת הלב שלכם. כשמעבירים אירוע לארכיון, הוא מוסתר מהרשימה פרטי הסביבה > אירועים (בתנאי שלא מסומנת האפשרות כולל אירועים שהועברו לארכיון). העברה לארכיון לא מוחקת את האירוע: תמיד אפשר לבטל את ההעברה לארכיון אם משנים את דעתכם.

כדי להעביר אירוע לארכיון, בוחרים באפשרות העברה לארכיון בחלק העליון של התצוגה פרטי האירוע. אחרי שעושים את זה, התווית של הלחצן העברה לארכיון משתנה להוצאה מהארכיון. כפתור להוצאה מהארכיון.

ביטול הארכיון של אירועים

כדי לבטל העברה לארכיון של אירוע שהועבר לארכיון:

  1. בתצוגה Environment details > Incidents (פרטי הסביבה > אירועים), לוחצים על הסמל לצד האירוע שרוצים לבטל את הארכיון שלו: סמל של אירוע בארכיון.
  2. בחלק העליון של רשימת האירועים, לוחצים על הוצאה מהארכיון.

לחלופין, אם אתם בתצוגה פרטי האירוע של האירוע, לוחצים על ביטול העברה לארכיון.

תנועה שזוהתה

תנועה שזוהתה היא תנועה שהפעילה כלל לזיהוי התנהלות פוגעת. בתצוגה Detected Traffic מוצג מידע על אירועים, שהם מקרים ספציפיים של תעבורת נתונים שזוהתה. בדף מוצגות תקריות עם האירוע האחרון שזוהה ב-14 הימים האחרונים. מידע נוסף על טווח הזמן של הנתונים שמוצגים בממשק המשתמש זמין במאמר מגבלות על אירועים ועל נתונים שמוצגים.

כדי לפתוח את התצוגה Detected Traffic, בוחרים באפשרות Detected Traffic בתצוגה Environment details:

תצוגת מצב התנועה זוהתה.

בתצוגה תנועה שזוהתה מוצגים נתונים לגבי:

  • נפח התנועה הכולל: המספר הכולל של הבקשות.
  • תנועה שזוהתה: מספר הבקשות מכתובות IP שזוהו ככתובות שמהן מגיעה תנועה פוגעת.
  • % of detected traffic: האחוז של התנועה שזוהתה מתוך סך כל התנועה.
  • מספר כתובות ה-IP שזוהו: מספר כתובות ה-IP השונות שתואמות להתנהלות הפוגעת שזוהתה. בקשות מרובות מאותה כתובת IP נספרות רק פעם אחת.

בתצוגה תנועה שזוהתה מוצגת גם טבלה עם פרטים על כל כתובת IP שמתאימה להתנהלות הפוגעת שזוהתה. הערה: כברירת מחדל, כתובות ה-IP לא מוצגות מטעמי פרטיות. כדי לראות אותן, בוחרים באפשרות הצגת כל כתובות ה-IP בחלק העליון של הטבלה.

בכל שורה בטבלת כתובות ה-IP מוצגים:

  • כתובת IP: כתובת ה-IP של ההתנהלות הפוגעת שזוהתה. לוחצים על הצגה כדי לראות את הכתובת. אחרי שכתובת ה-IP מוצגת, לוחצים עליה כדי לראות את תצוגת הפרטים.
  • מיקום: המיקום של כתובת ה-IP.
  • מפתח האפליקציה המוביל: מפתח האפליקציה שנעשה בו שימוש הכי הרבה פעמים בבקשות מכתובת ה-IP. הערה: מפתח אפליקציה הוא מונח נוסף למפתח API.
  • כללי זיהוי: רשימה של כל כללי הזיהוי שהופעלו בגלל ההתנהלות הפוגעת.
  • כתובת אתר מובילה: כתובת ה-URL שקיבלה הכי הרבה בקשות מכתובת ה-IP.
  • תנועה שזוהתה: מספר הבקשות מכתובת ה-IP.
  • % of detected traffic: אחוז הבקשות מכתובת ה-IP מתוך כל הבקשות בסביבה.
  • האירוע הראשון שזוהה: הפעם הראשונה שבה זוהה אירוע בבקשה מכתובת ה-IP במהלך טווח הזמן שנבחר בחלק העליון של הדף ציוני אבטחה.
  • האירוע האחרון שזוהה: הפעם האחרונה שזוהה אירוע בבקשה מכתובת ה-IP במהלך טווח הזמן שנבחר בחלק העליון של הדף ציוני אבטחה.

תצוגת פרטים

בתצוגה פרטים מוצג מידע על האירוע או על התנועה שזוהתה. מוצגים בו הכללים שזוהו, תאריכי הזיהוי הראשון והאחרון ומאפיינים של התנועה שזוהתה מכתובת ה-IP של מפתח ה-API. (מידע נוסף על שדות הפרטים זמין במאמרים חומר עזר בנושא מאפיינים ב-Analytics ו מאפיינים של API לנתוני אבטחה).

במקרה של כתובות IP, הכרטיסייה פרטים כוללת גם מידע על יומני גישה של Ingress שקשורים לכתובת ה-IP. מידע נוסף זמין במאמר בנושא יומני גישה של Ingress בזיהוי התנהלות פוגעת.

אם הכללים שזוהו לגבי האירוע או התנועה כוללים כללים לזיהוי אנומליות, בקטע Advanced Anomaly Detection reasons מוצג מידע על התנועה האנומלית שזוהתה.

הכרטיסייה 'נתונים גולמיים'

אחרי שלוחצים על כתובת ה-IP או על מפתח ה-API, אפשר לבחור בכרטיסייה Raw כדי לראות את הנתונים הגולמיים של התנועה שזוהתה, כולל חותמות זמן, נתיבי בקשות וקודי סטטוס של תגובות. הנתונים הגולמיים שמוצגים מוגבלים ל-1,000 שורות והם מדגם, ולא בהכרח הנתונים העדכניים ביותר.

הכרטיסייה 'פרטי התנהלות פוגעת'

אם האירוע או התנועה שזוהו כוללים אנומליות, בכרטיסייה פרטי ההתנהלות הפוגעת מוצג מידע על האירועים החריגים שזוהו, כולל תרשימי סדרות זמן של התנועה מכתובת ה-IP עם האירועים החריגים.

בתרשימים של סדרות הזמנים מוצגת פעילות שקשורה לאינדיקטורים אנומליים. לדוגמה, אם יש עלייה חדה בשיעור השגיאות, ציר ה-Y של סדרת הזמן מציג את שיעור השגיאות לפני, במהלך ואחרי העלייה. אם יש עלייה חדה בנפח התנועה, בציר ה-y של סדרת הזמן מוצגים נתוני הנפח לפני האירוע, בזמן האירוע ואחרי האירוע.

יכול להיות שהמודל לא יסמן תמיד את כל הנתונים האנומליים בתרשימי סדרות הזמן ולא יציג אותם. המודל בוחר את הפעילות שלדעתו משפיעה הכי הרבה על שיעורי השגיאות ברמת הסביבה.

הקישורים שמתחת לתרשימים מקשרים ישירות לרישום ביומן שקשור לאירוע. Google Cloud מידע נוסף זמין במאמר בנושא יומני גישה של Ingress בזיהוי התנהלות פוגעת.

מאפיינים

בתצוגה מאפיינים אפשר להתעמק בפרטים של אירוע או של תנועה שזוהתה. מאפיינים – נקראים גם מאפיינים – הם קיבוצים של הנתונים שמאפשרים לכם לראות את האירוע בדרכים שונות. לדוגמה, מאפיין מוצרי ה-API מאפשר לכם להציג את הנתונים לפי מוצר API.

כדי להציג את המאפיינים של אירוע, לוחצים על הכרטיסייה מאפיינים בחלק העליון של התצוגה פרטי האירוע.

כדי לראות את המאפיינים של כתובת API או מפתח API ספציפיים באירוע או בתנועה שזוהתה, לוחצים על כתובת ה-IP או על מפתח ה-API בטבלת התוצאות בדף הסקירה הכללית.

חלונית המאפיינים עם מוצרי API שנבחרו.

בחלונית הימנית מוצגים כל המאפיינים ומספר הערכים הייחודיים של כל מאפיין. אפשר לבחור מאפיין כדי לראות את פרטי האירוע שקשור אליו.

בתמונה שלמעלה מוצג התצוגה מאפיינים עם האפשרות מדינות/אזורים שנבחרה. בחלונית Countries/Regions מוצגים תרשימים של אחוז קריאות ה-API שבוצעו בכל אזור.

אם אתם רואים את הערך (not set), תוכלו לקרוא את המאמר מה המשמעות של הערך (not set) במאפיין.

בשדה Filter (סינון) אפשר לסנן את הנתונים שמוצגים בחלונית של מאפיין מסוים לפי מאפיינים שונים.

באופן כללי, בחלונית של מאפיין מוצגת טבלה עם נתוני האירוע לפי ערכי המאפיין. העמודות בטבלה כוללות:

  • סך כל השיחות שבוצעו: המספר הכולל של קריאות ל-API.
  • % of calls: אחוז כל השיחות לכל ערך של המאפיין.
  • שעת הזיהוי האחרונה: הפעם האחרונה שזוהה אירוע שקשור לתקרית.

לחלק מהמאפיינים יש עמודות נוספות בטבלה.

במאמר על מאפיינים אפשר לקרוא מידע על כל מאפיין, כולל:

  • API products: הצגת פרטים לפי API product.
  • מדינות/אזורים: הצגת פרטים לפי המדינות והאזורים שבהם מקור האירועים בתקרית.
  • אפליקציות AppGroup: אפשר לראות פרטים לפי אפליקציית AppGroup קשורה. אם לא משויך AppGroup לבקשה, בעמודות אפליקציית AppGroup ושם AppGroup מוצג הערך (not set). במקום זאת, אפשר לעיין במידע על אפליקציות למפתחים.
  • AppGroups: צפייה בפרטים לפי AppGroups קשורות לפי שם. אם לא משויכת לקבוצת האפליקציות בקשה, בעמודות שם קבוצת האפליקציות ואפליקציה בקבוצת האפליקציות יופיע הערך (not set). במקום זאת, אפשר לעיין במידע על מפתחים.
  • מפתחים: אפשר לראות פרטים לפי מפתחים – האנשים שמפתחים את האפליקציות. מפתחים כולל עמודה עם התווית אפליקציות, שבה מפורטות האפליקציות של כל מפתח. אם האפליקציה בבעלות AppGroup, בעמודה Developer מוצג (not set) ובעמודה Apps מוצגות האפליקציות של AppGroup. מידע נוסף זמין בכרטיסייה AppGroups names.
  • אפליקציות למפתחים: הצגת פרטים לפי אפליקציה. בעמודה כתובת אימייל של מפתח מופיעות כתובות האימייל של המפתחים של כל אפליקציה. אם האפליקציה בבעלות AppGroup, בעמודה Developer מוצג (not set) ובעמודה Apps מוצגות האפליקציות של AppGroup. מידע נוסף זמין בכרטיסייה אפליקציות AppGroups.
  • שרתי proxy: הצגת פרטים לפי שרת proxy.
  • קודי תגובה: אפשר לראות פרטים לפי קוד תגובה.
  • כללים: הצגת פרטים לפי כללי זיהוי.
  • סוכני משתמש: אפשר לראות פרטים לפי סוכן משתמש – סוכן התוכנה שביצע את הקריאה ל-API.

מה המשמעות של הערך (not set) במאפיין?

לפעמים, הערך של מאפיין הוא (not set). יכולות להיות כמה סיבות לכך. לדוגמה, יכול להיות של-Apigee אין מספיק מידע כדי לקבוע את הערך של המאפיין – למשל, מדינת המקור של קריאה ל-API. או שהמאפיין לא רלוונטי במקרה מסוים. מידע נוסף זמין במאמר מה המשמעות של הערך (not set) בישות של Analytics?

יומני גישה של Ingress בזיהוי התנהלות פוגעת

אם הפעלתם את Cloud Logging ליומני גישה של Apigee ingress, בדף הפרטים של כתובת IP או מפתח API מופיע קישור ישירות ל-Cloud Logging עם מסנן שהוגדר לכתובת ה-IP שנבחרה כרגע.

מידע על השימוש מופיע במאמר הצגת יומנים באמצעות Logs Explorer. הצעות למסננים:

  • כדי לראות את כל סוגי האנומליות, צריך להציג את כל השיחות.
  • כדי לראות רק שגיאות, מגבילים את התוצאות לרמת החומרה שגיאה.
אם לא הפעלתם את Cloud Logging עבור יומני הגישה של Apigee Ingress, השדה הזה מספק קישור למידע נוסף על Cloud Logging.

במאמר Logging Apigee access logs מוסבר על השימוש ביומני הגישה של Apigee Ingress ב-Cloud Logging, ועל השלכות חשובות על התמחור של השימוש הזה.

החרגת תנועה מזיהוי של התנהלות פוגעת

במקרים מסוימים, יכול להיות שתרצו להחריג תנועה מזיהוי של התנהלות פוגעת. לדוגמה, אם יש לכם קבוצה של כתובות IP שאתם יודעים שמשמשות לבדיקות אוטומטיות או לבדיקות חדירה, יכול להיות שלא תרצו לסמן תנועה מוגזמת מהמקורות האלה כניצול לרעה.

כדי להחריג תנועה מזיהוי של התנהלות פוגעת, מוסיפים מאפיינים לרשימות החרגות, שבהן מצוינת התנועה שרוצים להחריג והסיבות לכך. בשלב הזה, Apigee תומך בטווחים של CIDR ובכתובות IP כמאפיינים שאפשר להשתמש בהם כדי להחריג תנועה.

רשימות החרגה

ברשימות ההחרגה נאספים המאפיינים שרוצים להחריג מהזיהוי. אפשר ליצור כמה רשימות החרגות לכל סביבה, וכל רשימה יכולה לכלול כמה טווחי CIDR וכתובות IP.

כשמנהלים רשימות החרגה, אפשר להוסיף או לשנות מאפיינים ישירות. לדוגמה, לא צריך לחכות שכתובת IP תופיע באירוע של זיהוי התנהלות פוגעת כדי להחריג אותה מהזיהוי.

יכול להיות שיחלפו עד שלושה ימים עד שהתנועה שנוספה לרשימת ההחרגות תוחרג מאירועים חדשים. אחרי החרגת התנועה, היא לא תופיע יותר בזיהויים או באירועים חדשים, אבל היא תמשיך להופיע בדוחות קודמים, ותסומן בעמודה החרגות לגבי אירועים ותנועה שזוהו בממשק המשתמש.

שדות של רשימת החרגות

רשימות ההחרגות כוללות את השדות האלה. חובה למלא את כל השדות, אלא אם הם מסומנים כאופציונליים.

שדה תיאור
השם המוצג השם המוצג של הרשימה. השם הזה מוצג בכרטיסייה החרגות.
כתובות IP וטווחי CIDR כתובות ה-IP או טווחי ה-CIDR שרוצים להחריג מהזיהוי. חובה לכלול לפחות טווח CIDR אחד או כתובת IP אחת, ואפשר להחריג עד 30 טווחי CIDR וכתובות IP בסך הכול לכל רשימה.

כשיש אפשרות, עדיף להשתמש בטווחים של CIDR במקום בכתובות IP.
סיבה סיבה להחרגת התנועה. בוחרים מבין הסיבות שמופיעות.
פרטים (אופציונלי) תגובה לגבי הרשימה, עם מידע נוסף על הסיבות להחרגת התנועה.

ניהול רשימות החרגה

כדי לנהל רשימות החרגות ישירות:

  1. בוחרים סביבה לזיהוי התנהלות פוגעת.
  2. לוחצים על הכרטיסייה החרגות.
  3. כדי ליצור רשימת החרגות חדשה, לוחצים על יצירה. כדי לערוך רשימת החרגות קיימת, בוחרים באפשרות עריכה בתפריט 'פעולות נוספות' בשורה של הרשימה הרלוונטית.
  4. ממלאים את השדות כמו שמתואר בקטע שדות של רשימת החרגות.

החרגת תנועה באמצעות דף הפרטים של אירוע זיהוי התנהלות פוגעת

כדי להחריג כתובת IP אחת או יותר:

  1. לצפות בפרטים של אירוע.
  2. ברשימה כתובות IP, לוחצים על הצגת כל כתובות ה-IP כדי לראות את כתובות ה-IP ברשימה.
  3. מסמנים את התיבה לצד כל כתובת IP שרוצים להחריג מהזיהוי.
  4. לוחצים על החרגה מזיהוי בראש הרשימה.
  5. בוחרים רשימת החרגות קיימת או יוצרים רשימה חדשה.
  6. ממלאים את השדות כמו שמתואר בקטע שדות של רשימת החרגות.
  7. לוחצים על Save כדי לשמור את השינויים.

החרגת תנועה באמצעות הדף 'תנועה שזוהתה'

כדי להחריג כתובת IP אחת או יותר:

  1. בוחרים סביבה לזיהוי התנהלות פוגעת.
  2. לוחצים על הכרטיסייה תנועה שזוהתה.
  3. ברשימה כתובות IP של התנועה שזוהתה, לוחצים על הצגת כל כתובות ה-IP כדי לראות את כתובות ה-IP ברשימה.
  4. מסמנים את התיבה לצד כל כתובת IP שרוצים להחריג מהזיהוי.
  5. לוחצים על החרגה מזיהוי בראש הרשימה.
  6. בוחרים רשימת החרגות קיימת או יוצרים רשימה חדשה.
  7. ממלאים את השדות כמו שמתואר בקטע שדות של רשימת החרגות.
  8. לוחצים על Save כדי לשמור את השינויים.

מגבלות על זיהוי התנהלות פוגעת

יש כמה מגבלות לזיהוי התנהלות פוגעת.

  • תקריות שהאירוע האחרון שזוהה בהן היה לפני יותר מ-14 ימים לא מוצגות בממשק המשתמש של זיהוי התנהלות פוגעת. מידע נוסף על האירועים והנתונים שמוצגים בממשק המשתמש מופיע במאמר מגבלות על אירועים ונתונים שמוצגים.
  • כשמפעילים לראשונה את Advanced API לארגון, או מפעילים אותו מחדש, יש עיכוב בזמן שאירועים מקובצים לתקריות. אחרי כן, יהיו עיכובים מדי פעם.
  • יכול להיות שיעבור זמן קצר עד שדף המאפיינים פרטי האירוע ייטען בארגונים עם נפח תנועה גדול.
  • רשימות ההחרגות תומכות ב-15 רשימות לכל היותר לכל סביבה, עם 30 כתובות IP וטווחים של CIDR לכל היותר לכל רשימה.
  • נכון לעכשיו, רשימות החרגה לא זמינות ללקוחות VPC-SC.
  • בשלב הזה אין תמיכה ב-AppGroups ב-Apigee hybrid.