Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza
Apigee Edge documentazione.
Advanced API Security utilizza regole di rilevamento per individuare pattern insoliti nel traffico API che potrebbero rappresentare attività dannose. Queste regole includono sia modelli di machine learning, addestrati sulla base di dati API reali, sia regole descrittive, basate su tipi noti di minacce API.
La tabella seguente elenca le regole di rilevamento e le relative descrizioni.
| Regola di rilevamento | Descrizione |
|---|---|
Un modello di machine learning che rileva lo scraping delle API, ovvero il processo di estrazione di informazioni mirate dalle API per scopi dannosi. | |
| Un modello di machine learning per il rilevamento di anomalie, ovvero pattern insoliti di eventi, nel traffico API. Consulta Informazioni sul rilevamento avanzato di anomalie. | |
| Brute Guessor | Elevata percentuale di errori di risposta (4xx e 5xx) nelle ultime 24 ore |
| Flooder | Elevata percentuale di traffico da un indirizzo IP in un intervallo di 5 minuti |
| OAuth Abuser | Numero elevato di sessioni OAuth con un numero ridotto di user agent nelle ultime 24 ore |
| Robot Abuser | Numero elevato di errori di rifiuto 403 nelle ultime 24 ore |
| Static Content Scraper | Elevata percentuale di dimensioni del payload di risposta da un indirizzo IP in un intervallo di 5 minuti |
| TorListRule | Elenco di indirizzi IP dei nodi di uscita Tor. Un nodo di uscita Tor è l'ultimo nodo Tor attraverso cui passa il traffico nella rete Tor prima di uscire su internet. Il rilevamento dei nodi di uscita Tor indica che un agente ha inviato traffico alle tue API dalla rete Tor, probabilmente per scopi dannosi. |
Informazioni sul rilevamento avanzato di anomalie
L'algoritmo di rilevamento avanzato delle anomalie apprende dal traffico API, tenendo conto di fattori quali tassi di errore, volume di traffico, dimensioni delle richieste, latenza, geolocalizzazione e altri metadati del traffico a livello di ambiente. Se si verificano variazioni significative nei pattern di traffico (ad esempio, un aumento del traffico, dei tassi di errore o della latenza), il modello contrassegna l'indirizzo IP che ha contribuito all'anomalia in Traffico rilevato.
Puoi anche combinare il rilevamento di anomalie con azioni di sicurezza per contrassegnare o negare automaticamente il traffico rilevato come anomalo dal modello. Per ulteriori informazioni, consulta il post della community "Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic".
Comportamento del modello
Per ridurre il rischio che i malintenzionati possano sfruttare il modello, non esponiamo dettagli specifici sul funzionamento del modello o su come vengono rilevati gli incidenti. Tuttavia, queste informazioni aggiuntive informazioni possono aiutarti a utilizzare al meglio il rilevamento di anomalie:
- Tenere conto della varianza stagionale:Poiché il modello viene addestrato sui dati sul traffico, può riconoscere e tenere conto delle varianze stagionali del traffico (ad esempio il traffico delle festività), se i dati sul traffico includono dati precedenti per quel pattern, ad esempio la stessa festività in un anno precedente.
- Visualizzare le anomalie:
- Per i clienti Apigee e hybrid esistenti: Apigee consiglia di avere almeno 2 settimane di dati storici sul traffico API e, per risultati più precisi, sono preferibili 12 settimane di dati storici. Advanced Anomaly Detection inizia a visualizzare le anomalie entro sei ore dall'attivazione dell'addestramento del modello.
- Nuovi utenti Apigee: il modello inizia a visualizzare le anomalie 6 ore dopo l'attivazione, se hai un minimo di 2 settimane di dati storici. Tuttavia, ti consigliamo di prestare attenzione quando agisci in base alle anomalie rilevate finché il modello non dispone di almeno 12 settimane di dati per l'addestramento. Il modello viene addestrato continuamente sui dati storici sul traffico, in modo che diventi più preciso nel tempo.
Limitazioni
Per Advanced Anomaly Detection di Rilevamento di comportamenti illeciti:
- Le anomalie vengono rilevate a livello di ambiente. Al momento, il rilevamento di anomalie a livello di singolo proxy non è supportato.
- Al momento, il rilevamento di anomalie non è supportato per i clienti VPC-SC.
Machine learning e regole di rilevamento
Advanced API Security utilizza modelli creati con gli algoritmi di machine learning di Google per rilevare le minacce alla sicurezza delle tue API. Questi modelli sono pre-addestrati su set di dati di traffico API reali (inclusi i dati del traffico attuali, se abilitati) che contengono minacce alla sicurezza note. Di conseguenza, i modelli imparano a riconoscere pattern di traffico API insoliti, come lo scraping delle API e le anomalie, e a raggruppare gli eventi in base a pattern simili.
Due delle regole di rilevamento si basano su modelli di machine learning:
- Advanced API Scraper
- Advanced Anomaly Detection