Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
La seguridad avanzada de APIs usa reglas de detección para detectar patrones inusuales en el tráfico de APIs que podrían representar la actividad maliciosa. Estas reglas incluyen modelos de aprendizaje automático, entrenados con datos de APIs reales y reglas descriptivas, basadas en tipos conocidos de amenazas a las APIs.
En la siguiente tabla, se enumeran las reglas de detección y sus descripciones.
| Regla de detección | Descripción |
|---|---|
Un modelo de aprendizaje automático que detecta el scraping de APIs, que es el proceso de extraer información específica de las APIs con fines maliciosos. | |
| Un modelo de aprendizaje automático para detectar anomalías (patrones inusuales de eventos) en el tráfico de APIs. Consulta Acerca de la detección avanzada de anomalías. | |
| Brute Guessor | Proporción alta de errores de respuestas durante las 24 horas anteriores |
| Flooder | Proporción alta de tráfico de una dirección IP en un período de 5 minutos |
| OAuth Abuser | Gran cantidad de sesiones de OAuth con una cantidad pequeña de usuarios-agentes en las últimas 24 horas |
| Robot Abuser | Gran cantidad de errores de rechazo 403 en las últimas 24 horas |
| Static Content Scraper | Proporción alta del tamaño de la carga útil de respuesta de una dirección IP en un período de 5 minutos |
| TorListRule | Lista de IP de nodos de salida de Tor. Un nodo de salida de Tor es el último nodo de Tor que el tráfico pasa a través de la red de Tor antes de salir a Internet. La detección de nodos de salida de Tor indica que un agente envió tráfico a tus APIs desde la red de Tor, posiblemente con fines maliciosos. |
Acerca de la Detección avanzada de anomalías
El algoritmo de detección avanzada de anomalías aprende de tu tráfico de API y tiene en cuenta factores como las tasas de error, el volumen de tráfico, el tamaño de las solicitudes, la latencia, la ubicación geográfica y otros metadatos de tráfico a nivel del entorno. Si hay cambios significativos en los patrones de tráfico (por ejemplo, un aumento repentino en el tráfico, las tasas de error o la latencia), el modelo marca la dirección IP que contribuyó a la anomalía en el tráfico detectado.
También puedes combinar la detección de anomalías con acciones de seguridad para marcar o rechazar automáticamente el tráfico que el modelo detecta como anómalo. Consulta la publicación de la comunidad "Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic" para obtener más información.
Comportamiento del modelo
Para reducir el riesgo de que los infractores exploten el modelo, no exponemos detalles específicos sobre cómo funciona el modelo ni cómo se detectan los incidentes. Sin embargo, esta información adicional puede ayudarte a aprovechar al máximo la detección de anomalías:
- Consideración de la variación estacional: Como el modelo se entrena con tus datos de tráfico, puede reconocer y tener en cuenta las variaciones estacionales del tráfico (como el tráfico de días festivos) si tus datos de tráfico incluyen datos anteriores de ese patrón, como el mismo día festivo en un año anterior.
- Anomalías destacadas:
- Para los clientes existentes de Apigee y de Apigee Hybrid: Apigee recomienda que tengas al menos 2 semanas de datos históricos del tráfico de la API y, para obtener resultados más precisos, es preferible tener 12 semanas de datos históricos. La Detección avanzada de anomalías comienza a mostrar anomalías en un plazo de seis horas después de que habilitas el entrenamiento de modelos.
- Usuarios nuevos de Apigee: El modelo comienza a mostrar anomalías 6 horas después de que habilitas la opción, si tienes un mínimo de 2 semanas de datos históricos. Sin embargo, te recomendamos que actúes con precaución ante las anomalías detectadas hasta que el modelo tenga al menos 12 semanas de datos para el entrenamiento. El modelo se entrena de forma continua con tus datos históricos de tráfico para que sea más preciso con el tiempo.
Limitaciones
Para la detección de abusos y la detección avanzada de anomalías, se aplican los siguientes requisitos:
- Las anomalías se detectan a nivel del entorno. En este momento, no se admite la detección de anomalías a nivel de proxy individual.
- Por el momento, la detección de anomalías no es compatible con los clientes de VPC-SC.
Reglas de detección y aprendizaje automático
La seguridad avanzada de APIs usa modelos creados con los algoritmos de aprendizaje automático de Google para detectar amenazas contra la seguridad de tus APIs. Estos modelos están previamente entrenados en conjuntos de datos de tráfico de APIs reales (incluidos tus datos de tráfico actuales, si están habilitados) que contienen amenazas de seguridad conocidas. Como resultado, los modelos aprenden a reconocer patrones inusuales de tráfico de APIs, como la recopilación y anomalía de APIs, y los eventos de clústeres juntos en función de patrones similares.
Dos de las reglas de detección se basan en modelos de aprendizaje automático:
- Scraper avanzado de APIs
- Detección avanzada de anomalías