Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Incidents API

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

‫Incidents API מאפשר לכם לראות נתונים סטטיסטיים על אירועי אבטחה שקשורים לזיהוי התנהלות פוגעת.

פרמטרים בדוגמאות לקריאות ל-API

בקטעים הבאים מוצגות דוגמאות לקריאות ל-API שמשתמשות ב-Incidents API. הקריאות ל-API מכילות את הפרמטרים המשתנים הבאים:

ORG הוא הארגון שלכם.
‫ENV היא הסביבה שבה רוצים לחשב את הציונים.
‫INCIDENT_UUID הוא ה-UUID של האירוע.
‫$TOKEN הוא משתנה הסביבה של אסימון גישה ל-OAuth.

הצגת רשימת האירועים וקבלת הפרטים שלהם

בדוגמאות הבאות אפשר לראות איך מציגים רשימה של אירועים ומקבלים את הפרטים שלהם.

דוגמה: הצגת רשימה של כל האירועים בסביבה

כדי להציג רשימה של כל האירועים בסביבה מסוימת, שולחים את הבקשה הבאה:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
       -H 'Content-type: application/json' \
       -H "Authorization: Bearer $TOKEN"

תיאורים של הבקשה והתשובה מופיעים בדף העזר של SecurityIncident.

דוגמה: קבלת פרטים על אירוע ספציפי

כדי לקבל את הפרטים של אירוע ספציפי, שולחים בקשה כמו הבקשה הבאה:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
       -H 'Content-type: application/json' \
       -H "Authorization: Bearer $TOKEN"

כאשר INCIDENT_UUID הוא ה-UUID של האירוע, שמוחזר בשדה name על ידי הקריאה שמוצגת בדוגמה: רשימה של כל האירועים בסביבה.

תיאורים של הבקשה והתשובה מופיעים בדף העזר בנושא SecurityIncident.

העברה לארכיון של אירועים

כדי לעזור לכם להבחין בין האירועים שכבר בדקתם לבין האירועים שעדיין לא בדקתם, אתם יכולים להעביר לארכיון את האירועים שלא דורשים יותר את תשומת הלב שלכם. להעברת אירועים לארכיון יש את ההשפעות הבאות:

בממשק המשתמש של Apigee, אירועים שנארכו לא מוצגים ברשימה פרטי סביבה > אירועים (בתנאי שלא נבחרה האפשרות הכללת אירועים שנארכו).
ב-API, כשמבצעים קריאה לרשימת כל האירועים, האירועים שמועברים לארכיון כוללים את השורה הבאה:
```
"observability": "ARCHIVED"
```
אתם יכולים להשתמש בשדה "observability" כדי לסנן אירועים שהועברו לארכיון מרשימת האירועים.

הערכים האפשריים של "observability" הם:
- ACTIVE
- ARCHIVED

אירועים שהועברו לארכיון לא נמחקים: תמיד אפשר לבטל את ההעברה לארכיון, וכך לשנות את "observability" האירוע ל-ACTIVE.

בדוגמאות הבאות אפשר לראות איך מעבירים אירועים לארכיון ואיך מאחזרים אותם מהארכיון.

העברת אירוע לארכיון

כדי להעביר אירוע לארכיון, שולחים בקשה כמו הבקשה הבאה:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
       -X POST \
       -H "Authorization: Bearer $TOKEN" \
       -H "Content-Type: application/json" \
       -d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
            "observability": "ARCHIVED"}' \
       -X PATCH

התגובה שמתקבלת נראית כך:

{
    "name": "INCIDENT_UUID",
    "displayName": "Multi type attack from US",
    "firstDetectedTime": "2023-04-04T17:00:00Z",
    "lastDetectedTime": "2023-09-12T03:10:00Z",
    "detectionTypes": [
      "Advanced Anomaly Detection",
      "OAuth Abuser"
    ],
    "trafficCount": "4052130",
    "containsMlAbuses": false,
    "riskLevel": "MODERATE",
    "observability": "ARCHIVED"
}

בשורה האחרונה, "observability": "ARCHIVED", אפשר לראות שהאירוע הועבר לארכיון.

איך מבטלים את העברת האירוע לארכיון

כדי לבטל את הארכיון של אירוע, משתמשים באותה קריאה כמו בקטע הקודם, אבל משתמשים בשורה

"observability": "ACTIVE"

סינון אירועים לפי סטטוס הארכיון

בדוגמה הבאה, התוצאות של קריאה לרישום אירועים מסוננות כך שיוחזרו רק אירועים פעילים.

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
       -X POST \
       -H "Authorization: Bearer $TOKEN" \
       -H "Content-Type: application/json"

התוצאה שמתקבלת נראית כך:

{
  "securityIncidents": [
    {
      "name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
      "displayName": "Multi type attack from US",
      "firstDetectedTime": "2023-04-04T17:00:00Z",
      "lastDetectedTime": "2023-09-12T03:10:00Z",
      "detectionTypes": [
        "Advanced Anomaly Detection",
        "OAuth Abuser"
      ],
      "trafficCount": "4052130",
      "containsMlAbuses": false,
      "riskLevel": "MODERATE",
      "observability": "ACTIVE"
    }
  ],
  "nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}

העברה לארכיון או אחזור מהארכיון של כמה אירועי אבטחה

כדי להעביר לארכיון או להוציא מארכיון יותר מאירוע אבטחה אחד, מזינים פקודה כמו הבאה:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
       -X POST \
       -d '{"requests": 
        [{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"}, 
         {"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'

מגבלות על Security Incidents API

אלו המגבלות שחלות על Security Incidents API:

אירועים נשמרים למשך 14 חודשים לכל היותר.
ב-ListIncidents יש תמיכה במסננים רק עבור הפריטים הבאים:
- first_detected_time
- last_detected_time
- apiproxy
כשמפעילים לראשונה את Advanced API בארגון, או כשמפעילים אותו מחדש בהמשך, יש עיכוב בזמן שאירועים מקובצים לתקריות. לאחר מכן, התקריות מחושבות מחדש מעת לעת.

Incidents API קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.