הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
Incidents API מאפשר לכם לראות נתונים סטטיסטיים על אירועי אבטחה שקשורים לזיהוי התנהלות פוגעת.
פרמטרים בדוגמאות לקריאות ל-API
בקטעים הבאים מופיעות דוגמאות לקריאות ל-API שמשתמשות ב-Incidents API. הקריאות ל-API מכילות את הפרמטרים המשתנים הבאים:
- ORG הוא הארגון שלכם.
- ENV היא הסביבה שבה רוצים לחשב את הציונים.
-
INCIDENT_UUIDהוא ה-UUID של האירוע. -
$TOKENהוא משתנה הסביבה של אסימון גישה ל-OAuth.
הצגת רשימת האירועים וקבלת הפרטים שלהם
בדוגמאות הבאות אפשר לראות איך מציגים רשימה של אירועים ואיך מקבלים את הפרטים שלהם.
דוגמה: הצגת רשימה של כל האירועים בסביבה
כדי להציג רשימה של כל האירועים בסביבה, שולחים את הבקשה הבאה:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"ב
דף העזר של SecurityIncident מפורטים תיאורים של הבקשה והתשובה.
דוגמה: קבלת פרטים על אירוע ספציפי
כדי לקבל פרטים על אירוע ספציפי, שולחים בקשה כמו הבקשה הבאה:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"כאשר INCIDENT_UUID הוא ה-UUID של האירוע, שמוחזר בשדה name בקריאה שמוצגת בדוגמה: רשימה של כל האירועים בסביבה.
תיאורים של הבקשה והתשובה מופיעים בדף העזר בנושא
SecurityIncident.
העברה לארכיון של אירועים
כדי לעזור לכם להבחין בין האירועים שכבר בדקתם לבין האירועים שלא בדקתם, אתם יכולים להעביר לארכיון את האירועים שלא דורשים יותר את תשומת הלב שלכם. לארכוב אירועים יש את ההשפעות הבאות:
- בממשק המשתמש של Apigee, אירועים שהועברו לארכיון לא מוצגים ברשימה פרטי סביבה > אירועים (בתנאי שלא נבחרה האפשרות הכללת אירועים שהועברו לארכיון).
- ב-API, כשמבצעים קריאה ל-list all incidents, לאירועים בארכיון יש את השורה הבאה:
"observability": "ARCHIVED"
אתם יכולים להשתמש בשדה
"observability"כדי לסנן אירועים שהועברו לארכיון מתוך רשימת האירועים.הערכים האפשריים של
"observability"הם:ACTIVEARCHIVED
אירועים שהועברו לארכיון לא נמחקים: תמיד אפשר לבטל את ההעברה לארכיון, וכך לשנות את "observability" של האירוע ל-ACTIVE.
בדוגמאות הבאות אפשר לראות איך מעבירים אירועים לארכיון ואיך מאחזרים אותם מהארכיון.
העברת אירוע לארכיון
כדי להעביר אירוע לארכיון, שולחים בקשה כמו הבקשה הבאה:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCHהתגובה שמתקבלת נראית כך:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}בשורה האחרונה, "observability": "ARCHIVED", אפשר לראות שהאירוע הועבר לארכיון.
איך מבטלים את העברת האירוע לארכיון
כדי לבטל את הארכיון של אירוע, משתמשים באותה קריאה כמו בקטע הקודם, אבל משתמשים בשורה
"observability": "ACTIVE"
סינון אירועים לפי סטטוס הארכיון
בדוגמה הבאה, התוצאות של קריאה לרשימת אירועים מסוננות כך שיוחזרו רק אירועים פעילים.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"התוצאה שמתקבלת נראית כך:
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}העברה לארכיון או אחזור מהארכיון של כמה אירועי אבטחה
כדי להעביר לארכיון או לבטל העברה לארכיון של יותר מאירוע אבטחה אחד, מזינים פקודה כמו הבאה:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'מגבלות על Security Incidents API
ל-Security Incidents API יש את המגבלות הבאות:
- אירועים נשמרים למשך 14 חודשים לכל היותר.
- ב-
ListIncidentsיש תמיכה במסננים רק עבור הפריטים הבאים:first_detected_timelast_detected_timeapiproxy
- כשמפעילים לראשונה את Advanced API בארגון, או כשמפעילים אותו מחדש בשלב מאוחר יותר, יש עיכוב בזמן שאירועים מקובצים לתקריות. לאחר מכן, המערכת מחשבת מחדש את האירועים מעת לעת.