Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Mit erweiterten API-Sicherheitsbenachrichtigungen können Sie Benachrichtigungen für Ereignisse im Zusammenhang mit der API-Sicherheit erstellen, z. B. bei Änderungen an Ihrer Sicherheitspunktzahl oder bei erkanntem API-Missbrauch. Sie erstellen Benachrichtigungen mit Cloud Monitoring. Sie können Benachrichtigungen so konfigurieren, dass Sie beim Auslösen der Warnung per SMS, E-Mail oder über andere Kanäle informiert werden.
Weitere Informationen zum Erstellen von Benachrichtigungen finden Sie unter Messwertschwellen-Benachrichtigungsrichtlinien erstellen. Informationen zum Verwalten generierter Benachrichtigungen finden Sie unter Vorfälle für messwertbasierte Benachrichtigungsrichtlinien .
Erforderliche Rollen
Zum Einrichten von Warnungen und Benachrichtigungskanälen in Cloud Monitoring benötigen Sie folgende Rollen:
roles/monitoring.alertPolicyEditorroles/monitoring.notificationChannelEditor
Beschränkungen
Für Benachrichtigungen gelten folgende Einschränkungen:
- Die maximale Anzahl an Benachrichtigungsrichtlinien für alle Apigee-Aboebenen beträgt 500.
- Messwertdaten werden 6 Wochen lang gespeichert.
- Der maximale Zeitraum, in dem eine Messwertschwellenbedingung ausgewertet wird, beträgt 23 Stunden und 30 Minuten.
- Ab der Zeit, zu der ein Ereignis ausgelöst wird, kann es bis zu vier Minuten dauern, bis die Warnung erstellt und eine Benachrichtigung gesendet wird.
Eine vollständige Liste der Beschränkungen für Benachrichtigungen finden Sie unter Beschränkungen für Benachrichtigungen.
In den folgenden Abschnitten wird anhand von Beispielen gezeigt, wie Sie Benachrichtigungen erstellen.
Beispiel: Benachrichtigung bei einem Rückgang der Proxy-Sicherheitspunktzahl erstellen (Risikobewertung 1)
In diesem Beispiel wird eine Benachrichtigung erstellt, wenn die Sicherheitspunktzahl eines Proxys unter einen bestimmten Schwellenwert fällt. So erstellen Sie die Benachrichtigung:
Rufen Sie in der Google Cloud Console die Seite Monitoring >Benachrichtigungen > Richtlinien > Benachrichtigungsrichtlinie erstellen auf.
- Klicken Sie auf Messwert auswählen.
- Heben Sie die Auswahl von Nur aktive Ressourcen und Messwerte anzeigen auf.
Hinweis: Wenn Ihre Organisation keine aktuellen API-Trafficdaten enthält, wird der Messwert im nächsten Schritt nur angezeigt, wenn diese Option deaktiviert ist.
- So wählen Sie einen Messwert aus:
- Wählen Sie Umgebungsverknüpfung des Apigee API-Sicherheitsprofils aus.
- Wählen Sie im sich öffnenden Bereich rechts Sicherheit aus.
- Wählen Sie rechts im nächsten Bereich Sicherheitspunktzahl des Apigee API-Proxys aus.
- Klicken Sie auf Übernehmen.
- (Optional) Wenn Sie die Daten für die Benachrichtigung einschränken möchten, z. B. auf eine bestimmte Umgebung, können Sie einen Filter erstellen:
- Klicken Sie unter Filter hinzufügen > Neuer Filter in das Feld Filter und wählen Sie das Ressourcenlabel aus, nach dem gefiltert werden soll, z. B. env.
- Wählen Sie im Feld Vergleichsoperator einen Vergleichsoperator aus, z. B. =.
- Wählen Sie im Feld Wert einen Wert für das Ressourcenlabel aus, z. B. einen Umgebungsnamen.
Über diesen Filter werden Benachrichtigungen nur durch Daten ausgelöst, die der Filterbedingung entsprechen. Eine Liste der verfügbaren Filter finden Sie unter Filter.
- Wählen Sie unter Daten transformieren im Feld Funktion: rollierendes Zeitfenster die Option Summe aus.
- Klicken Sie auf Weiter.
- Legen Sie im Bereich Trigger für Benachrichtigungen konfigurieren Folgendes fest:
- Wählen Sie unter Bedingungstypen die Option Schwellenwert.
- Wählen Sie unter Benachrichtigungstrigger die Option Bei jedem Verstoß.
- Wählen Sie unter Grenzwert die Option Unter Grenzwert.
- Geben Sie im Feld Schwellenwert den Schwellenwert ein, der die Benachrichtigung auslösen soll, z. B. 600.
- Klicken Sie auf Weiter.
- Klicken Sie im Feld Benachrichtigungen konfigurieren auf das Feld Benachrichtigungskanäle und wählen Sie Kanäle für die Benachrichtigung aus, z. B. Nachricht oder E-Mail. Wenn Sie keine Kanäle konfiguriert haben, klicken Sie auf Benachrichtigungskanäle verwalten und fügen Sie einen oder mehrere Kanäle hinzu.
- Klicken Sie auf OK.
- Geben Sie im Feld Dokumentation den Text ein, der mit der Benachrichtigung zugestellt werden soll, z. B. eine Beschreibung des Auslösers der Benachrichtigung. Sie können beispielsweise eingeben: "Eine Sicherheitspunktzahl ist unter 600 gefallen."
- Geben Sie unter Benachrichtigungsrichtlinie benennen einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Weiter und sehen Sie sich die Details der Benachrichtigungsrichtlinie an.
- Wenn alles in Ordnung ist, klicken Sie auf Richtlinie erstellen , um die Benachrichtigungsrichtlinie zu erstellen.
Beispiel: Benachrichtigung bei Erhöhung des erkannten Missbrauchs-Traffics für eine Erkennungsregel erstellen
In diesem Beispiel wird gezeigt, wie Sie eine Benachrichtigung erstellen, wenn die Anzahl der Anfragen mit erkanntem Missbrauchs-Traffic einen bestimmten Schwellenwert für eine einzelne Erkennungsregel überschreitet. So erstellen Sie die Benachrichtigung:
Rufen Sie in der Google Cloud Console die Seite Monitoring >Benachrichtigungen > Richtlinien > Benachrichtigungsrichtlinie erstellen auf.
Zur Seite „Benachrichtigungsrichtlinie erstellen“
- Klicken Sie auf Messwert auswählen.
- Heben Sie die Auswahl von Nur aktive Ressourcen und Messwerte anzeigen auf.
Hinweis: Wenn Ihre Organisation keine aktuellen API-Trafficdaten enthält, wird der Messwert im nächsten Schritt nur angezeigt, wenn diese Option deaktiviert ist.
- So wählen Sie einen Messwert aus:
- Wählen Sie Apigee API Security-Erkennungsregel aus.
- Wählen Sie im sich öffnenden Bereich rechts Sicherheit aus.
- Wählen Sie rechts im nächsten Bereich Anzahl der erkannten Apigee API-Sicherheitsanfragen nach Regel aus.
- Klicken Sie auf Übernehmen.
- (Optional) Wenn Sie die Daten für die Benachrichtigung einschränken möchten, z. B. auf eine bestimmte Umgebung, können Sie einen Filter erstellen:
- Klicken Sie unter Filter hinzufügen > Neuer Filter in das Feld Filter und wählen Sie das Ressourcenlabel aus, nach dem gefiltert werden soll, z. B. env.
- Wählen Sie im Feld Vergleichsoperator einen Vergleichsoperator aus, z. B. =.
- Wählen Sie im Feld Wert einen Wert für das Ressourcenlabel aus, z. B. einen Umgebungsnamen.
Über diesen Filter werden Benachrichtigungen nur durch Daten ausgelöst, die der Filterbedingung entsprechen, z. B. Daten in einer Umgebung. Eine Liste der verfügbaren Filter finden Sie unter Filter.
- Wählen Sie unter Daten transformieren im Feld Funktion: rollierendes Zeitfenster die Option Summe aus.
- Klicken Sie auf Weiter.
- Legen Sie im Bereich Trigger für Benachrichtigungen konfigurieren Folgendes fest:
- Wählen Sie unter Bedingungstypen die Option Schwellenwert.
- Wählen Sie unter Benachrichtigungstrigger die Option Bei jedem Verstoß.
- Wählen Sie unter Grenzwert die Option Über Schwellenwert.
- Geben Sie im Feld Schwellenwert den Schwellenwert ein, der die Benachrichtigung auslösen soll, z. B. 100.
- Klicken Sie auf Weiter.
- Klicken Sie im Feld Benachrichtigungen konfigurieren auf das Feld Benachrichtigungskanäle und wählen Sie Kanäle für die Benachrichtigung aus, z. B. Nachricht oder E-Mail. Wenn Sie keine Kanäle konfiguriert haben, klicken Sie auf Benachrichtigungskanäle verwalten und fügen Sie einen oder mehrere Kanäle hinzu.
- Klicken Sie auf OK.
- Geben Sie im Feld Dokumentation den Text ein, der mit der Benachrichtigung zugestellt werden soll, z. B. eine Beschreibung des Auslösers der Benachrichtigung. Sie können beispielsweise „Erkannter Missbrauchs-Traffic über 100 für $(resource.label.env)" eingeben. Dabei wird das Label $(resource.label.env) verwendet, das die Umgebung anzeigt, deren Daten die Benachrichtigung ausgelöst haben.
- Geben Sie unter Benachrichtigungsrichtlinie benennen einen Namen für die Benachrichtigungsrichtlinie ein.
- Klicken Sie auf Weiter und sehen Sie sich die Details der Benachrichtigungsrichtlinie an.
- Wenn alles in Ordnung ist, klicken Sie auf Richtlinie erstellen , um die Benachrichtigungsrichtlinie zu erstellen.
Beispiel: Monitoringbenachrichtigung für eine Risikobewertungs-Monitoringbedingung erstellen (Risikobewertung 2)
In diesem Beispiel wird eine neue Cloud Monitoring-Benachrichtigungsrichtlinie für eine Risikobewertungs-Monitoringbedingung erstellt, die Sie benachrichtigt, wenn die Sicherheitspunktzahl eines der überwachten Proxys unter einen bestimmten Schwellenwert fällt.
- Erstellen Sie eine Monitoringbedingung.
- Folgen Sie der Anleitung unter Monitoringbenachrichtigung erstellen , um eine neue Monitoringbenachrichtigung zu erstellen. Apigee füllt beim Laden der Seite einige Felder für Sie aus.
- Bei Bedarf können Sie die Einstellungen ändern, um die Benachrichtigungsrichtlinie anzupassen. Folgen Sie der Anleitung unter Benachrichtigungsrichtlinie erstellen. Sie müssen einen Namen für die Benachrichtigungsrichtlinie angeben.
- Klicken Sie auf Richtlinie erstellen , um die neue Benachrichtigungsrichtlinie zu speichern.
Messwerte für Sicherheitsbenachrichtigungen
In der folgenden Tabelle werden die verfügbaren Messwerte zum Erstellen von Sicherheitsbenachrichtigungen beschrieben:
| Ressource | Messwert | Beschreibung | Unterstützte Filter |
|---|---|---|---|
| Apigee-Umgebung | Anzahl der Apigee API-Sicherheitsanfragen:apigee.googleapis.com/security/request_count |
Anzahl der von der erweiterten API-Sicherheit verarbeiteten API-Anfragen seit der letzten Stichprobe. | Standort, Organisation, Umgebung, Proxy |
| Apigee-Umgebung | Anzahl der erkannten Apigee API-Sicherheitsanfragen:apigee.googleapis.com/security/detected_request_count |
Anzahl der API-Anfragen, die seit der letzten Stichprobe von der Missbrauchserkennung der erweiterten API-Sicherheit erkannt wurden. | Standort, Organisation, Umgebung, Proxy |
| Apigee API Security-Erkennungsregel | Anzahl der erkannten Apigee API-Sicherheitsanfragen nach Regel:apigee.googleapis.com/security/detected_request_count_by_rule |
Anzahl der von der erweiterten API-Sicherheitserkennung erkannten API-Anfragen seit der letzten Probennahme, gruppiert nach der Erkennungsregel. | location, org, env, proxy, detection_rule |
| Apigee API Security-Vorfall | Anzahl der Anfragen zu Apigee API Security-Vorfällen:apigee.googleapis.com/security/incident_request_count |
Anzahl der erkannten API-Anfragen, die Teil eines API-Sicherheitsvorfalls sind. Dieser Wert wird einmal pro Stunde gemessen. | Standort, Organisation, Umgebung, Proxy |
| Apigee API Security-Vorfall | Anzahl der Anfragen zu Apigee API Security-Vorfällen nach Erkennungsregel:apigee.googleapis.com/security/incident_request_count_by_rule |
Anzahl der erkannten API-Anfragen, die Teil eines API-Sicherheitsvorfalls sind, nach Erkennungsregel gruppiert. Dieser Wert wird einmal pro Stunde gemessen. | Standort, Organisation, Umgebung, Vorfall-ID, Erkennungsregel |
| Verknüpfung der Apigee API-Sicherheitsprofilumgebung | Sicherheitspunktzahl der Apigee API-Quellen:apigee.googleapis.com/security/source_score |
Gilt für die Risikobewertung 1. Aktuelle Sicherheitspunktzahl des Apigee API-Proxy basierend auf der Quellbewertung der erweiterten API-Sicherheit. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. | location, org, env, profile |
| Verknüpfung der Apigee API-Sicherheitsprofilumgebung | Sicherheitspunktzahl des Apigee API-Proxy:apigee.googleapis.com/security/proxy_score |
Gilt für die Risikobewertung 1. Aktuelle Sicherheitspunktzahl des Apigee API-Proxy basierend auf der Proxybewertung der erweiterten API-Sicherheit. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. | location, org, env, profile, proxy |
| Verknüpfung der Apigee API-Sicherheitsprofilumgebung | Sicherheitspunktzahl des Apigee API-Ziels:apigee.googleapis.com/security/target_score |
Gilt für die Risikobewertung 1. Aktuelle Sicherheitspunktzahl des Apigee API-Proxy basierend auf der Zielbewertung der erweiterten API-Sicherheit. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. | Standort, Organisation, Umgebung, Profil, Zielserver |
| Verknüpfung der Apigee API-Sicherheitsprofilumgebung | Sicherheitspunktzahl der Apigee-Umgebung:apigee.googleapis.com/security/environment_score |
Gilt für die Risikobewertung 1. Aktuelle Gesamtsicherheitspunktzahl der Apigee-Umgebung auf Basis von erweiterten API-Sicherheitsbewertungen von Quellen, Proxys und Zielen. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. | Standort, Organisation, Umgebung, Profil |
| Apigee API Security-Bewertungsergebnis | Sicherheitspunktzahl:apigee.googleapis.com/security/score |
Gilt für die Risikobewertung 2. Aktuelle Sicherheitspunktzahl einer bereitgestellten Ressource basierend auf einem Sicherheitsprofil. | Standort, Organisation, Bereich, Ressource, Sicherheitsprofil |
Filter
| Filterlabel | Beschreibung |
|---|---|
| Standort | Standort der Ressource: immer global. |
| Org | Name der Apigee-Organisation |
| env | Name der Apigee-Umgebung |
| Profil | Name des Apigee API-Sicherheitsprofils |
| proxy | Name des Apigee API-Proxy |
| target_server | Name des Apigee-Zielservers |
| detection_rule | Name der Apigee API-Sicherheitserkennungsregel |
| Bereich | Für die Risikobewertung 2: Kennung des Bereichs, der der bewerteten Ressource zugeordnet ist. |
| Ressource | Für die Risikobewertung 2: Kennung der bewerteten Ressource. |
| security_profile | Für die Risikobewertung 2: Kennung des Sicherheitsprofils, das zum Bewerten der Ressource verwendet wurde. |