התראות אבטחה

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

Advanced API Security Alerts מאפשרות ליצור התראות לגבי אירועים שקשורים לאבטחת API, כמו שינויים בציוני האבטחה או תקריות של שימוש לרעה ב-API. אתם יוצרים התראות באמצעות Cloud Monitoring. אתם יכולים להגדיר התראה כך שתשלח לכם הודעה בטקסט, באימייל או בערוצים אחרים כשההתראה מופעלת.

מידע נוסף על יצירת התראות אפשר למצוא במאמר בנושא יצירת כללי מדיניות להתראות על סמך סף מדד, ומידע על ניהול התראות שנוצרו אפשר למצוא במאמר בנושא אירועים בכללי מדיניות להתראות על סמך מדדים.

התפקידים הנדרשים

כדי להגדיר התראות וערוצי התראות ב-Cloud Monitoring, צריך להקצות לכם את התפקידים הבאים:

• roles/monitoring.alertPolicyEditor
• roles/monitoring.notificationChannelEditor

מגבלות

ההגבלות הבאות חלות על התראות:

• המספר המקסימלי של מדיניות התראות הוא 500 לכל רמות המינוי של Apigee.
• נתוני המדדים נשמרים למשך 6 שבועות.
• תקופת הזמן המקסימלית שבה תנאי של סף מדד נבדק היא 23 שעות ו-30 דקות.
• יכול להיות עיכוב של עד 4 דקות מהרגע שבו מתרחש אירוע שמפעיל התראה ועד לרגע שבו ההתראה נוצרת וההודעה נשלחת.

רשימה מלאה של מגבלות על התראות מופיעה במאמר בנושא מגבלות על התראות.

בקטעים הבאים מוצגות דוגמאות שממחישות איך ליצור התראות.

דוגמה: יצירת התראה על ירידה בציון האבטחה של שרת proxy (הערכת סיכונים גרסה 1)

בדוגמה הזו נוצרת התראה אם ציון האבטחה של ה-proxy יורד מתחת לסף שצוין. כדי ליצור את ההתראה:

1. במסוף Google Cloud , עוברים לדף Monitoring >Alerting > Policies > Create alerting policy.

   מעבר ליצירת מדיניות התראות

2. לוחצים על Select a Metric (בחירת מדד).
3. מבטלים את הסימון של Show only active resources & metrics.

   הערה: אם אין בארגון נתונים עדכניים על תנועת נתונים ב-API, המדד בשלב הבא לא יוצג אלא אם תבטלו את הסימון של האפשרות הזו.

4. בוחרים מדד באופן הבא:
   1. בוחרים באפשרות Apigee API Security Profile Environment Association (שיוך סביבה לפרופיל אבטחה של Apigee API).
   2. בחלונית שנפתחת משמאל, בוחרים באפשרות אבטחה.
   3. בחלונית הבאה משמאל, בוחרים באפשרות ציון האבטחה של proxy ל-API של Apigee.
   4. לוחצים על אישור.
5. (אופציונלי) כדי להגביל את הנתונים של ההתראה, למשל לסביבה ספציפית, אפשר ליצור מסנן באופן הבא:
   1. בקטע הוספת מסננים > מסנן חדש, לוחצים על השדה מסנן ובוחרים תווית של משאב לסינון, כמו env.
   2. בשדה Comparator, בוחרים אופרטור השוואה, כמו =.
   3. בשדה Value, בוחרים ערך לתווית המשאב, כמו שם סביבה.

   עם המסנן הזה, התראה תופעל רק על ידי נתונים שעומדים בתנאי המסנן. רשימת המסננים הזמינים מופיעה במאמר בנושא מסננים.

6. בקטע Transform data (טרנספורמציה של נתונים), בשדה Rolling window function (פונקציית חלון נע), בוחרים באפשרות sum (סכום).
7. לוחצים על הבא.
8. בחלונית Configure alert trigger (הגדרת טריגר להתראה), מגדירים את האפשרויות הבאות:
   • בקטע סוגי תנאים, בוחרים באפשרות סף.
   • בקטע Alert trigger, בוחרים באפשרות Any time series violates.
   • בקטע מיקום הסף, בוחרים באפשרות מתחת לסף.
   • בשדה ערך הסף, מזינים את ערך הסף להפעלת ההתראה, למשל 600.
9. לוחצים על הבא.
10. בשדה Configure notifications, לוחצים על השדה Notification Channels ובוחרים את הערוצים שדרכם רוצים לקבל את ההתראה, למשל הודעת טקסט או אימייל. אם לא הגדרתם ערוצים, לוחצים על Manage Notification Channels ומוסיפים ערוץ או ערוצים.
11. לוחצים על OK.
12. בשדה Documentation, מזינים טקסט שרוצים שיצורף להודעה, למשל תיאור של מה שהפעיל את ההתראה. לדוגמה, אפשר להזין את הטקסט הבא: "A security score has fallen below 600."
13. בקטע Name the alert policy (מתן שם למדיניות ההתראות), מזינים שם למדיניות ההתראות.
14. לוחצים על הבא ובודקים את פרטי מדיניות ההתראות.
15. אם הכול נראה בסדר, לוחצים על יצירת מדיניות כדי ליצור את מדיניות ההתראות.

דוגמה: יצירת התראה על עלייה בתנועת ניצול לרעה שזוהתה עבור כלל זיהוי

בדוגמה הזו מוסבר איך ליצור התראה כשהמספר של הבקשות עם תנועה של ניצול לרעה שזוהתה חורג מסף שצוין עבור כל כלל זיהוי יחיד. כדי ליצור את ההתראה:

1. במסוף Google Cloud , עוברים לדף Monitoring >Alerting > Policies > Create alerting policy.

   מעבר ליצירת מדיניות התראות

   

2. לוחצים על Select a Metric (בחירת מדד).
3. מבטלים את הסימון של Show only active resources & metrics.

   הערה: אם אין בארגון נתונים עדכניים על תנועת נתונים ב-API, המדד בשלב הבא לא יוצג אלא אם תבטלו את הסימון של האפשרות הזו.

4. בוחרים מדד באופן הבא:
   1. בוחרים באפשרות Apigee API Security Detection Rule (כלל זיהוי אבטחת API של Apigee).
   2. בחלונית שנפתחת משמאל, בוחרים באפשרות אבטחה.
   3. בחלונית הבאה משמאל, בוחרים באפשרות Apigee API Security detected request count by rule (מספר הבקשות שזוהו על ידי Apigee API Security לפי כלל).
   4. לוחצים על אישור.
5. (אופציונלי) כדי להגביל את הנתונים של ההתראה, למשל לסביבה ספציפית, אפשר ליצור מסנן באופן הבא:
   1. בקטע הוספת מסננים > מסנן חדש, לוחצים על השדה מסנן ובוחרים תווית של משאב לסינון, כמו env.
   2. בשדה Comparator, בוחרים אופרטור השוואה, כמו =.
   3. בשדה Value, בוחרים ערך לתווית המשאב, כמו שם סביבה.

   עם המסנן הזה, ההתראה תופעל רק על ידי נתונים שעומדים בתנאי המסנן, כמו נתונים בסביבה מסוימת. רשימת המסננים הזמינים מופיעה במאמר בנושא מסננים.

6. בקטע Transform data (טרנספורמציה של נתונים), בשדה Rolling window function (פונקציית חלון נע), בוחרים באפשרות sum (סכום).
7. לוחצים על הבא.
8. בחלונית Configure alert trigger (הגדרת טריגר להתראה), מגדירים את האפשרויות הבאות:
   • בקטע סוגי תנאים, בוחרים באפשרות סף.
   • בקטע Alert trigger, בוחרים באפשרות Any time series violates.
   • בקטע Threshold position, בוחרים באפשרות Above threshold.
   • בשדה ערך הסף, מזינים את ערך הסף שיפעיל את ההתראה, למשל 100.
9. לוחצים על הבא.
10. בשדה Configure notifications, לוחצים על השדה Notification Channels ובוחרים את הערוצים שדרכם רוצים לקבל את ההתראה, למשל הודעת טקסט או אימייל. אם לא הגדרתם ערוצים, לוחצים על Manage Notification Channels ומוסיפים ערוץ או ערוצים.
11. לוחצים על OK.
12. בשדה Documentation, מזינים טקסט שרוצים שיצורף להודעה, למשל תיאור של מה שהפעיל את ההתראה. לדוגמה, אפשר להזין את הטקסט "Detected abuse traffic exceeded 100 for $(resource.label.env)." התנאי הזה משתמש בתווית $(resource.label.env), שמציגה את הסביבה שהנתונים שלה הפעילו את ההתראה.
13. בקטע Name the alert policy (מתן שם למדיניות ההתראות), מזינים שם למדיניות ההתראות.
14. לוחצים על הבא ובודקים את פרטי מדיניות ההתראות.
15. אם הכול נראה בסדר, לוחצים על יצירת מדיניות כדי ליצור את מדיניות ההתראות.

דוגמה: יצירת התראה למעקב אחר תנאי מעקב של הערכת סיכונים (הערכת סיכונים גרסה 2)

בדוגמה הזו נוצרת מדיניות התראות חדשה ב-Cloud Monitoring עבור תנאי מעקב של הערכת סיכונים, שמפעיל התראה אם ציון האבטחה באחד מהשרתים הפרוקסי שבמעקב יורד מתחת לסף מסוים.

1. יצירת תנאי מעקב
2. פועלים לפי ההוראות במאמר בנושא יצירת התראת מעקב כדי ליצור התראת מעקב חדשה. מערכת Apigee מאכלסת מראש חלק מהשדות כשדף נטען.
3. אם רוצים, אפשר לשנות את ההגדרות כדי להתאים אישית את מדיניות ההתראות. פועלים לפי ההנחיות במאמר יצירת מדיניות התראות. צריך לתת שם למדיניות ההתראות.
4. לוחצים על יצירת מדיניות כדי לשמור את מדיניות ההתראות החדשה.

מדדים להתראות אבטחה

בטבלה הבאה מתוארים המדדים שזמינים ליצירת התראות אבטחה:

משאב	מדד	תיאור	מסננים נתמכים
סביבת Apigee	מספר הבקשות של Apigee API Security: apigee.googleapis.com/security/request_count	מספר הבקשות ל-API שעובדו על ידי Advanced API Security (אבטחת API מתקדמת), מאז הדגימה האחרונה.	מיקום, ארגון, סביבה, שרת proxy
סביבת Apigee	מספר הבקשות שזוהו על ידי Apigee API Security: apigee.googleapis.com/security/detected_request_count	מספר בקשות ה-API שזוהו על ידי התכונה 'זיהוי שימוש לרעה' של Advanced API Security, מאז הדגימה האחרונה.	מיקום, ארגון, סביבה, שרת proxy
Apigee API Security Detection Rule	‫Apigee API Security זיהה את מספר הבקשות לפי כלל: apigee.googleapis.com/security/detected_request_count_by_rule	מספר בקשות ה-API שזוהו על ידי התכונה 'זיהוי מתקדם של ניצול לרעה של API' וקובצו לפי כלל הזיהוי מאז הדגימה האחרונה.	מיקום, ארגון, סביבה, proxy, כלל_זיהוי
אירוע אבטחה של Apigee API	מספר הבקשות לאירוע אבטחה של Apigee API: apigee.googleapis.com/security/incident_request_count	מספר בקשות ה-API שזוהו כחלק מאירוע אבטחה של API. הערך הזה נמדד פעם בשעה.	מיקום, ארגון, סביבה, שרת proxy
אירוע אבטחה של Apigee API	מספר הבקשות לאירוע אבטחה של Apigee API לפי כלל זיהוי: apigee.googleapis.com/security/incident_request_count_by_rule	מספר בקשות ה-API שזוהו כחלק מאירוע אבטחת API, מקובצות לפי כלל זיהוי. הערך הזה נמדד פעם בשעה.	location, org, env, incident_id, detection_rule
Apigee API Security Profile Environment Association	ציון האבטחה של מקורות API ב-Apigee: apigee.googleapis.com/security/source_score	המאמר הזה מתייחס לגרסה 1 של הערכת הסיכונים. ציון האבטחה הנוכחי של proxy ל-API ב-Apigee על סמך הערכת המקור של Advanced API Security. הערך הזה נמדד לפחות פעם ב-3 שעות.	מיקום, ארגון, סביבה, פרופיל
Apigee API Security Profile Environment Association	ציון האבטחה של proxy ל-API ב-Apigee: apigee.googleapis.com/security/proxy_score	המאמר הזה מתייחס לגרסה 1 של הערכת הסיכונים. ציון האבטחה הנוכחי של proxy ל-API ב-Apigee על סמך הערכת proxy של Advanced API Security. הערך הזה נמדד לפחות פעם ב-3 שעות.	מיקום, ארגון, סביבה, פרופיל, שרת proxy
Apigee API Security Profile Environment Association	ציון האבטחה של יעד API ב-Apigee: apigee.googleapis.com/security/target_score	המאמר הזה מתייחס לגרסה 1 של הערכת הסיכונים. ציון האבטחה הנוכחי של proxy ל-API ב-Apigee על סמך הערכת היעד של Advanced API Security. הערך הזה נמדד לפחות פעם ב-3 שעות.	location, org, env, profile, target_server
Apigee API Security Profile Environment Association	ציון האבטחה של סביבת Apigee: apigee.googleapis.com/security/environment_score	המאמר הזה מתייחס לגרסה 1 של הערכת הסיכונים. הציון הכולל הנוכחי של אבטחת סביבת Apigee על סמך הערכות Advanced API Security של מקורות, שרתי proxy ויעדים. הערך הזה נמדד לפחות פעם ב-3 שעות.	מיקום, ארגון, סביבה, פרופיל
Apigee API Security Assessment Result	ציון אבטחה: apigee.googleapis.com/security/score	ההגדרה הזו רלוונטית לגרסה 2 של הערכת הסיכונים. ציון האבטחה הנוכחי של משאב שנפרס על סמך פרופיל אבטחה.	location, org, scope, resource, security_profile

מסננים

תווית סינון	תיאור
location	המיקום של המשאב: תמיד גלובלי.
יח'	שם הארגון ב-Apigee
env	שם הסביבה ב-Apigee
פרופיל	השם של פרופיל אבטחת ה-API ב-Apigee
שרת proxy	שם ה-proxy ל-API ב-Apigee
target_server	השם של שרת היעד ב-Apigee
detection_rule	השם של כלל הזיהוי של אבטחת API ב-Apigee
היקף	בגרסה 2 של הערכת הסיכונים, המזהה של ההיקף שמשויך למשאב שנבדק.
משאב	בגרסה 2 של הערכת הסיכונים, המזהה של המשאב שנבדק.
security_profile	בגרסה 2 של הערכת הסיכונים, המזהה של פרופיל האבטחה שמשמש להערכת המשאב.