Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על דוחות אבטחה

הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.

לעיון במסמכי התיעוד של Apigee Edge

דוחות אבטחה הם דוחות שמזהים איומי אבטחה על ממשקי ה-API. כדי ליצור דוחות, מערכת Apigee סורקת נתוני תנועה של API במרווח זמן מוגדר ומחפשת דפוסי תנועה חריגים שיכולים להיגרם על ידי סוכנים זדוניים. בדוח שמתקבל מוצגת פעילות חשודה. אתם יכולים להשתמש במידע הזה כדי לחסום מתקפות נגד ממשקי ה-API שלכם.

אפשר ליצור דוחות אבטחה ב-Apigee במסוף Cloud או באמצעות security reports API. אם משתמשים בממשק המשתמש, הנתונים בדוחות מוגבלים לסביבה שבוחרים. עם זאת, באמצעות ה-API, אפשר גם ליצור דוחות לקבוצות סביבות.

במאמר התפקידים הנדרשים לדוחות אבטחה מפורטים התפקידים שנדרשים לביצוע משימות שקשורות לדוחות אבטחה.

כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.

זיהוי בוטים

אחד האיומים החמורים ביותר על אבטחת ה-API מגיע מבוטים: סקריפטים אוטומטיים ששולחים בקשות זדוניות ל-API. התכונה 'Advanced API Security' מחפשת דפוסים ספציפיים של תעבורת נתונים של API, שנקראים כללי זיהוי, כדי לזהות בוטים. הכללים האלה מבוססים על ניתוח של נתוני API אמיתיים.

השהיה בנתונים של דוחות אבטחה

יש עיכוב של 15 עד 20 דקות בממוצע בנתונים שמוזרמים לצינור של Apigee Analytics. כתוצאה מכך, יכול להיות שדוח אבטחה שזמן הסיום שלו הוא פחות מ-20 דקות לפני הזמן הנוכחי יחזיר תוצאות שגויות.

מדדים ופונקציות צבירה בדוחות אבטחה

אפשר להשתמש במדדים הבאים ובפונקציות הצבירה הבאות, שמחשבות נתונים סטטיסטיים ממדד, בדוח.

מדד	תיאור	`Aggregation function`
`bot`	מספר כתובות ה-IP השונות של בוטים שזוהו במרווחי זמן של דקה אחת.	`count_distinct`
`bot_traffic`	מספר ההודעות מכתובות IP של בוטים שזוהו במרווחי זמן של דקה אחת.	`sum`
`message_count`	המספר הכולל של קריאות ל-API שעובדו על ידי Apigee במרווחי זמן של דקה. הערה: אי אפשר להשתמש במדד `message_count` עם מדדים אחרים באותו דוח.	`sum`
`response_size`	גודל מטען הייעודי (payload) של התגובה שהוחזר בבייטים.	`sum`,‏ `avg`,‏ `min`,‏ `max`
`bot_first_detected`	התאריך והשעה שבהם זוהה הבוט לראשונה. הנתונים האלה זמינים רק דרך ה-API.	`min`
`bot_last_detected`	התאריך והשעה שבהם הבוט זוהה לאחרונה. האפשרות הזו זמינה רק דרך ה-API.	`max`

מאפיינים בדוחות אבטחה

מאפיינים מאפשרים לקבץ ערכים של מדדים על סמך קבוצות משנה קשורות של הנתונים. בטבלה הבאה מתוארים המאפיינים שספציפיים ל-Advanced API Security:

מאפיין	תיאור
`bot_reason`	יכול להיות כל שילוב של כללי זיהוי של אבטחה. `bot_reason` מורכב מתת-קבוצה של כללי הזיהוי שתבנית התנועה של הבוט תאמה לה. הפורמט `bot_reason` פועל רק עם המדדים הבאים: `bot` `bot_traffic` `response_size`
`incident_id` (תצוגה מקדימה)	ה-UUID של אירוע אבטחה, שמוחזר על ידי קריאה ל-Incidents API. אפשר לעיין ב דוגמה: קבלת פרטים על אירוע ספציפי. הפורמט `incident_id` פועל רק עם המדדים הבאים: `bot` `bot_traffic` `response_size`
`security_action`	פעולת האבטחה. הערכים האפשריים הם `ALLOW`,‏ `DENY` או `FLAG`.
`security_action_name`	השם של פעולת האבטחה.
`security_action_headers`	כותרות שאפשר להשתמש בהן כדי לשלוח שאילתה לגבי פעולת אבטחה של דגל.

בנוסף למאפיינים הספציפיים האלה של Advanced API Security, Advanced API Security תומכת גם במאפיינים נוספים, שמתוארים במאמר בנושא מאפיינים.

עיון בדוחות אבטחה

בטבלה הזו מפורטות דוגמאות לאבטחת דוחות שאפשר ליצור באמצעות מדדים ומאפיינים שונים:

דיווח	מדדים	מידות
דוח על כל תנועת הבוטים ומספר הבוטים לכל סביבה	bot, bot_traffic	environment
דוח תנועת בוטים ומספר הבוטים מסיבות שונות	bot, bot_traffic	bot_reason
דוח על תנועת בוטים ומספר הבוטים במדינות שונות	bot, bot_traffic	ax_geo_country
דוח על תנועת בוטים ומספר הבוטים בספקי אינטרנט שונים	bot, bot_traffic	ax_isp
דוח זיהוי בוטים (תצוגת רשימה מפורטת)	bot_traffic	Resolved Client IP, ‏ ax_isp, ‏ bot_reason, ‏ request_uri, ‏ client_id
תנועת בוטים לכל טוקן גישה	bot_traffic	access_token
תעבורת נתונים של בוטים לכל proxy ל-API	bot_traffic	apiproxy
תנועת בוטים לפי משפחת סוכנים	bot_traffic	ax_ua_agent_family
תנועת בוטים לכל סוכן משתמש	bot_traffic	useragent
תנועת בוטים לפי סוג סוכן	bot_traffic	ax_ua_agent_type
תנועת גולשים מבוטים לפי קטגוריית מכשיר	bot_traffic	ax_ua_device_category
תנועה מבוטים לפי משפחת מערכות הפעלה	bot_traffic	ax_ua_os_family
תנועה מבוטים לכל Client-ID	bot_traffic	client_id
תנועה מבוטים לכל נתיב בסיס של שרת Proxy	bot_traffic	proxy_basepath
תנועה מבוטים לפי סיומת נתיב שרת Proxy	bot_traffic	proxy_pathsuffix
תעבורת בוטים לכל URI של בקשה	bot_traffic	request_uri
תנועת גולשים מבוטים לפי פועל בקשה	bot_traffic	request_verb
תנועת גולשים מבוטים לפי קוד סטטוס תגובה	bot_traffic	response_status_code

מגבלות על דוחות אבטחה

יש מגבלות מסוימות על דוחות האבטחה:

הנתונים שמוזרמים לצינור של Apigee Analytics מתעכבים בממוצע ב-15 עד 20 דקות. כתוצאה מכך, אם תיצרו דוח שבו שעת הסיום היא לפני פחות מ-20 דקות, יכול להיות שהתוצאות יהיו שגויות.
הטווח המקסימלי של הזמן בדוחות על בוטים הוא שנה אחת.
המספר המקסימלי של מדדים שאפשר להשתמש בהם בדוח הוא 25, והמספר המקסימלי של מאפיינים שאפשר להשתמש בהם הוא 25.
בדומה ל-API של דוחות בהתאמה אישית אסינכרוניים, יש מגבלה של 31MB של נתונים לדוח. אם נתקלתם במגבלת גודל בדוח, אתם יכולים לבצע אחת מהפעולות הבאות:
- מצמצמים את טווח התאריכים של הדוח.
- מפצלים את הנתונים לקבוצות משנה קטנות יותר על ידי סינון לפי קבוצת ערכים, ואז יוצרים כמה דוחות, אחד לכל קבוצת משנה.
אי אפשר לכלול את המאפיין כתובת ה-IP של הלקוח שנפתרה באותו דוח עם המאפיינים ax_geo_city או ax_geo_country, בגלל בעיות שקשורות לפרטיות.
עבודות של דוחות אבטחה שמסננות לפי incident_id חייבות לכלול את incident_id כמאפיין.
המדדים הבאים זמינים רק דרך Security Reports API, ולא בממשק המשתמש: bot_first_detected (min) ו-bot_last_detected (max).