Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Sicherheitsberichte sind Berichte, in denen Sicherheitsbedrohungen für Ihre APIs identifiziert werden. Um Berichte zu generieren, scannt Apigee API-Trafficdaten innerhalb eines bestimmten Zeitraums und sucht nach ungewöhnlichen Trafficmustern, die durch böswillige Agents verursacht werden könnten. Der resultierende Bericht enthält verdächtige Aktivitäten. Anhand dieser Informationen können Sie Maßnahmen ergreifen, um Angriffe auf Ihre APIs zu blockieren.
Sie können Sicherheitsberichte entweder in Apigee in der Cloud Console oder mithilfe der Security Reports API erstellen. Wenn Sie die Benutzeroberfläche verwenden, sind die Daten für Berichte auf die von Ihnen ausgewählte Umgebung beschränkt. Mit der API können Sie jedoch auch Berichte für Umgebungsgruppen erstellen.
Informationen zu den Rollen, die zum Ausführen von Aufgaben für Sicherheitsberichte erforderlich sind, finden Sie unter Erforderliche Rollen für Sicherheitsberichte.
Damit Sie diese Funktion nutzen können, müssen Sie das Add-on aktivieren. Wenn Sie ein Abo-Kunde sind, können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren berechtigten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.
Bot-Erkennung
Eine der wichtigsten Bedrohungen für die API-Sicherheit wird durch Bots verursacht: automatisierte Skripts, die schädliche Anfragen an APIs senden. Die erweiterte API-Sicherheit sucht nach bestimmten API-Traffic-Mustern, sogenannten Bot-Erkennungsregeln, die auf der Analyse realer API-Daten basieren, um Bots zu erkennen.
Verzögerung bei Daten der Sicherheitsberichte
Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Ein Sicherheitsbericht, bei dem das Ende weniger als 20 Minuten in der Vergangenheit liegt, kann daher zu falschen Ergebnissen führen.
Messwerte und Aggregationsfunktionen in Sicherheitsberichten
Sie können die folgenden Messwerte und Aggregationsfunktionen, die Statistiken aus einem Messwert berechnen, für einen Bericht verwenden.
| Messwert | Beschreibung | Aggregation function |
|---|---|---|
bot |
Die Anzahl unterschiedlicher IP-Adressen für erkannte Bots in Intervallen von einer Minute. | count_distinct |
bot_traffic |
Die Anzahl der Nachrichten von IP-Adressen erkannter Bots in Intervallen von einer Minute. | sum |
message_count |
Gesamtzahl der von Apigee in Intervallen von einer Minute verarbeiteten API-Aufrufe. Hinweis: |
sum |
response_size |
Größe der zurückgegebenen Antwortnutzlast in Byte. | sum, avg, min, max |
bot_first_detected |
Datum und Uhrzeit der ersten Erkennung des Bots. Nur über die API verfügbar. | min |
bot_last_detected |
Datum und Uhrzeit der letzten Erkennung des Bots. Nur über die API verfügbar. | max |
Dimensionen in Sicherheitsberichten
Mit Dimensionen können Sie Messwerte anhand verwandter Teilmengen der Daten gruppieren. In der folgenden Tabelle werden die Dimensionen beschrieben, die für die erweiterte API-Sicherheit spezifisch sind:
| Dimension | Beschreibung |
|---|---|
bot_reason |
Kann eine beliebige Kombination der Erkennungsregeln für die Sicherheit sein.
|
incident_id (Vorschau) |
Die UUID für einen Sicherheitsvorfall, die durch einen Aufruf der Incidents API zurückgegeben wird. Weitere Informationen finden Sie unter Beispiel: Details zu einem bestimmten Vorfall abrufen.
|
security_action |
Die Sicherheitsaktion. Mögliche Werte sind ALLOW, DENY oder FLAG.
|
security_action_name |
Der Name der Sicherheitsaktion. |
security_action_headers |
Header, mit denen Sie eine Flag-Sicherheitsaktion abfragen können. |
Zusätzlich zu diesen Dimensionen, die für die erweiterte API-Sicherheit spezifisch sind, werden auch weitere Dimensionen unterstützt, die unter Dimensionen beschrieben werden.
Sicherheitsberichte aufrufen
In der folgenden Tabelle sind einige Beispiele für die Sicherheit von Berichten aufgeführt, die Sie mit verschiedenen Messwerten und Dimensionen erstellen können:
| Bericht | Messwerte | Dimensionen |
|---|---|---|
| Der gesamte Bot-Traffic und der Bot-Zählbericht für jede Umgebung | bot, bot_traffic | Umgebung |
| Bericht "Bot Traffic" und "Bot Count" für verschiedene Bot-Regeln | bot, bot_traffic | bot_reason |
| Bot-Traffic und Bericht zur Bot-Anzahl für verschiedene Länder | bot, bot_traffic | ax_geo_country |
| Bot-Traffic und Bericht zur Bot-Anzahl für verschiedene Internetanbieter | bot, bot_traffic | ax_isp |
| Bericht zur Bot-Erkennung (detaillierte Listenansicht) | bot_traffic | Aufgelöste Client-IP-Adresse, ax_isp, bot_reason, request_uri, client_id |
| Bot-Traffic pro Zugriffstoken | bot_traffic | access_token |
| Bot-Traffic pro API-Proxy | bot_traffic | apiproxy |
| Bot-Traffic pro Agent-Familie | bot_traffic | ax_ua_agent_family |
| Bot-Traffic pro User-Agent | bot_traffic | useragent |
| Bot-Traffic pro Agent-Typ | bot_traffic | ax_ua_agent_type |
| Bot-Traffic pro Gerätekategorie | bot_traffic | ax_ua_device_category |
| Bot-Traffic pro Betriebssystemfamilie | bot_traffic | ax_ua_os_family |
| Bot-Traffic pro Client-ID | bot_traffic | Client-ID |
| Bot-Traffic pro Proxy-Basispfad | bot_traffic | proxy_basepath |
| Bot-Traffic pro Proxy-Pfadsuffix | bot_traffic | proxy_pathsuffix |
| Bot-Traffic pro Anfrage-URI | bot_traffic | request_uri |
| Bot-Traffic pro Anfrageverb | bot_traffic | request_verb |
| Bot-Traffic pro Antwort-Statuscode | bot_traffic | response_status_code |
Einschränkungen für Sicherheitsberichte
Für Sicherheitsberichte gelten die folgenden Einschränkungen:
- Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Das Erstellen eines Berichts, bei dem das Ende weniger als 20 Minuten in der Vergangenheit liegt, kann daher zu falschen Ergebnissen führen.
- Der maximale Zeitraum für Bot-Berichte beträgt 1 Jahr.
- Sie können in einem Bericht maximal 25 Messwerte und 25 Dimensionen verwenden.
- Wie bei der asynchronen API für benutzerdefinierte Berichte gilt für einen Bericht ein Limit von 31 MB an Daten. Wenn Sie eine Größenbeschränkung für einen Bericht erreichen, haben Sie folgende Möglichkeiten:
- Verkürzen Sie den Zeitraum des Filters.
- Teilen Sie die Daten in kleinere Teilmengen auf, indem Sie nach einer Reihe von Werten filtern und dann mehrere Berichte erstellen, einen für jede Teilmenge.
- Die Dimension Aufgelöste Client-IP-Adresse kann aus Gründen des Datenschutzes nicht im selben Bericht mit der Dimension ax_geo_city oder ax_geo_country aufgeführt werden.
- Bei Sicherheitsberichts-Jobs, die nach
incident_idfiltern, mussincident_idals Dimension enthalten sein. - Die folgenden Messwerte sind nur über die Security Reports API, aber nicht in der UI verfügbar: bot_first_detected (min) und bot_last_detected (max).