הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
דוחות אבטחה הם דוחות שמזהים איומי אבטחה בממשקי ה-API שלכם. כדי ליצור דוחות, מערכת Apigee סורקת נתונים של תנועת API במרווח זמן מוגדר ומחפשת דפוסי תנועה חריגים שיכולים להיגרם על ידי סוכנים זדוניים. בדוח שמתקבל מוצגת פעילות חשודה. אפשר להשתמש במידע הזה כדי לחסום מתקפות נגד ממשקי ה-API.
אפשר ליצור דוחות אבטחה ב-Apigee במסוף Cloud או באמצעות security reports API. אם משתמשים בממשק המשתמש, הנתונים בדוחות מוגבלים לסביבה שנבחרה. עם זאת, אפשר גם ליצור דוחות לקבוצות סביבות באמצעות ה-API.
במאמר התפקידים הנדרשים לדוחות אבטחה מפורטים התפקידים שנדרשים לביצוע משימות שקשורות לדוחות אבטחה.
כדי להשתמש בתכונה הזו, צריך להפעיל את התוסף. אם יש לכם מינוי, אתם יכולים להפעיל את התוסף לארגון שלכם. פרטים נוספים זמינים במאמר ניהול Advanced API Security בארגונים עם מינוי. אם אתם לקוחות עם תשלום לפי שימוש, אתם יכולים להפעיל את התוסף בסביבות שעומדות בדרישות. מידע נוסף זמין במאמר ניהול התוסף Advanced API Security.
זיהוי בוטים
אחד האיומים החמורים ביותר על אבטחת ה-API מגיע מבוטים: סקריפטים אוטומטיים ששולחים בקשות זדוניות ל-API. התכונה 'Advanced API Security' מחפשת דפוסים ספציפיים של תנועת API, שנקראים כללי זיהוי, כדי לזהות בוטים. הכללים האלה מבוססים על ניתוח של נתוני API אמיתיים.
השהיה בנתונים של דוחות אבטחה
יש עיכוב של 15 עד 20 דקות בממוצע בנתונים שזורמים לצינור עיבוד הנתונים של Apigee Analytics. כתוצאה מכך, דוח אבטחה שזמן הסיום שלו הוא פחות מ-20 דקות לפני הזמן הנוכחי עלול להחזיר תוצאות שגויות.
מדדים ופונקציות צבירה בדוחות אבטחה
אפשר להשתמש במדדים הבאים ובפונקציות הצבירה, שמחשבות נתונים סטטיסטיים ממדד, בדוח.
| מדד | תיאור | Aggregation function |
|---|---|---|
bot |
מספר כתובות ה-IP הייחודיות של בוטים שזוהו במרווחי זמן של דקה. | count_distinct |
bot_traffic |
מספר ההודעות מכתובות IP של בוטים שזוהו במרווחי זמן של דקה אחת. | sum |
message_count |
המספר הכולל של קריאות ל-API שעובדו על ידי Apigee במרווחי זמן של דקה. הערה: אי אפשר להשתמש במדד |
sum |
response_size |
גודל מטען הייעודי (payload) של התגובה שהוחזר בבייטים. | sum, avg, min, max |
bot_first_detected |
התאריך והשעה שבהם הבוט זוהה לראשונה. האפשרות הזו זמינה רק דרך ה-API. | min |
bot_last_detected |
התאריך והשעה שבהם הבוט זוהה לאחרונה. האפשרות הזו זמינה רק דרך ה-API. | max |
מאפיינים בדוחות אבטחה
מאפיינים מאפשרים לקבץ ערכי מדדים על סמך קבוצות משנה קשורות של הנתונים. בטבלה הבאה מתוארים המאפיינים שספציפיים ל-Advanced API Security:
| מאפיין | תיאור |
|---|---|
bot_reason |
יכול להיות כל שילוב של כללי זיהוי של אבטחה.
הפורמט
|
incident_id (תצוגה מקדימה) |
ה-UUID של אירוע אבטחה, שמוחזר על ידי קריאה ל-Incidents API. אפשר לעיין ב דוגמה: קבלת פרטים על אירוע ספציפי. הפורמט
|
security_action |
פעולת האבטחה. הערכים האפשריים הם ALLOW, DENY או FLAG.
|
security_action_name |
השם של פעולת האבטחה. |
security_action_headers |
כותרות שאפשר להשתמש בהן כדי לשלוח שאילתה לפעולת אבטחה של דגל. |
בנוסף למאפיינים הספציפיים האלה של Advanced API Security, Advanced API Security תומכת גם במאפיינים נוספים, שמתוארים במאמר בנושא מאפיינים.
עיון בדוחות אבטחה
בטבלה הזו מופיעות דוגמאות לאבטחת דוחות שאפשר ליצור באמצעות מדדים ומאפיינים שונים:
| דיווח | מדדים | מידות |
|---|---|---|
| דוח על כל תנועת הבוטים ומספר הבוטים לכל סביבה | bot, bot_traffic | environment |
| דוח תנועת בוטים ומספר הבוטים מסיבות שונות | bot, bot_traffic | bot_reason |
| דוח על תנועת בוטים ומספר הבוטים במדינות שונות | bot, bot_traffic | ax_geo_country |
| דוח על תנועת בוטים ומספר הבוטים בספקי אינטרנט שונים | bot, bot_traffic | ax_isp |
| דוח זיהוי בוטים (תצוגת רשימה מפורטת) | bot_traffic | Resolved Client IP, ax_isp, bot_reason, request_uri, client_id |
| תנועת בוטים לכל טוקן גישה | bot_traffic | access_token |
| תעבורת נתונים של בוטים לכל proxy ל-API | bot_traffic | apiproxy |
| תנועת בוטים לכל משפחת סוכנים | bot_traffic | ax_ua_agent_family |
| תנועת בוטים לכל סוכן משתמש | bot_traffic | useragent |
| תנועת בוטים לפי סוג הסוכן | bot_traffic | ax_ua_agent_type |
| תנועת גולשים מבוטים לפי קטגוריית מכשיר | bot_traffic | ax_ua_device_category |
| תנועה מבוטים לפי משפחת מערכת הפעלה | bot_traffic | ax_ua_os_family |
| תנועת גולשים מבוטים לכל Client-ID | bot_traffic | client_id |
| תנועה מבוטים לפי נתיב בסיס של שרת Proxy | bot_traffic | proxy_basepath |
| תנועה מבוטים לפי סיומת נתיב שרת Proxy | bot_traffic | proxy_pathsuffix |
| תנועת בוטים לפי URI של בקשה | bot_traffic | request_uri |
| תנועת גולשים מבוטים לפי פועל בקשה | bot_traffic | request_verb |
| תנועת גולשים מבוטים לפי קוד סטטוס תגובה | bot_traffic | response_status_code |
מגבלות על דוחות אבטחה
יש מגבלות על דוחות האבטחה:
- בממוצע, יש עיכוב של 15 עד 20 דקות בנתונים שזורמים לצינור עיבוד הנתונים של Apigee Analytics. כתוצאה מכך, ייתכן שדוח שבו שעת הסיום היא פחות מ-20 דקות לפני הזמן הנוכחי יחזיר תוצאות שגויות.
- הטווח המקסימלי של הזמן בדוחות על בוטים הוא שנה אחת.
- המספר המקסימלי של מדדים שאפשר להשתמש בהם בדוח הוא 25, והמספר המקסימלי של מאפיינים שאפשר להשתמש בהם הוא 25.
- בדומה ל-API של דוחות בהתאמה אישית אסינכרוניים, יש מגבלה של 31MB של נתונים לדוח. אם נתקלתם במגבלת גודל בדוח, אתם יכולים:
- מצמצמים את טווח התאריכים של הדוח.
- מפצלים את הנתונים לקבוצות משנה קטנות יותר על ידי סינון לפי קבוצת ערכים, ואז יוצרים כמה דוחות, אחד לכל קבוצת משנה.
- אי אפשר לכלול את המאפיין כתובת ה-IP של הלקוח שנפתרה באותו דוח עם המאפיינים ax_geo_city או ax_geo_country, בגלל בעיות שקשורות לפרטיות.
- משימות של דוחות אבטחה שמסננות לפי
incident_idחייבות לכלול אתincident_idכמאפיין. - המדדים הבאים זמינים רק דרך security reports API, ולא בממשק המשתמש: bot_first_detected (min) ו-bot_last_detected (max).