Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
I report sulla sicurezza sono report che identificano le minacce alla sicurezza delle tue API. Per generare report, Apigee esamina i dati sul traffico API in un intervallo di tempo specificato e cerca pattern di traffico insoliti che potrebbero essere causati da agenti dannosi. Il report risultante mostra attività sospette. Puoi utilizzare queste informazioni per bloccare gli attacchi alle tue API.
Puoi creare report sulla sicurezza in Apigee nella console Google Cloud o utilizzando l'API Security Reports. Se utilizzi la UI, i dati dei report sono limitati all'ambiente che scegli. Tuttavia, utilizzando l'API, puoi anche creare report per i gruppi di ambienti.
Consulta Ruoli richiesti per i report sulla sicurezza per i ruoli necessari per eseguire le attività dei report sulla sicurezza.
Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, vedi Gestire Advanced API Security per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo negli ambienti idonei. Per saperne di più, vedi Gestire il componente aggiuntivo Advanced API Security.
Rilevamento di bot
Una delle minacce più gravi alla sicurezza delle API proviene dai bot: script automatizzati che inviano richieste dannose alle API. Advanced API Security cerca pattern di traffico API specifici, chiamati regole di rilevamento, che si basano sull'analisi di dati API reali, per rilevare i bot.
Ritardo dei dati dei report sulla sicurezza
I dati che confluiscono nella pipeline di Apigee Analytics hanno un ritardo medio di 15-20 minuti. Di conseguenza, un report sulla sicurezza in cui l'ora di fine è inferiore a 20 minuti nel passato potrebbe restituire risultati errati.
Metriche e funzioni di aggregazione nei report sulla sicurezza
Puoi utilizzare le seguenti metriche e funzioni di aggregazione, che calcolano le statistiche di una metrica, per un report.
| Metrica | Descrizione | Aggregation function |
|---|---|---|
bot |
Il numero di indirizzi IP distinti per i bot rilevati in intervalli di un minuto. | count_distinct |
bot_traffic |
Il numero di messaggi provenienti da indirizzi IP di bot rilevati in intervalli di un minuto. | sum |
message_count |
Numero totale di chiamate API elaborate da Apigee a intervalli di un minuto. Nota: |
sum |
response_size |
Dimensione del payload della risposta restituito in byte. | sum, avg, min, max |
bot_first_detected |
Data e ora in cui è stato rilevato per la prima volta il bot. Disponibile solo tramite l'API. | min |
bot_last_detected |
Data e ora dell'ultimo rilevamento del bot. Disponibile solo tramite l'API. | max |
Dimensioni nei report sulla sicurezza
Le dimensioni consentono di raggruppare i valori delle metriche in base a sottoinsiemi correlati dei dati. La tabella seguente descrive le dimensioni specifiche di Advanced API Security:
| Dimensione | Descrizione |
|---|---|
bot_reason |
Può essere qualsiasi combinazione delle
regole di rilevamento.
|
incident_id (anteprima) |
L'UUID di un incidente di sicurezza, restituito da una chiamata all'API Incidents. Vedi Esempio: ottenere i dettagli di un incidente specifico.
|
security_action |
L'azione di sicurezza. I valori possibili sono ALLOW, DENY o
FLAG.
|
security_action_name |
Il nome dell'azione di sicurezza. |
security_action_headers |
Intestazioni che puoi utilizzare per eseguire query per un'azione di sicurezza di segnalazione. |
Oltre a queste dimensioni specifiche di Advanced API Security, Advanced API Security supporta anche dimensioni aggiuntive, descritte in dimensioni.
Consultare i report sulla sicurezza
Questa tabella elenca esempi di sicurezza dei report che puoi creare utilizzando diverse metriche e dimensioni:
| Segnala | Metriche | Dimensioni |
|---|---|---|
| Report Tutto il traffico bot e Conteggio bot per ambiente | bot, bot_traffic | environment |
| Report sul traffico bot e sul conteggio dei bot per diversi motivi | bot, bot_traffic | bot_reason |
| Report sul traffico bot e sul numero di bot per diversi paesi | bot, bot_traffic | ax_geo_country |
| Report sul traffico bot e sul conteggio dei bot per diversi ISP | bot, bot_traffic | ax_isp |
| Report sul rilevamento di bot (visualizzazione elenco dettagliato) | bot_traffic | IP client risolto, ax_isp, bot_reason, request_uri, client_id |
| Traffico bot per token di accesso | bot_traffic | access_token |
| Traffico bot per proxy API | bot_traffic | apiproxy |
| Traffico bot per famiglia di agenti | bot_traffic | ax_ua_agent_family |
| Traffico bot per user agent | bot_traffic | useragent |
| Traffico bot per tipo di agente | bot_traffic | ax_ua_agent_type |
| Traffico bot per categoria di dispositivo | bot_traffic | ax_ua_device_category |
| Traffico bot per famiglia di sistemi operativi | bot_traffic | ax_ua_os_family |
| Traffico bot per ID client | bot_traffic | client_id |
| Traffico bot per percorso di base proxy | bot_traffic | proxy_basepath |
| Traffico bot per suffisso percorso proxy | bot_traffic | proxy_pathsuffix |
| Traffico bot per URI richiesta | bot_traffic | request_uri |
| Traffico bot per verbo della richiesta | bot_traffic | request_verb |
| Traffico bot per codice di stato della risposta | bot_traffic | response_status_code |
Limitazioni dei report sulla sicurezza
I report sulla sicurezza presentano le seguenti limitazioni:
- I dati che confluiscono nella pipeline di Apigee Analytics hanno un ritardo medio di 15-20 minuti. Di conseguenza, la creazione di un report in cui l'ora di fine è inferiore a 20 minuti prima potrebbe restituire risultati errati.
- L'intervallo di tempo massimo per i report sui bot è di un anno.
- Il numero massimo di metriche che puoi utilizzare in un report è 25 e il numero massimo di dimensioni che puoi utilizzare è 25.
- Come per l'API dei report personalizzati asincroni, esiste un limite di 31 MB di dati per un report. Se
riscontri un limite di dimensioni in un report, puoi:
- Riduci l'intervallo di tempo del report.
- Dividi i dati in sottoinsiemi più piccoli filtrando in base a un insieme di valori e poi crea più report, uno per ogni sottoinsieme.
- La dimensione IP client risolto non può essere elencata nello stesso report con la dimensione ax_geo_city o ax_geo_country, a causa di problemi di privacy.
- I job del report sulla sicurezza che filtrano in base a
incident_iddevono includereincident_idcome dimensione. - Le seguenti metriche sono disponibili solo tramite l'API per i report sulla sicurezza, ma non nell'interfaccia utente: bot_first_detected (min) e bot_last_detected (max).