Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da
Apigee Edge.
Os relatórios de segurança identificam ameaças às suas APIs. Para gerar relatórios, a Apigee verifica os dados de tráfego da API em um período especificado e pesquisa padrões de tráfego incomuns que podem ser causados por agentes maliciosos. O relatório resultante mostra atividade suspeita. Use essas informações para bloquear ataques contra suas APIs.
É possível criar relatórios de segurança na Apigee no console do Cloud ou usando a API Security Reports. Se você usar a IU, os dados dos relatórios serão restritos ao ambiente escolhido. No entanto, usando a API, também é possível criar relatórios para grupos de ambiente.
Consulte os papéis necessários para realizar tarefas de relatórios de segurança em Papéis necessários para relatórios de segurança.
Para usar esse recurso, é necessário ativar o complemento. Se você é um cliente de assinatura, ative o complemento para sua organização. Consulte Gerenciar organizações da Segurança avançada da API por assinatura se quiser mais detalhes. Se você é um cliente de pagamento por uso, ative o complemento nos seus ambientes qualificados. Para mais informações, consulte Gerenciar o complemento Segurança avançada da API.
Detecção de bots
Uma das ameaças mais graves à segurança da API vem de bots: scripts automatizados que enviam solicitações maliciosas para APIs. A Segurança avançada da API procura padrões de tráfego específicos de APIs, chamadas regras de detecção, que são baseadas em análises de dados reais da API.
Atraso nos dados dos relatórios de segurança
Os dados que fluem para o pipeline do Apigee Analytics têm um atraso de até 15 a 20 minutos em média. Como resultado, um relatório de segurança em que o horário de término é anterior a 20 minutos pode retornar resultados incorretos.
Métricas e funções de agregação em relatórios de segurança
É possível usar as seguintes métricas e funções de agregação, que calculam as estatísticas de uma métrica, em um relatório.
| Métrica | Descrição | Aggregation function |
|---|---|---|
bot |
O número de endereços IP distintos para bots detectados em intervalos de um minuto. | count_distinct |
bot_traffic |
O número de mensagens de endereços IP de bots detectados em intervalos de um minuto. | sum |
message_count |
Número total de chamadas de API processadas pela Apigee em intervalos de um minuto. Observação: não é possível usar |
sum |
response_size |
Tamanho do payload de resposta retornado em bytes. | sum, avg, min, max |
bot_first_detected |
Data e hora em que o bot foi detectado pela primeira vez. Disponível apenas na API. | min |
bot_last_detected |
Data e hora em que o bot foi detectado pela última vez. Disponível apenas na API. | max |
Dimensões nos relatórios de segurança
As dimensões permitem agrupar valores de métricas com base em subconjuntos relacionados dos dados. A tabela a seguir descreve as dimensões específicas da segurança avançada da API:
| Dimensão | Descrição |
|---|---|
bot_reason |
Pode ser qualquer combinação das regras de detecção de segurança.
O
|
incident_id (pré-lançamento) |
O UUID de um incidente de segurança, que é retornado por uma chamada para a API Incidents. Consulte Exemplo: receber os detalhes de um incidente específico. O
|
security_action |
A ação de segurança. Possivelmente, os valores são ALLOW, DENY ou
FLAG.
|
security_action_name |
O nome da ação de segurança. |
security_action_headers |
Cabeçalhos que podem ser usados para consultar uma ação de segurança da flag. |
Além dessas dimensões específicas da Segurança avançada de API, ela também oferece suporte a outras dimensões, que são descritas em dimensões.
Consultar relatórios de segurança
Esta tabela lista exemplos de segurança de relatórios que podem ser criados usando diferentes métricas e dimensões:
| Denunciar | Métricas | Dimensões |
|---|---|---|
| Todo o tráfego e o Relatório de contagem de bots por ambiente | bot, bot_traffic | ambiente |
| Relatório de tráfego e contagem de bots para diferentes regras | bot, bot_traffic | bot_reason |
| Relatório de tráfego e contagem de bots para diferentes países | bot, bot_traffic | ax_geo_country |
| Relatório de tráfego e contagem de bots para diferentes ISPs | bot, bot_traffic | ax_isp |
| Relatório de detecção de bots (visualização detalhada da lista) | bot_traffic | IP do cliente resolvido, ax_isp, bot_reason, request_uri, client_id |
| Tráfego de bots por token de acesso | bot_traffic | access_token |
| Tráfego de bots por proxy de API | bot_traffic | apiproxy |
| Tráfego de bots por família de agentes | bot_traffic | ax_ua_agent_family |
| Tráfego de bots por user agent | bot_traffic | useragent |
| Tráfego de bots por tipo de agente | bot_traffic | ax_ua_agent_type |
| Tráfego de bots por categoria de dispositivos | bot_traffic | ax_ua_device_category |
| Tráfego de bots por família de SO | bot_traffic | ax_ua_os_family |
| Tráfego de bots por ID do cliente | bot_traffic | client_id |
| Tráfego de bots por caminho base do proxy | bot_traffic | proxy_basepath |
| Tráfego de bots por sufixo de caminho do proxy | bot_traffic | proxy_pathsuffix |
| Tráfego de bots por URI de solicitações | bot_traffic | request_uri |
| Tráfego de bots por verbo de solicitação | bot_traffic | request_verb |
| Tráfego de bots por código de status das respostas | bot_traffic | response_status_code |
Limitações dos relatórios de segurança
Os relatórios de segurança têm as seguintes limitações:
- Os dados que fluem para o pipeline do Apigee Analytics têm um atraso de até 15 a 20 minutos em média. Como resultado, criar um relatório em que o Horário de término é menor que 20 minutos no passado pode retornar resultados incorretos.
- O período máximo para relatórios de bots é de um ano.
- O número máximo de métricas que podem ser usadas em um relatório é 25, e o número máximo de dimensões é 25.
- Assim como na API de relatórios personalizados assíncronos, há um limite de 31 MB de dados para um relatório. Se
encontrar um limite de tamanho em um relatório, você poderá fazer o seguinte:
- Reduza o período do relatório.
- Divida os dados em subconjuntos menores ao filtrar um conjunto de valores e depois crie vários relatórios, um para cada subconjunto.
- A dimensão IP do cliente resolvido não pode ser listada no mesmo relatório que a dimensão ax_geo_city ou ax_geo_country devido a questões de privacidade.
- Os jobs de relatório de segurança que filtram o
incident_idprecisam incluir oincident_idcomo uma dimensão. - As métricas a seguir estão disponíveis apenas pela API Security Reports, mas não na interface: bot_first_detected (min) e bot_last_detected (max).