Sicherheitsberichte

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

In der Ansicht Sicherheitsberichte können Sie Berichte erstellen, um Sicherheitsbedrohungen für Ihre APIs zu identifizieren. Um Berichte zu generieren, scannt Apigee API-Trafficdaten innerhalb eines bestimmten Zeitraums und sucht nach ungewöhnlichen Trafficmustern, die durch böswillige Agents verursacht werden könnten. Apigee zeigt dann einen Bericht mit allen verdächtigen Aktivitäten an. Anhand dieser Informationen können Sie Maßnahmen ergreifen, um Angriffe auf Ihre APIs zu blockieren.

Sie können Sicherheitsberichte entweder wie unten beschrieben in der Apigee-Benutzeroberfläche oder mithilfe der Security Reports API erstellen. Wenn Sie die Benutzeroberfläche verwenden, sind die Daten für Berichte auf die von Ihnen ausgewählte Umgebung beschränkt. Mit der API können Sie jedoch auch Berichte für Umgebungsgruppen erstellen.

Informationen zu den Rollen, die zum Ausführen von Aufgaben für Sicherheitsberichte erforderlich sind, finden Sie unter Erforderliche Rollen für Sicherheitsberichte.

Damit Sie dieses Feature verwenden können, müssen Sie das Add-on aktivieren. Als Abo-Kunde können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Bot-Erkennung

Eine der wichtigsten Bedrohungen für die API-Sicherheit wird durch Bots verursacht: automatisierte Skripts, die schädliche Anfragen an APIs senden. Die erweiterte API-Sicherheit sucht nach bestimmten API-Traffic-Mustern, sogenannten Bot-Erkennungsregeln, die auf der Analyse realer API-Daten basieren, um Bots zu erkennen.

Verzögerung bei Daten der Sicherheitsberichte

Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Ein Sicherheitsbericht, bei dem das Ende weniger als 20 Minuten in der Vergangenheit liegt, kann daher zu falschen Ergebnissen führen.

Ansicht Sicherheitsberichte öffnen

So öffnen Sie die Ansicht Sicherheitsberichte:

  • Wenn Sie die Apigee-UI in der Cloud Console verwenden: Wählen Sie Erweiterte API-Sicherheit > Sicherheitsberichte aus.
  • Wenn Sie die klassische Apigee-Benutzeroberfläche verwenden: Wählen Sie Analysieren > API-Sicherheit > Sicherheitsberichte. Die Spaltennamen und das Verhalten können sich in der klassischen Apigee-Benutzeroberfläche von der Apigee-Benutzeroberfläche in der Cloud Console unterscheiden.

Dadurch wird die Hauptansicht Sicherheitsberichte angezeigt:

Sicherheitsfenster im Hauptfenster.

Oben auf der Seite haben Sie folgende Optionen:

  • Die Umgebung, in der Sie einen Bericht erstellen möchten.
  • Den Filter Berichtstyp. Folgende Optionen sind verfügbar:
    • Alle
    • Aktiv
    • Fehlgeschlagen
    • Abgelaufen

Unter diesen Optionen werden die Sicherheitsberichte in den Zeilen einer Tabelle angezeigt. In jeder Zeile werden die folgenden Berichtsdetails angezeigt:

  • Den Berichtsnamen. Klicken Sie auf den Namen des Berichts, um den Bericht aufzurufen.
  • Der Status des Berichts kann einer der folgenden sein:
    • Running (Aktiv): Der Bericht wird gerade ausgeführt und kann noch nicht angezeigt werden.
    • Completed: Der Bericht ist abgeschlossen und kann angezeigt oder exportiert werden.
    • Expired: Der Bericht ist abgelaufen und kann nicht mehr in der Benutzeroberfläche angezeigt oder exportiert werden. Wenn Sie einen Bericht nach dem Ablaufdatum ansehen möchten, müssen Sie ihn vor diesem Datum exportieren. Nach 30 Tagen wird der Bericht aus der Liste der verfügbaren Berichte entfernt.

  • Die Startzeit und Endzeit zeigen die Start- und Enddaten und -zeiten für den Bericht an.

  • Eingereichtes Datum: Datum und Uhrzeit der Übermittlung des Berichts.
  • Ablaufzeit: Datum und Uhrzeit des Ablaufs des Berichts und kann nicht mehr in der Apigee-Benutzeroberfläche angezeigt werden. Das Ablaufdatum liegt sieben Tage nach der Erstellung des Berichts. Nach 30 Tagen wird der Bericht aus der Liste der verfügbaren Berichte entfernt. Berichte können nach ihrem Ablaufdatum nicht mehr in der Benutzeroberfläche angezeigt oder exportiert werden.
  • Dateigröße: Die Größe der Berichtsdatei. Möglicherweise müssen Sie die Berichtskriterien ändern, um einen Bericht mit einer Dateigröße zu erstellen, die unter der maximalen Dateigröße liegt. Informationen zur maximalen Dateigröße und zu spezifischen Möglichkeiten zum Reduzieren der Dateigröße finden Sie unter Einschränkungen für Sicherheitsberichte.
  • Exportieren: Hiermit wird der Bericht in eine ZIP-Datei exportiert oder heruntergeladen. Der Export ist nur verfügbar, wenn der Status des Berichts abgeschlossen ist.

Neuen Sicherheitsbericht erstellen

Klicken Sie zum Erstellen eines neuen Sicherheitsberichts in der Ansicht Sicherheitsberichte auf +Erstellen. Daraufhin wird das Dialogfeld Sicherheitsberichtsjob erstellen geöffnet. Hier können Sie die Optionen für den Bericht wie im nächsten Abschnitt beschrieben konfigurieren.

Optionen für Sicherheitsberichte

Sie können die folgenden Optionen für einen Sicherheitsbericht angeben:

  • Berichtsname: ein Name für den Bericht
  • Zeitraum des Berichts: Startzeit und Endzeit für den Bericht.

    Hinweis: Die Start- und Endzeit des Berichts muss in der Vergangenheit und maximal ein Jahr in der Vergangenheit liegen, wenn der Bericht erstellt wird.

  • Messwerte: Messwert für den Bericht Sie haben die Wahl zwischen den folgenden Messwerten und Aggregationsfunktionen: Funktionen, die Statistiken für die Messwerte berechnen.
    Messwert Beschreibung Aggregationsfunktionen
    Bot Die Anzahl unterschiedlicher IP-Adressen für erkannte Bots in Intervallen von einer Minute. count_distinct
    bot_traffic Die Anzahl der Nachrichten von IP-Adressen erkannter Bots in Intervallen von einer Minute. Summe
    message_count

    Gesamtzahl der von Apigee in Intervallen von einer Minute verarbeiteten API-Aufrufe.

    Hinweis: message_count kann nicht mit anderen Messwerten oder mit der Dimension bot_reason im selben Bericht verwendet werden.

    		 Summe
    response_size Größe der zurückgegebenen Antwortnutzlast in Byte. sum, avg, min, max

  • Dimensionen: Mithilfe von Dimensionen können Sie Messwerte basierend auf verwandten Teilmengen der Daten gruppieren. In der folgenden Tabelle werden die Dimensionen beschrieben, die für erweiterte API-Sicherheitsberichte spezifisch sind.

    Dimension Beschreibung
    bot_reason
    incident_id (Vorschau)
    security_action (Vorschau) Der Typ der Sicherheitsaktion. Mögliche Werte sind ALLOW, DENY und FLAG.
    security_action_name Der Name der Sicherheitsaktion.
    security_action_headers Header, die an eine Anfrage für eine ALLOW-Aktion angehängt sind.

    Hinweis: Die Dimension bot_reason, die für Advanced API Security spezifisch ist, kann eine beliebige Kombination der einzelnen Erkennungsregeln sein. Wenn ein Bot erkannt wird, besteht bot_reason aus der Teilmenge der einzelnen Erkennungsregeln, mit denen der Traffic des Bots bei der Erkennung übereinstimmte.

    Hinweis: bot_reason und incident_id funktionieren nur mit den folgenden Messwerten:

    • Bot
    • bot_traffic
    • response_size

    Weitere Dimensionen, die von erweiterten API-Sicherheitsberichten unterstützt werden, finden Sie unter Dimensionen.

    Klicken Sie einfach für jede gewünschte Dimension auf +Dimension hinzufügen, wenn Sie mehrere Dimensionen hinzufügen möchten. Sie können auch die Reihenfolge ändern, in der die Dimensionen im Bericht angezeigt werden. Klicken Sie dazu rechts neben dem Dimensionsfeld auf den Pfeil nach oben oder unten.

  • Filter: Mit Filtern können Sie die Ergebnisse auf Messwerte mit bestimmten Werten beschränken. Legen Sie die folgenden Felder fest, um einen Filter zu erstellen:
    • Wählen Sie einen Namen für den Filter aus.
    • Wählen Sie einen Vergleichsoperator aus.
    • Wählen Sie einen Wert aus.

    Sehen Sie sich die Filter an.

Klicken Sie auf Erstellen, um den Berichtjob zu erstellen, nachdem Sie alle Berichtsoptionen ausgewählt haben.

Abgeschlossenen Bericht ansehen

Sobald ein Bericht abgeschlossen ist, wird er in der Tabelle so angezeigt:

Sicherheitsbericht in Tabelle

So rufen Sie den Bericht auf:

  • Klicken Sie auf den Namen des Berichts.
  • Klicken Sie in der Zeile für den Bericht auf Exportieren.
Hinweis: Die Bot-Erkennung hat eine durchschnittliche Verarbeitungsverzögerung von etwa 15 bis 20 Minuten.

Beispiel: Bericht "Bot-IP-Adressen"

Im folgenden Beispiel wird ein Bericht erstellt, der die IP-Adressen erkannter Bots enthält. Verwenden Sie zum Erstellen des Berichts die folgende Konfiguration:

  • Messwert: Bot, die Anzahl der unterschiedlichen IP-Adressen, die als Quellen von Bots identifiziert werden.
  • Aggregatfunktion: count_distinct
  • Dimension: Aufgelöste Client-IP-Adresse

Im Folgenden ist der fertige Bericht dargestellt:

Sicherheitsbericht zur Bot-IP-Adresse

In der Tabelle unten im Bericht sind IP-Adressen aufgeführt, die von der erweiterten API-Sicherheit als Bots identifiziert wurden.

Beispiel: Bericht "Bot-Traffic nach Bot-Grund"

Im nächsten Beispiel wird ein Bericht über Bot-Traffic erstellt – die Anzahl der Anfragen von IP-Adressen, die von bot_reason als Bots-Quellen identifiziert wurden – die Regeln, die zum Erkennen des Bots geführt haben. Verwenden Sie zum Erstellen des Berichts die folgende Konfiguration:

  • Messwert: bot_traffic
  • Aggregatfunktion: Summe
  • Dimension: bot_reason

Im Folgenden ist der fertige Bericht dargestellt:

Sicherheitsbericht – Bot-Traffic nach Bot-Grund \Bericht

Jeder bot_reason besteht aus einer Teilmenge der einzelnen Erkennungsregeln. Wie Sie in der Grafik sehen können, sind die Erkennungsregeln, die den größten Bot-Traffic beigetragen haben, die folgenden Regeln:

  • Flooder
  • Brute Guessor
  • Roboter-Nutzer

Beispiel: Bot-Traffic-Bericht

Im nächsten Beispiel wird ein Bericht erstellt, der nicht nach einer Dimension gruppiert ist. Wenn Sie Daten nicht nach einer Dimension gruppieren möchten, können Sie die Dimension auf environment setzen. Da Daten immer auf die ausgewählte Umgebung beschränkt sind, führt dies zu einem Bericht, der keine Datengruppierung enthält.

  • Messwert: Bot-Traffic
  • Aggregatfunktion: Summe
  • Dimension: Umgebung
Sicherheitsbericht des Bot-Traffic-Berichts

Der Bericht zeigt den gesamten Traffic von IP-Adressen, die als Bots-Quellen für jedes 1-Minuten-Intervall während des gesamten Berichtszeitraums identifiziert wurden. Beachten Sie, dass es keine Gruppierung gibt.

Weitere Beispiele für Sicherheitsberichte

In der folgenden Tabelle sind einige Beispiele für die Sicherheit von Berichten aufgeführt, die Sie mit verschiedenen Messwerten und Dimensionen erstellen können:

Bericht Messwerte Dimensionen
Der gesamte Bot-Traffic und der Bot-Zählbericht für jede Umgebung bot, bot_traffic Umgebung
Bericht "Bot Traffic" und "Bot Count" für verschiedene Bot-Regeln bot, bot_traffic bot_reason
Bot-Traffic und Bericht zur Bot-Anzahl für verschiedene Länder bot, bot_traffic ax_geo_country
Bot-Traffic und Bericht zur Bot-Anzahl für verschiedene Internetanbieter bot, bot_traffic ax_isp
Bericht zur Bot-Erkennung (detaillierte Listenansicht) bot_traffic Aufgelöste Client-IP-Adresse, ax_isp, bot_reason, request_uri, client_id
Bot-Traffic pro Zugriffstoken bot_traffic access_token
Bot-Traffic pro API-Proxy bot_traffic apiproxy
Bot-Traffic pro Agent-Familie bot_traffic ax_ua_agent_family
Bot-Traffic pro User-Agent bot_traffic useragent
Bot-Traffic pro Agent-Typ bot_traffic ax_ua_agent_type
Bot-Traffic pro Gerätekategorie bot_traffic ax_ua_device_category
Bot-Traffic pro Betriebssystemfamilie bot_traffic ax_ua_os_family
Bot-Traffic pro Client-ID bot_traffic client_id
Bot-Traffic pro Proxy-Basispfad bot_traffic proxy_basepath
Bot-Traffic pro Proxy-Pfadsuffix bot_traffic proxy_pathsuffix
Bot-Traffic pro Anfrage-URI bot_traffic request_uri
Bot-Traffic pro Anfrageverb bot_traffic request_verb
Bot-Traffic pro Antwort-Statuscode bot_traffic response_status_code

Einschränkungen für Sicherheitsberichte

Für Sicherheitsberichte gelten die folgenden Einschränkungen:

  • Daten, die in die Apigee Analytics-Pipeline fließen, haben im Durchschnitt eine Verzögerung von bis zu 20 Minuten. Das Erstellen eines Berichts, bei dem das Ende weniger als 20 Minuten in der Vergangenheit liegt, kann daher zu falschen Ergebnissen führen.
  • Der maximale Zeitraum für Bot-Berichte beträgt 1 Jahr.
  • Sie können in einem Bericht maximal 25 Messwerte und 25 Dimensionen verwenden.
  • Wie bei der asynchronen API für benutzerdefinierte Berichte gilt für einen Bericht ein Limit von 31 MB an Daten. Wenn Sie eine Größenbeschränkung für einen Bericht erreichen, haben Sie folgende Möglichkeiten:
    • Verkürzen Sie den Zeitraum des Filters.
    • Teilen Sie die Daten in kleinere Teilmengen auf, indem Sie nach einer Reihe von Werten filtern und dann mehrere Berichte erstellen, einen für jede Teilmenge.
  • Die Dimension Aufgelöste Client-IP-Adresse kann aus Gründen des Datenschutzes nicht im selben Bericht mit der Dimension ax_geo_city oder ax_geo_country aufgeführt werden.
  • Die folgenden Messwerte sind nur über die Security Reports API, aber nicht in der UI verfügbar: bot_first_detected (min) und bot_last_detected (max)