Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Esta página se aplica a Apigee y Apigee Hybrid.
Muchas organizaciones buscan integrar Apigee con sus soluciones de administración de información y eventos de seguridad (SIEM). Esta integración permite la correlación valiosa de los datos de Apigee con otros registros de productos de red y seguridad, lo que facilita la detección avanzada de amenazas, el registro completo y los informes de cumplimiento. En este documento, se exploran varios enfoques de integración para situaciones con y sin el complemento Advanced API Security.
Público
El público de este documento incluye lo siguiente:
Los administradores de API que son responsables de garantizar la seguridad de la API, administrar las configuraciones de la plataforma, respaldar la eficiencia operativa y cumplir con los requisitos de cumplimiento de seguridad.
Los analistas de seguridad se enfocaron en detectar e investigar de forma proactiva los incidentes de seguridad relacionados con las APIs para minimizar los riesgos y proteger los datos sensibles.
Opciones de configuración
Apigee ofrece dos métodos principales para enviar información de registro a una SIEM:
Proporciona un nivel básico de datos de registro de API, incluidos los registros específicos del servicio que son útiles para la depuración y la solución de problemas.
Política de registro de mensajes de Apigee
La política de registro de mensajes ofrece mayor flexibilidad y control, lo que te permite enviar a tu SIEM una amplia variedad de datos de registro de Apigee, incluidas las variables de flujo específicas.
Integra Apigee en tu SIEM
La adaptabilidad de Apigee garantiza una integración fluida con la solución de SIEM que elijas.
Los pasos de integración generales son los siguientes:
Elige tu método de integración. Selecciona los registros de la plataforma de Google Cloud o la política de registro de mensajes de Apigee según tus requisitos de datos y las capacidades de SIEM.
Establece el reenvío de datos. Para establecer el reenvío de datos, configura Apigee para que envíe los datos de registro deseados a tu SIEM. Los pasos básicos para esta configuración son los siguientes.
Los pasos exactos dependen de la configuración y los detalles de configuración de tu sistema SIEM:
Configura una conexión o integración entre Apigee y tu SIEM.
Especifica en tu configuración de SIEM qué registros o eventos de Apigee se deben reenviar a tu SIEM.
Otorga los permisos necesarios en tu SIEM para recibir y procesar los datos de Apigee.
Alinea estructuras de datos. Asigna los campos de registro y las variables de flujo de Apigee (como client.ip, request.uri, etcétera)
a los campos correspondientes en el modelo de datos de tu SIEM. Esta alineación garantiza que el SIEM pueda interpretar y categorizar correctamente los datos de Apigee para un análisis y una correlación eficaces con otros eventos de seguridad.
Registra los datos de Advanced API Security
Si deseas registrar datos que se identificaron mediante la detección de abusos de Advanced API Security, puedes usar Acciones con la política de Logging de mensajes de Apigee.
Usa el encabezado que agrega la acción para activar la política de Message Logging a fin de registrar la solicitud marcada.
Por ejemplo, en la siguiente imagen, se muestra el encabezado apisec configurado con el valor abuse en la IU de acciones:
Siguiendo este ejemplo, puedes configurar la política de registro de mensajes para que se active cuando vea el encabezado:
Ejemplo: Usa la política de registro de mensajes de Apigee
En este ejemplo, se muestra cómo configurar la política de registro de mensajes de Apigee para enviar datos de registro de Apigee a una SIEM. Con esta opción, debes especificar en la política de Message Logging qué variables de flujo de Apigee deseas enviar a SIEM. Esta opción te permite enviar un conjunto más completo de detalles de registro al SIEM que el que obtienes con la opción de registro de la plataforma de Cloud.
Habilita la transferencia de datos de Apigee a SIEM.
A medida que el proxy de API procesa el tráfico, la política de registro capturará los campos especificados de las solicitudes y respuestas, y los escribirá en el archivo de registro para el análisis y la depuración.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eApigee and Apigee hybrid can be integrated with Security Information and Event Management (SIEM) systems to correlate API data with network and security logs, enhancing threat detection and compliance.\u003c/p\u003e\n"],["\u003cp\u003eThere are two primary methods for sending Apigee log data to a SIEM: utilizing Google Cloud platform logs for basic data, or the Apigee Message Logging policy for more customized data, such as specific flow variables.\u003c/p\u003e\n"],["\u003cp\u003eIntegrating Apigee with a SIEM involves choosing an integration method, establishing data forwarding from Apigee to the SIEM, and aligning the Apigee data structure with the SIEM's data model.\u003c/p\u003e\n"],["\u003cp\u003eThe Apigee Message Logging policy offers the flexibility to specify exactly which Apigee flow variables to send to the SIEM, enabling a more detailed log data set compared to the Cloud platform logs.\u003c/p\u003e\n"],["\u003cp\u003eAdvanced API Security data, such as abuse detection, can be logged to a SIEM by using security actions to flag rules and the Message Logging policy to log the flagged requests.\u003c/p\u003e\n"]]],[],null,["# Integrate Apigee with your SIEM solution\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\nMany organizations seek to integrate Apigee\nwith their Security Information and Event Management (SIEM) solutions. This integration enables\nthe valuable correlation of Apigee data with other network and security product logs, facilitating\nadvanced threat detection, comprehensive logging, and compliance reporting. This document\nexplores various integration approaches, catering to scenarios both with and without the\n[Advanced API Security](/apigee/docs/api-security) add-on.\n\nAudience\n--------\n\nThe audience for this document includes:\n\n- **API administrators** responsible for ensuring API security, managing platform configurations, supporting operational efficiency, and adhering to security compliance requirements.\n- **Security analysts** focused on proactively detecting and investigating API-related security incidents to minimize risk and safeguard sensitive data.\n\nConfiguration options\n---------------------\n\nApigee offers two primary methods for sending log information to a SIEM:\n\nIntegrating Apigee with your SIEM\n---------------------------------\n\nApigee's adaptability ensures smooth integration with your chosen SIEM solution.\nThe general integration steps are:\n| **Note:** If you use Google Security Operations SIEM, see [Integrate Apigee with Google SecOps](/apigee/docs/api-platform/security/secops-integration) for more information. See also [Google Security Operations SIEM overview](/chronicle/docs/overview).\n\n1. **Choose your integration method.** Select either Google Cloud platform logs or the Apigee [Message Logging policy](#messageloggingpolicy) based on your data requirements and SIEM capabilities.\n2. **Establish Data Forwarding.** To establish data forwarding, configure Apigee to send the desired log data to your SIEM. The basic steps for this configuration are as follows. The exact steps depend on your SIEM system's setup and configuration details:\n 1. Set up a connection or integration between Apigee and your SIEM.\n 2. Specify in your SIEM configuration which Apigee logs or events to forward to your SIEM.\n 3. Grant necessary permissions within your SIEM to receive and process the Apigee data.\n3. **Align Data Structures.** Map the Apigee log fields and [flow variables](/apigee/docs/api-platform/reference/variables-reference) (like `client.ip`, `request.uri`, etc.) to the corresponding fields in your SIEM's data model. This alignment ensures that the SIEM can correctly interpret and categorize the Apigee data for effective analysis and correlation with other security events.\n\nLog Advanced API security data\n------------------------------\n\nIf you wish to log data that was identified by Advanced API\nsecurity [Abuse detection](/apigee/docs/api-security/abuse-detection), you can use [Actions](/apigee/docs/api-security/security-actions) with the Apigee Message Logging\npolicy.\n\n\nFollow these steps:\n\n1. Use [Advanced API Security actions](/apigee/docs/api-security/security-actions) to flag a rule you want to log.\n2. Use the header added by the action to trigger the Message Logging policy to log the flagged request. For example, the following image shows the header `apisec` configured with the value `abuse` in the actions UI:\n\n Following this example, you could configure the Message Logging policy to trigger when\n it sees the header: \n\n ```text\n \u003cPostFlow name=\"PostFlow\"\u003e\n \u003cRequest\u003e\n \u003cStep\u003e\n \u003cCondition\u003erequest.header.apisec=\"abuse\"\u003c/Condition\u003e\n \u003cName\u003eLogMessagePolicy\u003c/Name\u003e\n \u003c/Step\u003e\n \u003c/Request\u003e\n \u003c/PostFlow\u003e\n ```\n\nExample: Use the Apigee Message Logging policy\n----------------------------------------------\n\nThis example shows how to configure the Apigee [Message Logging policy](/apigee/docs/api-platform/reference/policies/message-logging-policy) to send Apigee log data\nto a SIEM. With this option, you specify in the Message Logging policy which Apigee [flow variables](/apigee/docs/api-platform/reference/variables-reference) you wish\nto send to the SIEM. This option lets you send a richer set of log details to the SIEM than you get\nwith the Cloud platform log option.\n| **Note:** To use this option, you must be familiar with configuring and using [Apigee policies](/apigee/docs/api-platform/develop/policy-attachment-and-enforcement).\n\n1. Enable ingestion of Apigee data into the SIEM.\n 2. Create a [Message Logging policy](/apigee/docs/api-platform/reference/policies/message-logging-policy) with the following XML body. For help, see [Attaching and configuring policies in the UI](/apigee/docs/api-platform/develop/attaching-and-configuring-policies-management-ui). **Note**: Only the flow variables specified in the policy will be sent to the SIEM. If you do not wish to log certain variables, remove them from the policy body. \n\n ```verilog\n \u003c?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?\u003e\n \u003cMessageLogging continueOnError=\"false\" enabled=\"true\" name=\"ML-SIEM-Integration\"\u003e\n \u003cCloudLogging\u003e\n \u003cLogName\u003eprojects/{organization.name}/logs/Apigee-SIEM-Integration-{environment.name}\u003c/LogName\u003e\n \u003cMessage contentType=\"application/json\" defaultVariableValue=\"unknown\"\u003e\n {\n \"apigee.metrics.policy.{policy_name}.timeTaken\": \"{apigee.metrics.policy.{policy_name}.timeTaken}\",\n \"client.country\": \"{client.country}\",\n \"client.host\": \"{client.host}\",\n \"client.ip\": \"{client.ip}\",\n \"client.locality\": \"{client.locality}\",\n \"client.port\": \"{client.port}\",\n \"client.state\": \"{client.state}\",\n \"organization.name\": \"{organization.name}\",\n \"proxy.client.ip\": \"{proxy.client.ip}\",\n \"proxy.name\": \"{proxy.name}\",\n \"proxy.pathsuffix\": \"{proxy.pathsuffix}\",\n \"proxy.url\": \"{proxy.url}\",\n \"request.uri\": \"{request.uri}\",\n \"request.verb\": \"{request.verb}\",\n \"response.content\": \"{response.content}\",\n \"response.reason.phrase\": \"{response.reason.phrase}\",\n \"response.status.code\": \"{response.status.code}\",\n \"system.region.name\": \"{system.region.name}\",\n \"system.timestamp\": \"{system.timestamp}\",\n \"system.uuid\": \"{system.uuid}\",\n \"target.country\": \"{target.country}\",\n \"target.host\": \"{target.host}\",\n \"target.ip\": \"{target.ip}\",\n \"target.locality\": \"{target.locality}\",\n \"target.organization\": \"{target.organization}\",\n \"target.port\": \"{target.port}\",\n \"target.scheme\": \"{target.scheme}\",\n \"target.state\": \"{target.state}\",\n \"target.url\": \"{target.url}\"\n }\n \u003c/Message\u003e\n \u003c/CloudLogging\u003e\n \u003c/MessageLogging\u003e\n ```\n3. Attach the policy to the Proxy Endpoint Post Flow. See [Attaching and configuring policies in the UI](/apigee/docs/api-platform/develop/attaching-and-configuring-policies-management-ui).\n\nAs the API proxy processes traffic, the logging policy will capture the specified fields\nfrom the requests and responses and write them out to the log file for analysis and debugging."]]
