Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Banyak organisasi berupaya mengintegrasikan Apigee dengan solusi Informasi Keamanan dan Manajemen Peristiwa (SIEM) mereka. Integrasi ini memungkinkan korelasi data Apigee yang berharga dengan log produk jaringan dan keamanan lainnya, sehingga memfasilitasi deteksi ancaman lanjutan, logging komprehensif, dan pelaporan kepatuhan. Dokumen ini membahas berbagai pendekatan integrasi, yang memenuhi skenario dengan dan tanpa add-on Advanced API Security.
Audiens
Audiens untuk dokumen ini mencakup:
- Administrator API bertanggung jawab untuk memastikan keamanan API, mengelola konfigurasi platform, mendukung efisiensi operasional, dan mematuhi persyaratan kepatuhan keamanan.
- Analis keamanan berfokus pada deteksi dan investigasi insiden keamanan terkait API secara proaktif untuk meminimalkan risiko dan melindungi data sensitif.
Opsi konfigurasi
Apigee menawarkan dua metode utama untuk mengirim informasi log ke SIEM:
| Opsi | Deskripsi |
|---|---|
| Log platform Google Cloud | Memberikan data log API tingkat dasar, termasuk log khusus layanan yang berguna untuk proses debug dan pemecahan masalah. |
| Kebijakan Logging Pesan Apigee | Kebijakan Logging Pesan menawarkan fleksibilitas dan kontrol yang lebih besar, sehingga Anda dapat mengirim berbagai data log Apigee, termasuk variabel alur tertentu, ke SIEM. |
Mengintegrasikan Apigee dengan SIEM
Kemampuan adaptasi Apigee memastikan integrasi yang lancar dengan solusi SIEM yang Anda pilih. Langkah-langkah integrasi umum adalah:
- Pilih metode integrasi Anda. Pilih log platform Google Cloud atau kebijakan Logging Pesan Apigee berdasarkan persyaratan data dan kemampuan SIEM Anda.
- Buat Penerusan Data. Untuk menetapkan penerusan data, konfigurasikan Apigee untuk mengirim data log yang diinginkan ke SIEM Anda. Langkah-langkah dasar untuk konfigurasi ini adalah sebagai berikut.
Langkah-langkah pastinya bergantung pada detail penyiapan dan konfigurasi sistem SIEM Anda:
- Siapkan koneksi atau integrasi antara Apigee dan SIEM Anda.
- Tentukan dalam konfigurasi SIEM log atau peristiwa Apigee mana yang akan diteruskan ke SIEM Anda.
- Berikan izin yang diperlukan dalam SIEM Anda untuk menerima dan memproses data Apigee.
- Selaraskan Struktur Data. Petakan kolom log Apigee dan variabel alur
(seperti
client.ip,request.uri, dll.) ke kolom yang sesuai dalam model data SIEM Anda. Penyelarasan ini memastikan bahwa SIEM dapat menafsirkan dan mengategorikan data Apigee dengan benar untuk analisis dan korelasi yang efektif dengan peristiwa keamanan lainnya.
Mencatat data keamanan Advanced API ke dalam log
Jika ingin mencatat data yang diidentifikasi oleh Deteksi penyalahgunaan keamanan Advanced API, Anda dapat menggunakan Tindakan dengan kebijakan Logging Pesan Apigee.
Ikuti langkah-langkah berikut:
- Gunakan tindakan Advanced API Security untuk menandai aturan yang ingin Anda catat ke dalam log.
- Gunakan header yang ditambahkan oleh tindakan untuk memicu kebijakan Logging Pesan guna mencatat permintaan yang ditandai.
Misalnya, gambar berikut menunjukkan header
apisecyang dikonfigurasi dengan nilaiabusedi UI tindakan:
Dengan mengikuti contoh ini, Anda dapat mengonfigurasi kebijakan Logging Pesan untuk dipicu saat melihat header:
<PostFlow name="PostFlow"> <Request> <Step> <Condition>request.header.apisec="abuse"</Condition> <Name>LogMessagePolicy</Name> </Step> </Request> </PostFlow>
Contoh: Menggunakan kebijakan Logging Pesan Apigee
Contoh ini menunjukkan cara mengonfigurasi kebijakan Logging Pesan Apigee untuk mengirim data log Apigee ke SIEM. Dengan opsi ini, Anda menentukan dalam kebijakan Logging Pesan variabel alur Apigee yang ingin dikirim ke SIEM. Opsi ini memungkinkan Anda mengirim kumpulan detail log yang lebih lengkap ke SIEM daripada yang Anda dapatkan dengan opsi log platform Cloud.
- Mengaktifkan penyerapan data Apigee ke dalam SIEM.
- Buat kebijakan Logging Pesan dengan isi XML berikut. Untuk
mendapatkan bantuan, lihat Melampirkan dan mengonfigurasi kebijakan di UI.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <MessageLogging continueOnError="false" enabled="true" name="ML-SIEM-Integration"> <CloudLogging> <LogName>projects/{organization.name}/logs/Apigee-SIEM-Integration-{environment.name}</LogName> <Message contentType="application/json" defaultVariableValue="unknown"> { "apigee.metrics.policy.{policy_name}.timeTaken": "{apigee.metrics.policy.{policy_name}.timeTaken}", "client.country": "{client.country}", "client.host": "{client.host}", "client.ip": "{client.ip}", "client.locality": "{client.locality}", "client.port": "{client.port}", "client.state": "{client.state}", "organization.name": "{organization.name}", "proxy.client.ip": "{proxy.client.ip}", "proxy.name": "{proxy.name}", "proxy.pathsuffix": "{proxy.pathsuffix}", "proxy.url": "{proxy.url}", "request.uri": "{request.uri}", "request.verb": "{request.verb}", "response.content": "{response.content}", "response.reason.phrase": "{response.reason.phrase}", "response.status.code": "{response.status.code}", "system.region.name": "{system.region.name}", "system.timestamp": "{system.timestamp}", "system.uuid": "{system.uuid}", "target.country": "{target.country}", "target.host": "{target.host}", "target.ip": "{target.ip}", "target.locality": "{target.locality}", "target.organization": "{target.organization}", "target.port": "{target.port}", "target.scheme": "{target.scheme}", "target.state": "{target.state}", "target.url": "{target.url}" } </Message> </CloudLogging> </MessageLogging>
- Lampirkan kebijakan ke Alur Pasca Endpoint Proxy. Lihat Melampirkan dan mengonfigurasi kebijakan di UI.
Saat proxy API memproses traffic, kebijakan logging akan mengambil kolom yang ditentukan dari permintaan dan respons, lalu menulisnya ke file log untuk analisis dan proses debug.