Halaman ini berlaku untuk Apigee dan Apigee hybrid.
Banyak organisasi ingin mengintegrasikan Apigee dengan solusi {i>Security Information and Event Management<i} (SIEM). Integrasi ini memungkinkan korelasi data Apigee yang berharga dengan log produk keamanan dan jaringan lainnya, deteksi ancaman tingkat lanjut, logging komprehensif, dan pelaporan kepatuhan. Dokumen ini mengeksplorasi berbagai pendekatan integrasi, dengan menyesuaikan skenario dengan dan tanpa Advanced API Security.
Audiens
Audiens untuk dokumen ini mencakup:
- Administrator API bertanggung jawab untuk memastikan keamanan API, mengelola platform konfigurasi standar, mendukung efisiensi operasional, dan mematuhi kepatuhan keamanan lainnya.
- Analis keamanan yang berfokus pada deteksi dan investigasi terkait API secara proaktif insiden keamanan untuk meminimalkan risiko dan melindungi data sensitif.
Opsi konfigurasi
Apigee menawarkan dua metode utama untuk mengirimkan informasi log ke SIEM:
| Opsi | Deskripsi |
|---|---|
| Log platform Google Cloud | Menyediakan tingkat dasar data log API, termasuk log khusus layanan yang berguna untuk proses debug dan pemecahan masalah. |
| Kebijakan Logging Pesan Apigee | Kebijakan Logging Pesan menawarkan fleksibilitas yang lebih baik yang sama, sehingga Anda dapat mengirim berbagai data log Apigee, termasuk variabel {i>flow<i} yang spesifik, ke SIEM Anda. |
Mengintegrasikan Apigee dengan SIEM Anda
Kemampuan adaptasi Apigee memastikan integrasi yang lancar dengan solusi SIEM pilihan Anda. Langkah-langkah integrasi umumnya adalah:
- Pilih metode integrasi Anda. Pilih log platform Google Cloud atau Apigee Kebijakan Logging Pesan berdasarkan persyaratan data Anda dan Kemampuan SIEM.
- Tetapkan Penerusan Data. Untuk membuat penerusan data, konfigurasikan Apigee untuk mengirim
data log yang diinginkan
ke SIEM Anda. Langkah-langkah dasar untuk konfigurasi ini adalah sebagai berikut.
Langkah-langkah persisnya bergantung pada detail penyiapan dan konfigurasi sistem SIEM Anda:
- Siapkan koneksi atau integrasi antara Apigee dan SIEM Anda.
- Di konfigurasi SIEM, tentukan log atau peristiwa Apigee yang akan diteruskan ke SIEM Anda.
- Berikan izin yang diperlukan dalam SIEM Anda untuk menerima dan memproses data Apigee.
- Menyelaraskan Struktur Data. Petakan kolom log Apigee dan variabel flow
(seperti
client.ip,request.uri, dll.) ke kolom yang sesuai dalam model data SIEM Anda. Penyelarasan ini memastikan bahwa SIEM dapat dengan benar menafsirkan dan mengategorikan data Apigee untuk analisis yang efektif dan dengan peristiwa keamanan lainnya.
Membuat log data keamanan Advanced API
Jika Anda ingin mencatat data yang diidentifikasi oleh Advanced API ke dalam log Deteksi penyalahgunaan keamanan, Anda dapat menggunakan Tindakan dengan Logging Pesan Apigee lebih lanjut.
Ikuti langkah-langkah berikut:
- Gunakan tindakan Keamanan API Lanjutan untuk menandai aturan yang ingin Anda catat.
- Gunakan header yang ditambahkan oleh tindakan untuk memicu kebijakan Logging Pesan untuk mencatat log yang ditandai
permintaan.
Misalnya, gambar berikut menunjukkan header
apisecyang dikonfigurasi dengan nilaiabusedi UI tindakan:
Dengan mengikuti contoh ini, Anda dapat mengonfigurasi kebijakan Pencatatan Pesan untuk dipicu saat ia akan melihat {i>header<i}:
<PostFlow name="PostFlow"> <Request> <Step> <Condition>request.header.apisec="abuse"</Condition> <Name>LogMessagePolicy</Name> </Step> </Request> </PostFlow>
Contoh: Menggunakan kebijakan Logging Pesan Apigee
Contoh ini menunjukkan cara mengonfigurasi kebijakan Logging Pesan Apigee untuk mengirim data log Apigee ke SIEM. Dengan opsi ini, Anda dapat menentukan variabel flow Apigee yang ingin Anda tentukan dalam kebijakan Logging Pesan untuk dikirim ke SIEM. Opsi ini memungkinkan Anda mengirim kumpulan detail log yang lebih lengkap ke SIEM daripada yang Anda dapatkan dengan opsi Cloud Platform Log.
- Aktifkan penyerapan data Apigee ke SIEM.
- Buat kebijakan Message Logging dengan isi XML berikut. Sebagai
lihat Melampirkan dan mengonfigurasi kebijakan di UI.
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> <MessageLogging continueOnError="false" enabled="true" name="ML-SIEM-Integration"> <CloudLogging> <LogName>projects/{organization.name}/logs/Apigee-SIEM-Integration-{environment.name}</LogName> <Message contentType="application/json" defaultVariableValue="unknown"> { "apigee.metrics.policy.{policy_name}.timeTaken": "{apigee.metrics.policy.{policy_name}.timeTaken}", "client.country": "{client.country}", "client.host": "{client.host}", "client.ip": "{client.ip}", "client.locality": "{client.locality}", "client.port": "{client.port}", "client.state": "{client.state}", "organization.name": "{organization.name}", "proxy.client.ip": "{proxy.client.ip}", "proxy.name": "{proxy.name}", "proxy.pathsuffix": "{proxy.pathsuffix}", "proxy.url": "{proxy.url}", "request.uri": "{request.uri}", "request.verb": "{request.verb}", "response.content": "{response.content}", "response.reason.phrase": "{response.reason.phrase}", "response.status.code": "{response.status.code}", "system.region.name": "{system.region.name}", "system.timestamp": "{system.timestamp}", "system.uuid": "{system.uuid}", "target.country": "{target.country}", "target.host": "{target.host}", "target.ip": "{target.ip}", "target.locality": "{target.locality}", "target.organization": "{target.organization}", "target.port": "{target.port}", "target.scheme": "{target.scheme}", "target.state": "{target.state}", "target.url": "{target.url}" } </Message> </CloudLogging> </MessageLogging>
- Lampirkan kebijakan ke Alur Postingan Endpoint Proxy. Lihat Melampirkan dan mengonfigurasi kebijakan di UI.
Saat proxy API memproses traffic, kebijakan logging akan menangkap kolom yang ditentukan dari permintaan dan respons dan menulisnya ke file log untuk analisis dan {i>debugging<i}.