Integrare Apigee con la soluzione SIEM

Questa pagina si applica ad Apigee e Apigee hybrid.

Molte organizzazioni cercano di integrare Apigee con le proprie soluzioni di gestione degli eventi e delle informazioni di sicurezza (SIEM). Questa integrazione consente la correlazione utile dei dati di Apigee con altri log di prodotti di rete e sicurezza, facilitando il rilevamento avanzato delle minacce, la registrazione completa e la generazione di report sulla conformità. Questo documento esamina vari approcci di integrazione, adattandosi a scenari con e senza il componente aggiuntivo Advanced API Security.

Pubblico

Il pubblico di questo documento include:

  • Amministratori API responsabili di garantire la sicurezza delle API, gestire le configurazioni della piattaforma, supportare l'efficienza operativa e rispettare i requisiti di conformità alla sicurezza.
  • Gli analisti della sicurezza si sono concentrati sul rilevamento e sull'indagine proattivi degli incidenti di sicurezza relativi alle API per ridurre al minimo i rischi e salvaguardare i dati sensibili.

Opzioni di configurazione

Apigee offre due metodi principali per inviare informazioni sui log a un SIEM:

Opzione Descrizione
Log della piattaforma Google Cloud Fornisce un livello di base dei dati dei log dell'API, inclusi i log specifici del servizio utili per il debugging e la risoluzione dei problemi.
Criteri di registrazione dei messaggi di Apigee Il Regolamento di registrazione dei messaggi offre maggiore flessibilità e controllo, consentendoti di inviare al tuo SIEM un'ampia gamma di dati dei log di Apigee, incluse variabili di flusso specifiche.

Integrazione di Apigee con il tuo SIEM

L'adattabilità di Apigee garantisce un'integrazione agevole con la soluzione SIEM scelta. I passaggi generali di integrazione sono:

  1. Scegli il metodo di integrazione. Seleziona i log della piattaforma Google Cloud o le norme di registrazione dei messaggi di Apigee in base ai tuoi requisiti di dati e alle funzionalità SIEM.
  2. Stabilisci il Forwarding dei dati. Per stabilire il Forwarding dei dati, configura Apigee in modo che invii i dati di log desiderati al tuo SIEM. I passaggi di base per questa configurazione sono i seguenti. I passaggi esatti dipendono dai dettagli di configurazione e impostazione del sistema SIEM:
    1. Configura una connessione o un'integrazione tra Apigee e il tuo SIEM.
    2. Specifica nella configurazione del tuo SIEM quali log o eventi di Apigee inoltrare al tuo SIEM.
    3. Concedi le autorizzazioni necessarie all'interno del tuo SIEM per ricevere ed elaborare i dati di Apigee.
  3. Allinea le strutture di dati. Mappa i campi dei log di Apigee e le variabili di flusso (ad es. client.ip, request.uri e così via). ai campi corrispondenti nel modello di dati del tuo SIEM. Questo allineamento garantisce che il sistema SIEM possa interpretare e classificare correttamente i dati di Apigee per un'analisi e una correlazione efficaci con altri eventi di sicurezza.

Registrare i dati di Advanced API Security

Se vuoi registrare i dati identificati dal rilevamento di abusi della sicurezza delle API avanzate, puoi utilizzare Azioni con il criterio di registrazione dei messaggi Apigee.

Segui questi passaggi:

  1. Utilizza le azioni di Advanced API Security per segnalare una regola da registrare.
  2. Utilizza l'intestazione aggiunta dall'azione per attivare il criterio di logging dei messaggi in modo da registrare la richiesta segnalata. Ad esempio, l'immagine seguente mostra l'intestazione apisec configurata con il valore abuse nell'interfaccia utente delle azioni:

    Uno screenshot che mostra l'intestazione apisec configurata con abuso di valore nell'interfaccia utente delle azioni di sicurezza dell'API

    Seguendo questo esempio, puoi configurare il criterio di registrazione dei messaggi in modo che si attivi quando viene visualizzata l'intestazione:

    <PostFlow name="PostFlow">
  <Request>
    <Step>
      <Condition>request.header.apisec="abuse"</Condition>
      <Name>LogMessagePolicy</Name>
    </Step>
  </Request>
</PostFlow>

Esempio: utilizza il criterio di logging dei messaggi Apigee

Questo esempio mostra come configurare il criterio di registrazione dei messaggi di Apigee per inviare i dati dei log di Apigee a un SIEM. Con questa opzione, nel criterio di registrazione dei messaggi specifichi le variabili di flusso di Apigee che vuoi inviare al SIEM. Questa opzione ti consente di inviare al SIEM un insieme più completo di dettagli dei log rispetto a quanto ottenibile con l'opzione di log della piattaforma Cloud.

  1. Attiva l'importazione dei dati di Apigee nel SIEM.
  2. Crea un criterio di registrazione dei messaggi con il seguente corpo XML. Per assistenza, consulta Collegare e configurare i criteri nell'interfaccia utente. 
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <MessageLogging continueOnError="false" enabled="true" name="ML-SIEM-Integration">
      <CloudLogging>
        <LogName>projects/{organization.name}/logs/Apigee-SIEM-Integration-{environment.name}</LogName>
        <Message contentType="application/json" defaultVariableValue="unknown">
        {
          "apigee.metrics.policy.{policy_name}.timeTaken": "{apigee.metrics.policy.{policy_name}.timeTaken}",
          "client.country": "{client.country}",
          "client.host": "{client.host}",
          "client.ip": "{client.ip}",
          "client.locality": "{client.locality}",
          "client.port": "{client.port}",
         "client.state": "{client.state}",
          "organization.name": "{organization.name}",
        "proxy.client.ip": "{proxy.client.ip}",
        "proxy.name": "{proxy.name}",
        "proxy.pathsuffix": "{proxy.pathsuffix}",
        "proxy.url": "{proxy.url}",
        "request.uri": "{request.uri}",
        "request.verb": "{request.verb}",
        "response.content": "{response.content}",
        "response.reason.phrase": "{response.reason.phrase}",
        "response.status.code": "{response.status.code}",
        "system.region.name": "{system.region.name}",
        "system.timestamp": "{system.timestamp}",
        "system.uuid": "{system.uuid}",
        "target.country": "{target.country}",
        "target.host": "{target.host}",
        "target.ip": "{target.ip}",
        "target.locality": "{target.locality}",
        "target.organization": "{target.organization}",
        "target.port": "{target.port}",
        "target.scheme": "{target.scheme}",
        "target.state": "{target.state}",
        "target.url": "{target.url}"
        }
         </Message>
      </CloudLogging>
    </MessageLogging>
  3. Collega il criterio al flusso di post dell'endpoint proxy. Consulta Collegare e configurare i criteri nell'interfaccia utente.

Quando il proxy API elabora il traffico, il criterio di logging acquisisce i campi specificati dalle richieste e dalle risposte e li scrive nel file di log per l'analisi e il debug.