Detecção de abuso

Esta página se aplica à Apigee e à Apigee híbrida.

Confira a documentação da Apigee Edge.

A detecção de abuso da segurança avançada da API permite que você veja incidentes de segurança que envolvem suas APIs. Um incidente de segurança é um grupo de eventos com padrões semelhantes que pode representar uma ameaça à segurança. O Advanced API Security usa modelos de machine learning para detectar padrões que representam um sinal de atividade maliciosa, como anomalias e raspagem de dados de API, além de eventos de cluster reunidos com base em padrões semelhantes.

Quando o Advanced API Security detecta um incidente de segurança, ele informa os seguintes pontos:

O nível de risco e a duração do incidente
Os proxies afetados pelo incidente
Os endereços IP dos eventos do incidente
As regras de detecção acionadas pelo incidente
Os países de origem do incidente

Além de outras informações relacionadas ao incidente.

É possível acessar a detecção de abuso pela interface da Apigee, conforme descrito a seguir, ou pela API Incidents ou pela API Security Stats

Consulte Papéis necessários para detecção de abuso para ver os papéis necessários para executar tarefas de detecção de abuso.

Ajudar a melhorar os modelos de machine learning para detectar abusos

A Apigee solicita sua ajuda para melhorar os modelos de machine learning para detecção de abuso na sua organização. Assim, podemos treinar os modelos nos seus dados. Treinar os modelos com base nos seus dados ajuda a melhorar a acurácia deles para detectar incidentes de segurança. O treinamento é aplicável apenas aos seus modelos e não será compartilhado com outros clientes do Google Cloud.

Ao abrir a página Detecção de abuso na interface da Apigee pela primeira vez, você verá um banner que solicita sua permissão para treinar os modelos de segurança da sua organização com os dados.

Para usar esse recurso, é necessário ativar o complemento. Se você é um cliente de assinatura, ative o complemento para sua organização. Consulte Gerenciar organizações da Segurança avançada da API por assinatura se quiser mais detalhes. Se você é um cliente de pagamento por uso, ative o complemento nos seus ambientes qualificados. Para mais informações, consulte Gerenciar o complemento Segurança avançada da API.

Abrir a página Detecção de abuso

Para abrir a página Detecção de abuso:

Se você estiver usando a interface da Apigee no Console do Cloud: selecione segurança da Advanced API > Detecção de abuso.
Se você estiver usando a interface clássica da Apigee: selecione Analisar > Segurança de API > Detecção de abuso.

Isso exibe a página principal Detecção de abuso:

Alterar permissões para permitir que a Apigee melhore seus modelos de machine learning

É possível alterar suas permissões para permitir que a Apigee melhore seus modelos de machine learning a qualquer momento clicando em Configurações no canto superior direito da página Detecção de abuso e selecionando a opção para ativar ou desativar esse recurso.

Página principal Detecção de abuso

Na parte superior da página, é possível selecionar um dos seguintes períodos recentes para ver os incidentes: as últimas 12 horas, 1 dia, 1 semana ou 2 semanas.

A tabela na página mostra os ambientes na organização que foram afetados por incidentes de segurança durante o intervalo de tempo selecionado.

Cada linha da tabela também exibe o seguinte:

Ambiente: o ambiente em que ocorreu o abuso.
Total de incidentes: o número total de incidentes no ambiente durante o intervalo de tempo selecionado. Consulte Limitações de incidentes e dados exibidos para mais informações sobre quais incidentes e dados são exibidos na IU.
Nível de risco: mostra o número de incidentes em três níveis de risco: grave, moderado e baixo. O nível de risco é baseado em diferentes características de um incidente, como o número de regras detectadas, os tipos dele e o tamanho relativo do incidente em comparação com o tráfego legítimo. O objetivo do nível de risco é ajudar você a priorizar quais incidentes investigar para que você possa se concentrar nos mais críticos.

O nível do risco pode ser um dos seguintes:
- Grave: os incidentes graves apresentam alto risco. Recomendamos que você priorize a investigação.
- Moderado: os incidentes moderados apresentam algum risco, mas menos do que aqueles com risco grave. Recomendamos que você os priorize em vez dos incidentes de baixo risco.
- Baixo: os incidentes de baixo risco poderão ser investigados por último, após a investigação dos incidentes de maior risco.
O número ao lado de cada nível de risco indica a quantidade de incidentes com tal nível de risco.

Detalhes do ambiente

Para ver os incidentes em um ambiente específico, selecione-o na tabela acima. Isso abre a visualização Detalhes do ambiente:

Se você encontrar um incidente ou um tráfego detectado e quiser criar uma ação de segurança para bloquear ou sinalizar solicitações relacionadas ao incidente ou ao tráfego detectado, clique em Crie uma ação de segurança na parte de cima da página. A página Ações de segurança será aberta.

A visualização Detalhes do ambiente tem duas guias:

Incidentes: mostra uma lista de incidentes no ambiente e informações sobre eles.
Tráfego detectado: mostra detalhes do tráfego de abuso detectado relacionado aos incidentes.

Incidentes

A guia Incidentes da visualização Detalhes do ambiente, mostrada acima, exibe as seguintes opções:

Ambiente: altere o ambiente onde os incidentes serão visualizados.
Proxy: é possível selecionar Todos para exibir incidentes de todos os proxies ou um proxy individual para exibir apenas os incidentes desse proxy.
Incluir incidentes arquivados: quando essa opção é selecionada, a lista de incidentes exibe incidentes arquivados. Os incidentes arquivados são exibidos com um ícone ao lado:
Para ocultar os incidentes arquivados da lista, desmarque Incluir incidentes arquivados. Você pode ocultar os incidentes arquivados se houver muitos deles exibidos e você não quiser ver todos eles ou se quiser ocultar os incidentes já investigados.

A visualização de Incidentes também exibe o seguinte:

Nome do incidente: um nome gerado que resume o incidente.
Nível de risco: o nível de risco do incidente.
Regras de detecção: uma lista de regras de detecção que foram acionadas pelo incidente.
Observação: um incidente pode ser acionado por várias regras de detecção. Nesse caso, todas as regras de detecção que o acionaram são listadas.
Tráfego de incidentes: o número total de eventos: chamadas de API que foram marcadas por uma das regras de detecção relacionadas ao incidente.
Primeiro evento detectado: a data e a hora em que o primeiro evento no incidente foi detectado.
Último evento detectado: a data e a hora em que o último evento no incidente foi detectado.
Duração: o período do incidente, desde o primeiro evento até o último.
UUID: o identificador exclusivo universal do incidente.

Detalhes do incidente

Para conferir os detalhes de um incidente, clique no nome dele na tabela. Para exibir o painel Visão geral da visualização Detalhes do incidente, conforme mostrado abaixo:

Como na visualização Detalhes do ambiente, clique em Criar ação de segurança na parte de cima da página para criar uma ação de segurança em resposta ao incidente.

A visualização de Detalhes do incidente tem duas guias: Aspectos gerais e Atributos. Os Atributos, também conhecidos como dimensões, são agrupamentos de dados que permitem conferir o incidente de maneiras diferentes. Por exemplo, o atributo de produtos da API permite conferir os dados do incidente por produto da API.

As guias Informações gerais e Atributos estão descritas abaixo.

Arquivar incidentes

Para ajudar a distinguir entre os incidentes que você já investigou e os que não precisa, arquive aqueles que não precisam mais da sua atenção. O arquivamento oculta um incidente da lista Detalhes do ambiente > Incidentes, desde que a opção Incluir incidentes arquivados não esteja selecionada. O arquivamento não exclui um incidente: é possível desarquivá-lo a qualquer momento se você mudar de ideia.

Para arquivar um incidente, selecione Arquivar na parte superior da visualização Detalhes do incidente. Depois disso, o rótulo do botão Arquivar vai mudar para Desarquivar. Botão "Desarquivar".

Desarquivar incidentes

Para desarquivar um incidente arquivado:

Na visualização Detalhes do ambiente > Incidentes, clique no ícone ao lado do incidente que você quer desarquivar:
Na parte de cima da lista de incidentes, clique em Desarquivar.

Como alternativa, se você estiver na visualização Detalhes do incidente, clique em Desarquivar.

Guias Informações gerais e Atributos

Informações gerais

O painel Visão geral exibe informações básicas sobre o incidente, incluindo as seguintes:

Nome do incidente: o nome do incidente.
Nível de risco: o nível de risco do incidente.
Proxy impactado: o número de proxies afetados pelo incidente. Clique em Visualizar proxies para conferir os proxies afetados.
Duração: o período do incidente, desde o primeiro evento até o último.
Eventos: mostra um gráfico de série temporal dos eventos no incidente. Para cada ponto no gráfico, o valor y correspondente é o número total de eventos em um curto período em torno desse tempo. Se você passar o cursor sobre um ponto no gráfico, o número de eventos no período mais recente será exibido abaixo de Valor. Para conferir os valores em que os períodos são alterados, mova o cursor para a esquerda ou direita e observe onde eles são alterados.

O painel Events também exibe as seguintes informações sobre eventos:
- Primeiro evento detectado: a data e a hora em que o primeiro evento no incidente foi detectado.
- Último evento detectado: a data e a hora em que o último evento no incidente foi detectado.
- Tráfego total do incidente: o número total de eventos relacionados ao incidente.
Para conferir os endereços IP relacionados ao incidente, clique em Ver todos os endereços IP.
Observação: essa opção exibe endereços IP exclusivos, mesmo que mais de um incidente corresponda ao mesmo endereço IP.
Principais regras detectadas: exibe até cinco dos principais grupos de regras detectados, incluindo as seguintes informações:
- Regras dominantes: são as regras de detecção mais importantes que foram acionadas pelo incidente.
- Eventos da API de regras dominantes: o número de eventos da API marcados pelas regras dominantes.
- Total de regras detectadas: o número de regras de detecção acionadas pelo incidente.
Para conferir todas as regras, clique em Visualizar todas as regras na parte inferior do card.
Principais países detectados: um mapa mostrando os países que foram fontes de eventos no incidente. Abaixo do mapa, há um gráfico que mostra até cinco desses países e a porcentagem do tráfego total proveniente desses países.

Observação: se não for possível determinar o país de origem dos eventos, o mapa exibirá não definido.

Para ver todos os países, clique em Ver todos os países na parte inferior do card.

Atributos

A visualização Atributos permite detalhar os detalhes de um incidente. Atributos, também conhecidos como dimensões, são agrupamentos dos dados que permitem ver o incidente de maneiras diferentes. Por exemplo, o atributo de produtos da API permite conferir os dados do incidente por produto da API.

Para visualizar os Atributos, selecione Atributos na parte superior da visualização Detalhes do incidente.

Painel de atributos com produtos da API selecionados.

O painel esquerdo mostra todos os atributos e o número de valores distintos para cada um. É possível selecionar um atributo para conferir os detalhes do incidente.

A imagem acima mostra a visualização Attributes com a opção API Products selecionada. O painel Produtos da API exibe gráficos da porcentagem de chamadas de API feitas para cada produto da API. Consulte O que significa quando um atributo tem o valor (not set) para informações sobre o valor (not set).

O campo Filtro permite filtrar os dados exibidos no painel para um atributo por várias propriedades.

Em geral, o painel de um atributo exibe uma tabela que mostra dados de incidentes pelos valores do atributo. As colunas da tabela incluem:

Total de chamadas feitas: número total de chamadas de API.
Porcentagem de chamadas: porcentagem de todas as chamadas de cada valor do atributo.
Horário da última detecção: a última vez que um evento relacionado ao incidente foi detectado.

Para alguns atributos, a tabela tem colunas adicionais.

Você pode selecionar os seguintes atributos no painel à esquerda:

Produtos de API: confira os detalhes do incidente por produto de API.
Chaves de app: veja detalhes do incidente por chave de app, também conhecida como chave de API ou chave de consumidor, um identificador para o cliente.
Países/regiões: confira os detalhes do incidente por países e regiões em que os eventos foram causados.
Desenvolvedores: confira os detalhes do incidente por desenvolvedores , as pessoas que usam suas APIs para desenvolver aplicativos. Além das três colunas descritas acima, Desenvolvedores também tem a coluna Apps, que fornece o número de aplicativos para cada desenvolvedor.

Apps do desenvolvedor: confira os detalhes do incidente por app.
Além das três colunas descritas acima, Apps de desenvolvedor também tem a coluna Desenvolvedores, que são as pessoas que criaram os apps.
Endereços IP: confira detalhes do incidente por endereços IP que são fontes de eventos no incidente. Clique em View All IP Addresses para ver os endereços IP. Observação: o painel Endereços IP exibe endereços IP exclusivos, mesmo que mais de um incidente corresponda ao mesmo endereço IP.
Observação: para fazer o download de um arquivo CSV com os endereços IP do tráfego detectado, clique em Fazer o download do arquivo CSV.

Endereços IP exibe as seguintes colunas:
- Endereço IP: o endereço IP do incidente.
- Local: local do endereço IP.
- Tráfego detectado: o número de solicitações do endereço IP.
- Porcentagem de chamadas: porcentagem de solicitações do endereço IP de todas as chamadas do ambiente.
- Primeiro evento detectado: a primeira vez que um evento foi detectado no incidente.
- Último evento detectado: a última vez que um evento foi detectado no incidente.
Proxy: confira detalhes do incidente por proxy.
Códigos de resposta: confira os detalhes do incidente por código de resposta.
Regras: confira detalhes do incidente por regras de detecção.
User agents: confira detalhes do incidente por user agent, o agente de software que fez a chamada de API.

O que significa quando um atributo tem o valor `(not set)`?

Às vezes, um atributo tem o valor (not set). Há muitos motivos para isso acontecer. Por um lado, a Apigee pode não ter informações suficientes para determinar o valor do atributo, por exemplo, o país de origem de uma chamada de API. Ou o atributo pode não se aplicar em um caso específico. Consulte O que significa o valor de entidade de análise "(not set)"? para obter mais informações.

Tráfego detectado

A visualização Tráfego detectado mostra informações sobre incidentes cujo Último evento detectado ocorreu nos últimos 14 dias. Consulte Limitações de incidentes e dados exibidos para mais informações sobre o período dos dados mostrados na IU.

Para abrir a visualização Tráfego detectado, selecione Tráfego detectado na visualização Detalhes do ambiente, conforme mostrado abaixo:

Visualização de abuso.

A visualização Tráfego detectado exibe dados de:

Tráfego total: o número total de solicitações.
Tráfego detectado: o número de solicitações de endereços IP de abuso detectado.
Porcentagem de tráfego detectado: a porcentagem que o tráfego identificado representa do tráfego total.
Contagem de endereços IP detectada: o número de endereços IP distintos correspondentes ao abuso detectado. Várias solicitações do mesmo endereço IP são contadas apenas uma vez.

A visualização de Tráfego detectado também exibe uma tabela que lista os detalhes de cada endereço IP correspondente ao abuso detectado. Por padrão, o endereço IP não é exibido por motivos de privacidade. Para visualizá-los, selecione Exibir todos os endereços IP na parte superior da tabela.

Cada linha da tabela de endereços IP exibe:

Endereço IP: é o endereço IP do abuso detectado. Clique em Ver para ver o endereço.
Local: o local do endereço IP.
Chave de app principal: a chave de app usada com mais frequência em solicitações do endereço IP. Observação: chave de app é outro termo para chave de API.
Regras de detecção: uma lista de todas as regras de detecção acionadas pelo abuso.
URL superior: o URL que recebeu mais solicitações do endereço IP.
Tráfego detectado: o número de solicitações do endereço IP.
Porcentagem de tráfego detectado: a porcentagem de solicitações do endereço IP de todas as solicitações do ambiente.
Primeiro evento detectado: a primeira vez que um evento foi detectado em uma solicitação do endereço IP durante o período selecionado na parte superior da página Pontuações de segurança.
Último evento detectado: a última vez que um evento foi detectado em uma solicitação do endereço IP durante o período selecionado na parte superior da página Pontuações de segurança.

Limitações na detecção de abuso

A detecção de abuso tem as seguintes limitações.

Os incidentes com último evento detectado há mais de 14 dias não são exibidos na interface de detecção de abuso. Consulte Limitações de incidentes e dados exibidos para mais informações sobre quais incidentes e dados são exibidos na IU.
Quando você ativar a API avançada para uma organização ou reativá-la pela primeira vez, haverá um atraso enquanto os eventos são agrupados em incidentes. Depois disso, haverá atrasos periódicos.
A página de atributo Detalhes do incidente pode levar algum tempo para ser carregada para organizações com uma grande quantidade de tráfego.