악용 감지

이 페이지는 ApigeeApigee Hybrid에 적용됩니다.

Apigee Edge 문서를 보세요.

지능화된 API 보안의 악용 감지를 사용하면 API와 관련된 보안 사고를 확인할 수 있습니다. 보안 사고는 보안 위협을 나타낼 수 있는 비슷한 패턴의 이벤트 그룹입니다. 지능화된 API 보안은 머신러닝 모델을 사용하여 API 스크래핑 및 이상치를 포함하여 악의적인 활동의 징후를 나타내는 패턴을 감지하고 비슷한 패턴에 따라 이벤트를 그룹으로 묶습니다.

지능화된 API 보안이 보안 사고를 감지하면 다음이 보고됩니다.

  • 위험 수준 및 사고 기간
  • 사고의 영향을 받는 프록시
  • 사고 이벤트의 IP 주소
  • 사고에 의해 트리거된 감지 규칙
  • 사고가 발생한 국가

사고에 관한 기타 관련 정보

아래 설명된 대로 Apigee UI를 통해 또는 사고 API보안 통계 API를 통해 악용 감지에 액세스할 수 있습니다.

악용 감지 작업을 수행하는 데 필요한 역할은 악용 감지에 필요한 역할을 참조하세요.

악용 감지를 위한 머신러닝 모델 개선 지원

Apigee는 데이터에 대해 모델을 학습시킬 수 있도록 허용하여 조직에서 악용 감지를 위한 머신러닝 모델을 개선하는 데 도움을 요청합니다. 데이터에 대해 모델을 학습시키면 보안 사고 감지의 정확성을 높이는 데 도움이 됩니다. 학습은 모델에만 적용되며 다른 Google Cloud 고객과는 공유되지 않습니다.

Apigee UI에서 악용 감지 페이지를 처음 열면 데이터에 대해 조직의 보안 모델을 학습시킬 수 있는 권한을 요청하는 배너가 표시됩니다.

이 기능을 사용하려면 부가기능을 사용 설정해야 합니다. 구독 고객인 경우 조직에 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 구독 조직에 대한 지능화된 API 보안 관리를 참조하세요. 사용한 만큼만 지불하는 고객은 적격 환경에서 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 지능화된 API 보안 부가기능 관리를 참조하세요.

악용 감지 페이지 열기

악용 감지 페이지를 열려면 다음 안내를 따르세요.

  • Cloud 콘솔에서 Apigee UI를 사용하는 경우: 지능화된 API 보안 > 악용 감지를 선택합니다.
  • 기본 Apigee UI를 사용하는 경우: 분석 > API 보안 > 악용 감지를 선택합니다.

그러면 기본 악용 감지 페이지가 표시됩니다.

악용 감지 기본 페이지

Apigee가 머신러닝 모델을 개선할 수 있도록 허용하는 권한 변경

악용 감지 페이지의 오른쪽 상단에 있는 설정을 클릭하고 이 기능을 사용 설정하거나 사용 중지하는 옵션을 선택하여 언제든지 Apigee가 머신러닝 모델을 개선할 수 있도록 허용하는 권한을 변경할 수 있습니다.

기본 악용 감지 페이지

페이지 상단에서 최근 12시간, 1일, 1주, 2주 중에서 사고를 표시할 최근 기간을 선택할 수 있습니다.

이 페이지의 표에는 선택한 기간 중 보안 사고의 영향을 받는 조직 내 환경이 표시됩니다.

표의 각 행에는 다음 사항도 표시됩니다.

  • 환경: 악용이 발생한 환경입니다.
  • 총 사고: 선택한 기간 중 환경에서 감지된 총 사고 수입니다. UI에 표시되는 사고 및 데이터에 대한 자세한 내용은 표시되는 사고 및 데이터 제한사항을 참조하세요.
  • 위험 수준: 심각, 중간, 낮음의 세 가지 위험 수준으로 사고 수를 표시합니다. 위험 수준은 감지된 규칙 수, 유형, 정상 트래픽과 비교되는 사고 트래픽의 상대적 크기와 같은 사고의 여러 특성을 기반으로 합니다. 위험 수준은 가장 중요한 사고에 집중할 수 있도록 조사할 사고를 선별하는 데 도움을 줍니다.

    위험 수준은 다음 중 하나일 수 있습니다.

    • 심각: 심각한 사고는 높은 위험 수준을 나타냅니다. 이러한 사고는 우선적으로 조사하는 것이 좋습니다.
    • 중간: 중간 사고는 심각한 위험보다 낮은 일정 수준의 위험을 갖고 있으며, 낮은 위험 사고보다 우선적으로 처리하는 것이 좋습니다.
    • 낮음: 낮은 위험 사고는 높은 위험 사고들을 조사한 후에 마지막으로 조사할 수 있습니다.

    각 위험 수준 옆의 숫자는 해당 위험 수준의 사고 수를 나타냅니다.

환경 세부정보

선택한 기간 동안 환경에서 발생한 사고를 보려면 위에 표시된 표에서 환경을 선택합니다. 그러면 환경 세부정보 뷰가 열립니다.

사고 뷰.

사고 또는 감지된 트래픽을 확인하고 해당 사고 또는 감지된 트래픽과 관련된 요청을 차단하거나 플래그 지정하는 보안 작업을 만들려면 페이지 맨 위에 있는 보안 작업 만들기를 클릭합니다. 이렇게 하면 보안 작업 페이지가 열립니다.

환경 세부정보 뷰에는 탭 두 개가 있습니다.

  • 사고: 환경의 사고 목록과 관련 정보를 표시합니다.
  • 감지된 트래픽: 사고와 관련하여 감지된 악용 트래픽에 대한 세부정보를 표시합니다.

이슈

위에 표시된 환경 세부정보 뷰의 사고 탭에는 다음 옵션이 표시됩니다.

  • 환경: 사고를 표시할 환경을 변경합니다.
  • 프록시: 모두 선택을 사용하여 모든 프록시에 대한 이슈를 표시하거나 하나 이상의 개별 프록시를 선택하여 선택한 프록시에 대한 이슈만 표시할 수 있습니다.
  • 보관처리된 사고 포함: 이 옵션을 선택하면 사고 목록에 보관처리된 사고가 표시됩니다. 보관처리된 사고는 옆에 아이콘(보관처리됨 아이콘)과 함께 표시됩니다.

    목록에서 보관처리된 사고를 숨기려면 보관처리된 사고 포함을 선택 해제합니다. 표시되는 사고가 많고 모든 사고를 보고 싶지 않거나 이미 조사한 사고를 숨기려면 보관처리된 사고를 숨기는 것이 좋습니다.

사고 뷰에는 다음이 표시됩니다.

  • 사고 이름: 사고를 요약해서 보여주는 생성된 이름입니다.
  • 위험 수준: 해당 사고의 위험 수준입니다.
  • 상위 감지 규칙: 사고에 의해 트리거된 상위 감지 규칙 목록입니다.

  • 사고 트래픽: 사고와 관련된 감지 규칙 중 하나로 태그 지정된 API 호출 이벤트의 총 개수입니다.
  • 첫 번째 감지된 이벤트: 사고의 첫 번째 이벤트가 감지된 날짜 및 시간입니다.
  • 마지막 감지된 이벤트: 사고의 마지막 이벤트가 감지된 날짜 및 시간입니다.
  • 기간: 처음 이벤트부터 마지막 이벤트까지 사고가 발생한 기간입니다.
  • UUID: 사고의 범용 고유 식별자입니다.

문제 세부정보

사고 세부정보를 보려면 표에서 해당 이름을 클릭합니다. 그러면 다음과 같이 사고 세부정보 뷰의 개요 창이 표시됩니다.

사고 세부정보 뷰

환경 세부정보 뷰에서와 같이 페이지 상단에 있는 보안 작업 만들기를 클릭하여 해당 사고에 대응하는 보안 작업을 만들 수 있습니다.

사고 세부정보 뷰에는 개요속성의 두 가지 탭이 있습니다. 차원이라고도 부르는 속성은 여러 방식으로 사고를 볼 수 있게 해주는 데이터 그룹입니다. 예를 들어 API 제품 속성을 사용하면 API 제품별 사고 데이터를 볼 수 있습니다.

개요속성은 아래에 설명되어 있습니다.

사고 보관처리

이미 조사한 사고와 아직 조사하지 않은 사고를 구분하기 위해 더 이상 주의가 필요하지 않은 사고를 보관처리할 수 있습니다. 사고를 보관처리하면 환경 세부정보 > 사고 목록에서 숨겨집니다(보관처리된 사고 포함이 선택되지 않은 경우). 보관처리를 수행해도 사고가 삭제되지 않습니다. 나중에 생각이 바뀌면 언제든지 보관을 취소할 수 있습니다.

사고를 보관처리하려면 사고 세부정보 뷰 상단에서 보관처리를 선택합니다. 이렇게 하면 보관처리 버튼 라벨이 보관 취소로 변경됩니다. 보관 취소 버튼

사고 보관처리 취소

보관처리된 사고의 보관을 취소하려면 다음 안내를 따르세요.

  1. 환경 세부정보 > 사고 뷰에서 보관을 취소하려는 사고 옆에 있는 아이콘을 클릭합니다. 보관처리됨 아이콘
  2. 사고 목록 상단에서 보관 취소를 클릭합니다.

또는 해당 사고의 사고 세부정보 뷰에 있는 보관 취소를 클릭합니다.

개요속성

개요

개요 창에는 다음을 비롯하여 사고에 대한 기본 정보가 표시됩니다.

  • 사고 이름: 사고의 이름입니다.
  • 위험 수준: 해당 사고의 위험 수준입니다.
  • 영향을 받는 프록시: 사고의 영향을 받는 프록시 수입니다. 영향을 받는 프록시를 보려면 프록시 보기를 클릭합니다.
  • 기간: 처음 이벤트부터 마지막 이벤트까지 사고가 발생한 기간입니다. 이벤트가 처음 감지된 날짜 및 시간도 표시됩니다.
  • 통계: 악용 감지 이슈 세부정보에는 Google Cloud 생성형 AI 대규모 언어 모델(LLM)을 사용하여 생성된 생성형 AI 통계가 포함될 수 있습니다. LLM은 사고별로 감지된 트래픽을 요약하여 보안 사고를 더 잘 이해할 수 있도록 도움을 주고, 사고에 대한 추가 컨텍스트와 정보를 제공하고, 지원 문서 링크를 제공하고, 다음 단계를 제안합니다. 좋아요 또는 싫어요 아이콘을 클릭하고 선택적인 설명을 제공하여 의견을 알려주세요.

    인사이트 요약 및 권장 사항은 사건이 시작된 지 14일이 넘은 경우에도 지난 14일간의 데이터를 기반으로 합니다.
    이러한 생성형 AI 인사이트는 프로젝트와 사용자 계정이 Cloud AI Companion API를 사용하도록 설정된 경우 악용 감지에 자동으로 포함됩니다. Google Cloud 프로젝트에서 Cloud AI Companion API 사용 설정Google Cloud 프로젝트에서 IAM 역할 부여를 참조하세요.

    생성형 AI 인사이트를 사용 중지하려면 서비스 사용 중지의 지침에 따라 이 프로젝트에 대해 Cloud AI Companion API를 사용 중지합니다.
  • 이벤트: 사고에서 이벤트의 시계열 그래프를 표시합니다. 그래프의 각 시점에서 y 값은 해당 시간 주위의 짧은 기간 동안 발생한 총 이벤트 수입니다. 그래프의 한 지점 위로 커서를 가져가면 최근 기간 동안의 이벤트 수가 아래에 표시됩니다. 커서를 왼쪽 또는 오른쪽으로 이동하여 값이 변경되는 지점을 관찰하여 기간 변경에 따른 값을 확인할 수 있습니다.

    이벤트 창에는 총 환경 및 이슈 트래픽 수도 표시됩니다.

    사고와 관련된 IP 주소를 보려면 모든 IP 주소 보기를 클릭합니다.

    참고: 사고 2개 이상이 같은 IP 주소에 해당하는 경우에도 고유한 IP 주소가 표시됩니다.
  • 감지된 최상위 규칙: 다음 정보를 포함하여 최대 5개의 감지된 최상위 규칙 그룹을 표시합니다.
    • 주요 규칙: 사고에 의해 트리거된 가장 많은 감지 규칙입니다.
    • 주요 규칙 API 이벤트: 주요 규칙으로 태그 지정된 API 이벤트 수입니다.
    • 총 감지된 규칙: 사고로 트리거된 감지 규칙 수입니다.

    모든 규칙을 보려면 카드 하단에서 모든 규칙 보기를 클릭합니다.

  • 최상위 감지된 국가: 사고에서 이벤트의 출처가 되는 국가를 보여주는 지도입니다. 지도 아래에는 최대 5개까지 이러한 국가를 보여주고 이러한 국가에서 시작되는 총 트래픽 비율을 보여주는 차트가 있습니다.

    참고: 이벤트 시작 국가를 확인할 수 없으면 지도에 설정되지 않음이 표시됩니다.

    모든 국가를 보려면 카드 하단에서 모든 국가 보기를 클릭합니다.

속성

속성 뷰를 사용하면 사고 세부정보를 드릴다운할 수 있습니다. 차원이라고도 부르는 속성은 여러 방식으로 사고를 볼 수 있게 해주는 데이터 그룹입니다. 예를 들어 API 제품 속성을 사용하면 API 제품별 사고 데이터를 볼 수 있습니다.

속성을 보려면 사고 세부정보 보기 상단에서 속성을 선택합니다.

API 제품이 선택된 속성 창

왼쪽 창에는 모든 속성 및 각 속성의 고유 값 수가 표시됩니다. 속성을 선택하여 사고 세부정보를 볼 수 있습니다.

위 그림은 API 제품이 선택된 속성 뷰를 보여줍니다. API 제품 창은 각 API 제품에 대해 수행된 API 호출 백분율 그래프를 보여줍니다. (not set) 값에 대한 자세한 내용은 속성 값이 (not set)인 경우의 의미를 참조하세요.

필터 필드를 사용하면 속성 창에 표시되는 데이터를 여러 속성에 따라 필터링할 수 있습니다.

일반적으로 속성 창에는 속성 값에 따라 사고 데이터를 보여주는 표가 표시됩니다. 표의 열에는 다음이 포함됩니다.

  • 총 호출 수: 총 API 호출 수입니다.
  • 호출 %: 속성의 각 값에 대한 모든 호출의 백분율입니다.
  • 마지막 감지 시간: 사고와 관련된 이벤트가 감지된 마지막 시간입니다.

일부 속성의 경우 표에 추가 열이 포함됩니다.

왼쪽 창의 다음 속성 중에서 선택할 수 있습니다.

  • API 제품: API 제품별로 사고 세부정보를 봅니다.
  • 앱 키: 앱 키(API 키 또는 고객 키라고도 하는 클라이언트의 식별자)별로 사고 세부정보를 확인합니다.
  • 국가/리전: 사고 이벤트가 시작된 국가 및 리전에 따라 사고 세부정보를 표시합니다.
  • 개발자: API를 사용하여 애플리케이션을 개발하는 개발자별로 사고 세부정보를 표시합니다. 위에서 설명한 세 가지 열 외에도 개발자에는 각 개발자에 대한 애플리케이션 수를 제공하는 으로 라벨이 표시된 열이 있습니다.
  • 개발자 앱: 애플리케이션에 따라 사고 세부정보를 표시합니다.

    위에서 설명한 세 가지 열 외에도 개발자 앱에는 또한 앱을 만든 사람인 개발자 열이 있습니다.

  • IP 주소: 사고의 이벤트 소스인 IP 주소에 따라 사고 세부정보를 표시합니다. 모든 IP 주소 보기를 클릭하여 IP 주소를 봅니다. 참고: 사고 2개 이상이 같은 IP 주소에 해당하는 경우에도 IP 주소 창에 고유한 IP 주소가 표시됩니다.

    IP 주소에는 다음 열이 표시됩니다.

    • IP 주소: 사고의 IP 주소입니다.
    • 위치: IP 주소의 위치입니다.
    • 감지된 트래픽: IP 주소의 총 요청 수입니다.
    • 호출 %: 환경의 모든 호출 중 IP 주소의 요청 비율입니다.
    • 첫 번째 이벤트 감지: 사고에서 이벤트가 처음 감지된 시간입니다.
    • 마지막 이벤트 감지: 사고에서 이벤트가 마지막으로 감지된 시간입니다.
  • 프록시: 프록시에 따라 사고 세부정보를 표시합니다.
  • 응답 코드: 응답 코드에 따라 사고 세부정보를 표시합니다.
  • 규칙: 감지 규칙에 따라 사고 세부정보를 표시합니다.
  • 사용자 에이전트: API 호출을 수행한 소프트웨어 에이전트인 사용자 에이전트에 따라 사고 세부정보를 표시합니다.

속성 값이 (not set)이면 무엇을 의미하나요?

속성 값이 (not set)인 경우가 있습니다. 이 값이 표시되는 원인으로는 여러 가지가 있습니다. 예를 들어 Apigee에 API 호출의 출발 국가와 같이 속성 값을 결정하는 데 필요한 정보가 충분하지 않을 수 있습니다. 또는 속성이 특정 사례에 적용되지 않을 수 있습니다. 자세한 내용은 '(not set)'이라는 분석 항목은 무엇을 의미하나요?를 참조하세요.

감지된 트래픽

감지된 트래픽 뷰에는 지난 14일 이내에 마지막 이벤트가 감지된 사고에 대한 정보가 표시됩니다. UI에 표시되는 데이터의 시간 범위에 대한 자세한 내용은 표시되는 사고 및 데이터 제한사항을 참조하세요.

감지된 트래픽 뷰를 열려면 아래와 같이 환경 세부정보 뷰에서 감지된 트래픽을 선택합니다.

악용 뷰.

감지된 트래픽 뷰에는 다음 데이터가 표시됩니다.

  • 총 트래픽 수: 총 요청 수입니다.
  • 감지된 트래픽: 악용이 감지된 IP 주소의 요청 수입니다.
  • 감지된 트래픽 %: 총 트래픽 중 감지된 트래픽의 비율입니다.
  • 감지된 IP 주소 수: 감지된 악용에 해당하는 고유 IP 주소 수입니다. 같은 IP 주소의 요청 여러 개는 1회로 계산됩니다.

감지된 트래픽 뷰에는 감지된 악용에 해당하는 각 IP 주소의 세부정보가 나열된 테이블도 표시됩니다. IP 주소는 기본적으로 개인 정보 보호를 위해 표시되지 않습니다. 이를 확인하려면 표 상단에 있는 모든 IP 주소 표시를 선택합니다.

IP 주소 표의 각 행에는 다음이 표시됩니다.

  • IP 주소: 악용이 감지된 IP 주소입니다. 보기를 클릭하여 주소를 확인합니다.
  • 위치: IP 주소의 위치입니다.
  • 상위 앱 키: IP 주소의 요청에서 가장 많이 사용된 앱 키입니다. 참고: 앱 키는 API 키의 또 다른 용어입니다.
  • 감지 규칙: 악용에 의해 트리거된 모든 감지 규칙 목록입니다.
  • 상위 URL: IP 주소에서 가장 많은 요청을 받은 URL입니다.
  • 감지된 트래픽: IP 주소의 요청 수입니다.
  • 감지된 트래픽 %: 환경의 모든 요청 중 IP 주소의 요청 비율입니다.
  • 첫 번째 이벤트 감지: 보안 점수 페이지 상단에서 선택한 기간 동안 IP 주소의 요청에서 이벤트가 처음으로 감지된 시간입니다.
  • 마지막 이벤트 감지: 보안 점수 페이지 상단에서 선택한 기간 동안 IP 주소의 요청에서 이벤트가 마지막으로 감지된 시간입니다.

악용 감지 제한사항

악용 감지에는 다음과 같은 제한사항이 있습니다.

  • 마지막 이벤트 감지 후 14일이 지난 사고는 악용 감지 UI에 표시되지 않습니다. UI에 표시되는 사고 및 데이터에 대한 자세한 내용은 표시되는 사고 및 데이터 제한사항을 참조하세요.
  • 처음 조직의 지능화된 API를 사용 설정하거나 다시 사용 설정할 때는 이벤트가 사고로 그룹화되는 동안 지연이 발생합니다. 이후에는 주기적으로 지연이 발생합니다.
  • 트래픽 양이 많은 조직의 경우에는 사고 세부정보 속성 페이지를 로드하는 데 약간의 시간이 걸릴 수 있습니다.