Missbrauchserkennung

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Mit der Missbrauchserkennung von Advanced API Security können Sie sich Sicherheitsvorfälle in Verbindung mit Ihren APIs ansehen. Ein Sicherheitsvorfall ist eine Gruppe von Ereignissen mit ähnlichen Mustern, die eine Sicherheitsbedrohung darstellen können. Advanced API Security verwendet Modelle des maschinellen Lernens, um Muster zu erkennen, die ein Zeichen für schädliche Aktivitäten sind, einschließlich API-Scraping und Anomalien, und Ereignisse basierend auf ähnlichen Mustern in Clustern zu gruppieren.

Wenn die erweiterte API-Sicherheit einen Sicherheitsvorfall erkennt, wird Folgendes gemeldet:

  • Die Risikostufe und die Dauer des Vorfalls
  • Die vom Vorfall betroffenen Proxys
  • Die IP-Adressen der Vorfallsereignisse
  • Die Erkennungsregeln, die vom Vorfall ausgelöst wurden
  • Die Länder, aus denen der Vorfall stammt

und andere zugehörige Informationen zum Vorfall.

Sie können die Missbrauchserkennung entweder über die Apigee-Benutzeroberfläche, wie unten auf dieser Seite beschrieben, oder über die Incidents API bzw. die Security Stats API aufrufen.

Informationen zu den Rollen, die zum Ausführen von Missbrauchserkennungsaufgaben erforderlich sind, finden Sie unter Erforderliche Rollen für die Missbrauchserkennung.

ML-Modelle zur Missbrauchserkennung verbessern

Apigee bittet Sie um Ihre Hilfe bei der Verbesserung der ML-Modelle zur Missbrauchserkennung in Ihrer Organisation, indem Sie uns erlauben, die Modelle mit Ihren Daten zu trainieren. Wenn die Modelle mit Ihren Daten trainiert werden, wird die Genauigkeit der Erkennung von Sicherheitsvorfällen verbessert. Das Training gilt nur für Ihre Modelle und wird nicht für andere Google Cloud-Kunden freigegeben.

Wenn Sie die Seite Missbrauchserkennung zum ersten Mal in der Apigee-Benutzeroberfläche öffnen, wird ein Banner angezeigt, das Ihre Berechtigung zum Trainieren der Sicherheitsmodelle Ihrer Organisation auf Ihren Daten anfordert.

Wenn Sie diese Funktion verwenden möchten, müssen Sie das Add-on aktivieren. Als Abo-Kunde können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Seite Missbrauchserkennung öffnen

So öffnen Sie die Seite Missbrauchserkennung:

  • Wenn Sie https://console.cloud.google.com/apigee verwenden: Wählen Sie Erweiterte API-Sicherheit > Missbrauchserkennung aus.
  • Wenn Sie die klassische Apigee-Benutzeroberfläche verwenden: Wählen Sie Analysieren > API-Sicherheit > Missbrauchserkennung aus.

Dadurch wird die Hauptansicht Missbrauchserkennung angezeigt:

Hauptseite der Missbrauchserkennung.

Berechtigungen ändern, damit Apigee Ihre Modelle für maschinelles Lernen verbessern kann

Sie können Ihre Berechtigungen ändern, damit Apigee Ihre Modelle für maschinelles Lernen jederzeit verbessern kann. Klicken Sie dazu oben rechts auf der Missbrauchserkennungsseite auf Einstellungen und wählen Sie die Option zum Aktivieren oder Deaktivieren dieser Funktion.

Hauptseite Missbrauchserkennung

Am oberen Rand der Seite können Sie einen der folgenden Zeiträume auswählen, für die Vorfälle angezeigt werden sollen: letzte 12 Stunden, letzte 1 Tag, letzte 1 Woche oder letzte 2 Wochen.

In der Tabelle auf der Seite werden die Umgebungen in Ihrer Organisation angezeigt, die im ausgewählten Zeitraum von Sicherheitsvorfällen betroffen waren.

In jeder Tabellenzeile wird auch Folgendes angezeigt:

  • Umgebung: Die Umgebung, in der der Missbrauch aufgetreten ist.
  • Gesamtzahl der Vorfälle: Die Gesamtzahl der Vorfälle in der Umgebung während des ausgewählten Zeitraums. Weitere Informationen dazu, welche Vorfälle und Daten in der Benutzeroberfläche angezeigt werden, finden Sie unter Einschränkungen für Vorfälle und angezeigte Daten.

  • Risikostufe: Zeigt die Anzahl der Vorfälle in drei Risikostufen: schwer, mittel und niedrig. Die Risikostufe basiert auf verschiedenen Eigenschaften eines Vorfalls, z. B. der Anzahl der erkannten Regeln, den zugehörigen Typen und der relativen Größe des Vorfalls im Vergleich zu legitimem Traffic. Die Risikostufe soll Ihnen dabei helfen, die zu untersuchenden Vorfälle zu priorisieren, damit Sie sich auf die wichtigsten konzentrieren können.

    Die Risikostufe kann eine der folgenden sein:

    • Schwer: Schwere Vorfälle stellen ein hohes Risiko dar. Wir empfehlen Ihnen, ihre Untersuchung zu priorisieren.
    • Mittel: Mittlere Vorfälle stellen ein gewisses Risiko dar, aber weniger als Vorfälle mit schwerem Risiko. Wir empfehlen Ihnen, diesen Vorrang vor Vorfällen mit niedrigem Risiko zu geben.
    • Niedrige: Vorfälle mit geringem Risiko können zuletzt untersucht werden, nachdem Sie die Vorfälle mit höherem Risiko untersucht haben.

    Die Zahl neben jeder Risikostufe gibt die Anzahl der Vorfälle mit dieser Risikostufe an.

Umgebungsdetails

Wählen Sie in der Tabelle oben die Umgebung aus, um die Vorfälle in einer Umgebung für den ausgewählten Zeitraum aufzurufen. Dadurch wird die Ansicht Umgebungsdetails geöffnet:

Vorfallansicht.

Wenn Sie einen Vorfall oder erkannten Traffic sehen und eine Sicherheitsaktion erstellen möchten, um Anfragen im Zusammenhang mit dem Vorfall oder erkannten Traffic zu blockieren oder zu melden, klicken Sie auf Sicherheitsaktion erstellen oben auf der Seite. Dadurch wird die Seite Sicherheitsaktionen geöffnet.

Die Ansicht Umgebungsdetails hat zwei Tabs:

  • Vorfälle: Zeigt eine Liste der Vorfälle in der Umgebung und Informationen dazu an.
  • Erkannter Traffic: Zeigt Details zum erkannten Missbrauchstraffic im Zusammenhang mit den Vorfällen an.

Vorfälle

Auf dem Tab Vorfälle der Ansicht Umgebungsdetails (siehe oben) werden die folgenden Optionen angezeigt:

  • Umgebung: Ändern Sie die Umgebung, in der Vorfälle angezeigt werden sollen.
  • Proxy: Wählen Sie Alle aus, um Vorfälle für alle Proxys anzuzeigen, oder wählen Sie einen einzelnen Proxy aus, um nur Vorfälle für diesen Proxy anzuzeigen.
  • Archivierte Vorfälle einschließen: Wenn diese Option ausgewählt ist, werden in der Liste der Vorfälle archivierte Vorfälle angezeigt. Archivierte Vorfälle werden mit einem Symbol daneben angezeigt: Archiviert-Symbol.

    Um archivierte Vorfälle aus der Liste auszublenden, heben Sie die Auswahl Archivierte Vorfälle einschließen auf. Sie möchten archivierte Vorfälle möglicherweise ausblenden, wenn viele Vorfälle angezeigt werden und Sie nicht alle sehen möchten, oder wenn Sie Vorfälle ausblenden möchten, die Sie bereits untersucht haben.

In der Vorfallansicht wird auch Folgendes angezeigt:

  • Name des Vorfalls: Ein generierter Name, der den Vorfall zusammenfasst.
  • Risikostufe: Die Risikostufe des Vorfalls.

  • Erkennungsregeln: Eine Liste der Erkennungsregeln, die durch den Vorfall ausgelöst wurden.

  • Vorfall-Traffic: Die Gesamtzahl der Ereignisse: API-Aufrufe, die durch eine der Erkennungsregeln im Zusammenhang mit dem Vorfall getaggt wurden.
  • Erstes Ereignis erkannt: Datum und Uhrzeit der Erkennung des ersten Ereignisses für den Vorfall.
  • Letztes Ereignis erkannt: Datum und Uhrzeit der Erkennung des letzten Ereignisses für den Vorfall.
  • Dauer: Die Dauer des Vorfalls, vom ersten Ereignis bis zum letzten Ereignis.
  • UUID: Die universell eindeutige Kennung des Vorfalls.

Details zu Vorfällen

Klicken Sie in der Tabelle auf den Namen eines Vorfalls, um dessen Details aufzurufen. Dadurch wird der Bereich Übersicht der Ansicht Details zu Vorfällen wie unten dargestellt angezeigt:

Ansicht "Details zu Vorfällen".

Wie in der Ansicht Umgebungsdetails können Sie oben auf der Seite auf Sicherheitsaktion erstellen klicken, um eine Sicherheitsaktion als Reaktion auf den Vorfall zu erstellen.

Die Ansicht Details zu Vorfällen hat zwei Tabs, Übersicht und Attribute. Attribute – auch als Dimensionen bezeichnet – sind Gruppierungen der Daten, mit denen Sie den Vorfall auf unterschiedliche Weise betrachten können. Mit dem Attribut „API-Produkte“ können Sie beispielsweise die Vorfalldaten nach API-Produkt anzeigen.

Die Tabs Übersicht und Attribute werden im Folgenden beschrieben.

Vorfälle archivieren

Damit Sie zwischen den Vorfällen, die Sie bereits untersucht haben, und denen, die Sie nicht untersucht haben, besser unterscheiden können, können Sie die Vorfälle archivieren, die nicht mehr Ihre Aufmerksamkeit erfordern. Wenn ein Vorfall archiviert wird, wird er in der Liste Umgebungsdetails > Vorfälle ausgeblendet (sofern Archivierte Vorfälle einschließen nicht ausgewählt ist). Durch die Archivierung eines Vorfalls wird kein Vorfall gelöscht: Sie können ihn jederzeit wieder aktivieren, wenn Sie Ihre Meinung ändern.

Wählen Sie zum Archivieren eines Vorfalls oben in der Ansicht Details zu Vorfällen die Option Archivieren aus. Danach ändert sich das Label für die Schaltfläche Archiv in Wieder aktivieren. Schaltfläche "Wieder aktivieren"

Vorfälle wieder aktivieren

So aktivieren Sie einen archivierten Vorfall wieder:

  1. Klicken Sie in der Ansicht Umgebungsdetails > Vorfälle auf das Symbol neben dem Vorfall, den Sie wieder aktivieren möchten: Archiviert-Symbol.
  2. Klicken Sie oben in der Liste der Vorfälle auf Wieder aktivieren.

Wenn Sie sich in der Ansicht Details zum Vorfall für den Vorfall befinden, klicken Sie auf Wieder aktivieren.

Die Tabs Übersicht und Attribute

Überblick

Im Bereich Übersicht werden grundlegende Informationen zum Vorfall angezeigt, darunter:

  • Name des Vorfalls: Der Name des Vorfalls.
  • Risikostufe: Die Risikostufe des Vorfalls.
  • Betroffene Proxys: Die Anzahl der vom Vorfall betroffenen Proxys. Klicken Sie auf Proxys anzeigen, um die betroffenen Proxys anzuzeigen.
  • Dauer: Die Dauer des Vorfalls, vom ersten Ereignis bis zum letzten Ereignis.
  • Ereignisse: Zeigt ein Zeitreihendiagramm der Ereignisse im Vorfall an. Für jeden Zeitpunkt im Diagramm ist der entsprechende y-Wert die Gesamtzahl der Ereignisse in einem kurzen Zeitraum um diesen Zeitpunkt herum. Wenn Sie den Mauszeiger über einen Punkt in einem Diagramm bewegen, wird die Anzahl der Ereignisse im aktuellsten Zeitraum unter Wert angezeigt. Sie können die Werte für verschiedene Zeiträume sehen. Bewegen Sie dazu den Cursor nach links oder rechts und beobachten Sie, wo sich die Werte ändern.

    Im Bereich Ereignisse werden auch die folgenden Informationen zu Ereignissen angezeigt:

    • Erstes Ereignis erkannt: Datum und Uhrzeit der Erkennung des ersten Ereignisses für den Vorfall.
    • Letztes Ereignis erkannt: Datum und Uhrzeit der Erkennung des letzten Ereignisses für den Vorfall.
    • Gesamter Vorfall-Traffic: Die Gesamtzahl der Ereignisse im Zusammenhang mit dem Vorfall.

    Klicken Sie auf Alle IP-Adressen anzeigen, um die mit dem Vorfall verbundenen IP-Adressen aufzurufen.

    Hinweis: Dadurch werden eindeutige IP-Adressen angezeigt, auch wenn mehrere Vorfälle derselben IP-Adresse entsprechen.
  • Erkannte Regeln: Zeigt bis zu fünf der wichtigsten Gruppen erkannter Regeln an, einschließlich der folgenden Informationen:
    • Dominante Regeln: Die wichtigsten Erkennungsregeln, die durch den Vorfall ausgelöst wurden.
    • API-Ereignisse für dominante Regeln: Die Anzahl der API-Ereignisse, die durch die dominanten Regeln getaggt wurden.
    • Gesamtzahl der erkannten Regeln: Die Anzahl der vom Vorfall ausgelösten Erkennungsregeln.

    Klicken Sie unten auf der Karte auf Alle Regeln anzeigen, um alle Regeln aufzurufen.

  • Wichtigste erkannte Länder: Eine Karte mit den Ländern, die die Ereignisquellen des Vorfalls waren. Unterhalb der Karte sehen Sie ein Diagramm, in dem bis zu fünf dieser Länder und der Prozentsatz des gesamten Traffics aus diesen Ländern zu sehen sind.

    Hinweis: Wenn das Herkunftsland der Ereignisse nicht ermittelt werden kann, wird auf der Karte nicht festgelegt angezeigt.

    Klicken Sie unten auf der Karte auf Alle Länder anzeigen, um alle Länder zu sehen.

Attribute

In der Ansicht Attribute können Sie die Details eines Vorfalls aufschlüsseln. Attribute – auch als Dimensionen bezeichnet – sind Gruppierungen der Daten, mit denen Sie den Vorfall auf unterschiedliche Weise betrachten können. Mit dem Attribut „API-Produkte“ können Sie beispielsweise die Vorfalldaten nach API-Produkt anzeigen.

Zum Aufrufen der Attribute wählen Sie oben in der Ansicht Details zu Vorfällen die Option Attribute aus.

Bereich "Attributes" mit ausgewählten API-Produkten.

Im linken Bereich werden alle Attribute und die Anzahl der verschiedenen Werte für jedes Attribut angezeigt. Sie können ein Attribut auswählen, um die zugehörigen Vorfalldetails aufzurufen.

Die Abbildung oben zeigt die Ansicht Attribute mit ausgewählter Option API-Produkte. Im Bereich API-Produkte werden Diagramme für den Prozentsatz der API-Aufrufe angezeigt, die für die einzelnen API-Produkte durchgeführt wurden. Weitere Informationen zum Wert (not set) finden Sie unter Was bedeutet es, wenn ein Attribut den Wert (not set) hat?

Im Feld Filter können Sie die im Bereich angezeigten Daten für ein Attribut nach verschiedenen Eigenschaften filtern.

Im Allgemeinen wird im Bereich für ein Attribut eine Tabelle angezeigt, die die Vorfalldaten nach den Werten des Attributs anzeigt. Die Spalten der Tabelle enthalten Folgendes:

  • Gesamtzahl der Aufrufe: Gesamtzahl der API-Aufrufe.
  • % der Aufrufe: Prozentsatz aller Aufrufe für jeden Wert des Attributs.
  • Zeit der letzten Erkennung: Der Zeitpunkt, zu dem zuletzt ein Ereignis im Zusammenhang mit dem Vorfall erkannt wurde.

Für einige Attribute enthält die Tabelle zusätzliche Spalten.

Im linken Bereich können Sie eines der folgenden Attribute auswählen:

  • API-Produkte: Sehen Sie sich Vorfalldetails nach API-Produkt an.
  • App-Schlüssel: Zeigen Sie Details zu Vorfällen nach App-Schlüssel (auch als API-Schlüssel oder Consumer-Schlüssel bezeichnet) an — eine Kennung für den Client.
  • Länder/Regionen: Rufen Sie Details zu Vorfällen nach den Ländern und Regionen auf, aus denen die Ereignisse stammen.
  • Entwickler: Rufen Sie Details zu Vorfällen nach Entwicklernauf. Dies sind die Personen, die Ihre APIs zum Entwickeln von Anwendungen verwenden. Zusätzlich zu den drei oben beschriebenen Spalten enthält Entwickler auch die Spalte Anwendungen, die die Anzahl der Anwendungen für jeden Entwickler angibt.
  • Entwickler-Apps: Sehen Sie sich Details zu Vorfällen nach Anwendung an.

    Zusätzlich zu den drei oben beschriebenen Spalten hat Entwickler-Apps auch die Spalte Entwickler. Dies sind die Personen, die die Anwendungen erstellt haben.

  • IP-Adressen: Sehen Sie sich Details zu Vorfällen nach den IP-Adressen an, die die die Quellen der Ereignisse des Vorfalls sind. Klicken Sie auf Alle IP-Adressen anzeigen, um die IP-Adressen aufzurufen. Hinweis: Im Bereich IP-Adressen werden eindeutige IP-Adressen angezeigt, auch wenn mehrere Vorfälle derselben IP-Adresse entsprechen.

    Unter IP-Adressen werden die folgenden Spalten angezeigt:

    • IP-Adresse: Die IP-Adresse für den Vorfall.
    • Standort: Standort der IP-Adresse.
    • Erkannter Traffic: Die Gesamtzahl der Anfragen von der IP-Adresse.
    • % der Aufrufe: Prozentsatz der Anfragen von der IP-Adresse aus allen Aufrufen in der Umgebung.
    • Erstes Ereignis erkannt: Das erste Mal, dass ein Ereignis in dem Vorfall erkannt wurde.
    • Zeitpunkt der letzten Erkennung: Das letzte Mal, dass ein Ereignis in dem Vorfall erkannt wurde.
  • Proxys: Sehen Sie sich Details zu Vorfällen nach Proxy an.
  • Antwortcodes: Rufen Sie Details zu Vorfällen nach Antwortcode auf.
  • Regeln: Sehen Sie sich Details zu Vorfällen nach Erkennungsregeln.
  • User-Agents: Rufen Sie Details zum Vorfall nach User-Agent auf, dem Software-Agent, der den API-Aufruf durchgeführt hat.

Was bedeutet es, wenn ein Attribut den Wert (not set) hat?

Gelegentlich hat ein Attribut den Wert (not set). Dafür kann es verschiedene Gründe geben. Für Apigee sind möglicherweise nicht genügend Informationen vorhanden, um den Wert des Attributs zu bestimmen (z. B. das Herkunftsland eines API-Aufrufs). Alternativ gilt das Attribut in einem bestimmten Fall möglicherweise nicht. Weitere Informationen finden Sie unter Was bedeutet ein Analytics-Entity-Wert "(nicht festgelegt)"?.

Erkannter Traffic

Die Ansicht Erkannter Traffic zeigt Informationen zu Vorfällen an, deren Letztes erkanntes Ereignis in den letzten 14 Tagen liegt. Weitere Informationen zum Zeitraum der in der Benutzeroberfläche angezeigten Daten finden Sie unter Einschränkungen für Vorfälle und Daten.

Wählen Sie zum Öffnen der Ansicht Erkannter Traffic in der Ansicht Umgebungsdetails die Option Erkannter Traffic aus, wie im Folgenden gezeigt:

Ansicht „Missbrauch“

In der Ansicht Erkannter Traffic werden Daten für Folgendes angezeigt:

  • Traffic insgesamt: Die Gesamtzahl der Anfragen.
  • Erkannter Traffic: Die Anzahl der Anfragen von IP-Adressen, bei denen ein Missbrauch festgestellt wurde.
  • % des erkannten Traffics: Der Prozentsatz des erkannten Traffics am Gesamttraffic.
  • Anzahl erkannter IP-Adressen: Die Anzahl der unterschiedlichen IP-Adressen, die dem erkannten Missbrauch entsprechen. Mehrere Anfragen von derselben IP-Adresse werden nur als einer gezählt.

Die Ansicht Erkannter Traffic zeigt auch eine Tabelle mit den Details jeder IP-Adresse an, die dem erkannten Missbrauch entspricht. Beachten Sie, dass die IP-Adressen aus Datenschutzgründen standardmäßig nicht angezeigt werden. Wählen Sie oben in der Tabelle Alle IP-Adressen anzeigen aus, um sie anzuzeigen.

Jede Zeile der IP-Adresstabelle wird angezeigt:

  • IP-Adresse: IP-Adresse des erkannten Missbrauchs. Klicken Sie auf Ansehen, um die Adresse aufzurufen.
  • Standort: Der Standort der IP-Adresse.
  • Top-App-Schlüssel: Der App-Schlüssel, der am häufigsten in Anfragen von der IP-Adresse verwendet wird. Hinweis: App-Schlüssel ist ein anderer Begriff für API-Schlüssel.
  • Erkennungsregeln: Eine Liste aller Erkennungsregeln, die durch den Missbrauch ausgelöst wurden.
  • Top-URL: Die URL, die die meisten Anfragen von der IP-Adresse erhalten hat.
  • Erkannter Traffic: Die Anzahl der Anfragen von der IP-Adresse.
  • % des erkannten Traffics: Der Prozentsatz der Anfragen von der IP-Adresse aus allen Anfragen in der Umgebung.
  • Erstes Ereignis erkannt: Das erste Mal, dass ein Ereignis in einer Anfrage von der IP-Adresse während des oben auf der Seite Sicherheitspunktzahlen ausgewählten Zeitraums erkannt wurde.
  • Letztes Ereignis erkannt: Das letzte Mal, dass ein Ereignis in einer Anfrage von der IP-Adresse während des oben auf der Seite Sicherheitspunktzahlen ausgewählten Zeitraums erkannt wurde.

Einschränkungen bei der Missbrauchserkennung

Die Missbrauchserkennung unterliegt den folgenden Einschränkungen.

  • Vorfälle, deren letztes erkanntes Ereignis mehr als 14 Tage in der Vergangenheit liegt, werden nicht in der Benutzeroberfläche zur Missbrauchserkennung angezeigt. Weitere Informationen dazu, welche Vorfälle und Daten in der Benutzeroberfläche angezeigt werden, finden Sie unter Einschränkungen für Vorfälle und angezeigte Daten.
  • Wenn Sie die Advanced API zum ersten Mal für eine Organisation aktivieren oder sie wieder aktivieren, dauert es eine gewisse Zeit, bis Ereignisse in Vorfällen geclustert wurden. Danach kommt es zu gelegentlichen Verzögerungen.
  • Es kann einen Moment dauern, bis die Attributseite Details zu Vorfällen für Organisationen mit hohem Traffic geladen wurde.