Deteksi penyalahgunaan

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Deteksi penyalahgunaan Advanced API Security memungkinkan Anda melihat keamanan yang melibatkan API Anda. Insiden keamanan adalah serangkaian peristiwa dengan yang dapat mewakili ancaman keamanan. Penggunaan Advanced API Security model machine learning untuk mendeteksi pola yang merupakan tanda aktivitas berbahaya, termasuk API penyalinan dan anomali, dan mengelompokkan peristiwa berdasarkan pola yang serupa.

Saat Advanced API Security mendeteksi insiden keamanan, Advanced API Security akan melaporkan hal berikut:

  • Tingkat risiko dan durasi insiden
  • Proxy yang terpengaruh oleh insiden
  • Alamat IP peristiwa insiden
  • Aturan deteksi yang dipicu oleh insiden tersebut
  • Negara asal insiden

dan informasi terkait lainnya tentang insiden itu.

Anda dapat mengakses deteksi penyalahgunaan melalui UI Apigee, seperti yang dijelaskan di bawah ini, atau melalui Incidents API atau Security Stats API

Lihat Peran yang diperlukan untuk mendeteksi penyalahgunaan bagi peran yang diperlukan untuk melakukan tugas deteksi penyalahgunaan.

Membantu meningkatkan kualitas model machine learning Anda untuk mendeteksi penyalahgunaan

Apigee meminta bantuan Anda dalam meningkatkan kualitas model machine learning untuk penyalahgunaan di organisasi Anda, dengan mengizinkan kami melatih model pada data Anda. Melatih model pada data Anda membantu meningkatkan akurasinya dalam mendeteksi insiden keamanan. Pelatihan ini hanya akan berlaku untuk model Anda, dan tidak akan dibagikan kepada pelanggan Google Cloud lainnya.

Saat pertama kali membuka halaman Deteksi penyalahgunaan di UI Apigee, Anda akan melihat banner yang meminta izin Anda untuk melatih model keamanan organisasi pada data Anda.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Kelola Keamanan API Lanjutan untuk organisasi Langganan guna mengetahui detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk informasi selengkapnya, lihat Kelola add-on Advanced API Security.

Buka halaman Deteksi penyalahgunaan

Untuk membuka halaman Deteksi penyalahgunaan:

  • Jika Anda menggunakan UI Apigee di Konsol Cloud: Pilih Keamanan API tingkat lanjut > Deteksi penyalahgunaan.
  • Jika Anda menggunakan UI Apigee klasik: Pilih Analyze > Keamanan API > Deteksi penyalahgunaan.

Tindakan ini akan menampilkan halaman Deteksi penyalahgunaan utama:

Halaman utama deteksi penyalahgunaan.

Mengubah izin untuk mengizinkan Apigee meningkatkan kualitas model machine learning Anda

Anda dapat mengubah izin agar Apigee dapat meningkatkan kualitas model machine learning Anda kapan saja, dengan mengklik Setelan di kanan atas halaman Deteksi penyalahgunaan dan memilih opsi untuk mengaktifkan atau menonaktifkan fitur ini.

Halaman Deteksi penyalahgunaan utama

Di bagian atas halaman, Anda dapat memilih salah satu jangka waktu terbaru berikut untuk melihat insiden: 12 jam, 1 hari, 1 minggu terakhir, atau 2 minggu.

Tabel di halaman menampilkan lingkungan dalam organisasi Anda yang terpengaruh oleh insiden keamanan selama interval waktu yang dipilih.

Setiap baris tabel juga menampilkan hal berikut:

  • Lingkungan: Lingkungan tempat penyalahgunaan terjadi.
  • Total insiden: Jumlah total insiden di lingkungan selama interval waktu yang dipilih. Lihat Batasan insiden dan data yang ditampilkan untuk mendapatkan informasi lebih lanjut tentang insiden dan data yang yang ditampilkan di UI.

  • Tingkat risiko: Menampilkan jumlah insiden pada tiga tingkat risiko: parah, sedang, dan rendah. Tingkat risiko didasarkan pada karakteristik yang berbeda dari suatu insiden, seperti jumlah aturan yang terdeteksi, jenisnya, dan ukuran relatif insiden dibandingkan dengan traffic yang sah. Tingkat risiko dimaksudkan untuk membantu Anda memprioritaskan insiden mana yang Anda dapat menyelidikinya, sehingga Anda dapat fokus pada yang paling penting.

    Tingkat risiko dapat berupa salah satu dari hal berikut:

    • Berat: Insiden parah memiliki risiko tinggi. Sebaiknya prioritaskan menyelidikinya.
    • Sedang: Insiden sedang menimbulkan beberapa risiko, tetapi lebih kecil daripada insiden tersebut dengan risiko parah, dan sebaiknya Anda memprioritaskannya daripada insiden berisiko rendah.
    • Rendah: Insiden berisiko rendah dapat diselidiki terakhir, setelah Anda melakukan penyelidikan insiden yang berisiko lebih tinggi.

    Angka di samping setiap tingkat risiko menunjukkan jumlah insiden pada tingkat risiko tersebut.

Detail lingkungan

Untuk melihat insiden di lingkungan untuk rentang waktu yang dipilih, pilih lingkungan pada tabel yang ditampilkan di atas. Tindakan ini akan membuka tampilan Detail lingkungan:

Tampilan insiden.

Jika Anda melihat insiden atau lalu lintas yang terdeteksi, dan ingin membuat tindakan keamanan untuk memblokir atau menandai permintaan terkait insiden atau yang terdeteksi traffic, klik Buat Tindakan Keamanan di bagian atas halaman. Tindakan ini akan membuka Halaman Tindakan keamanan.

Tampilan Environment details memiliki dua tab:

  • Insiden: Menampilkan daftar insiden di lingkungan dan informasi tentang mereka.
  • Traffic yang terdeteksi: Menampilkan detail penyalahgunaan yang terdeteksi lalu lintas yang terkait dengan insiden.

Insiden

Tab Insiden di tampilan Environment details, yang ditunjukkan di atas, menampilkan opsi berikut:

  • Lingkungan: Mengubah lingkungan tempat melihat insiden.
  • Proxy: Anda dapat menggunakan Pilih semua untuk menampilkan insiden untuk semua proxy, atau memilih satu atau beberapa proxy untuk menampilkan insiden hanya untuk proxy yang dipilih.
  • Sertakan insiden yang diarsipkan: Setelah dipilih, daftar insiden akan menampilkan insiden yang diarsipkan. Insiden yang diarsipkan ditampilkan dengan ikon di sampingnya: Ikon yang diarsipkan.

    Untuk menyembunyikan insiden yang diarsipkan dari daftar, batalkan pilihan Sertakan insiden yang diarsipkan. Anda mungkin ingin menyembunyikan insiden yang diarsipkan jika ada banyak insiden yang ditampilkan dan Anda tidak ingin melihat semuanya, atau jika Anda ingin menyembunyikan insiden yang telah Anda selidiki.

Tampilan Incidents juga menampilkan hal berikut:

  • Nama insiden: Nama yang dibuat yang meringkas insiden.
  • Tingkat risiko: Tingkat risiko insiden.

  • Aturan deteksi teratas: Daftar yang teratas aturan deteksi yang menjadi pemicu dari suatu insiden.

  • Traffic insiden: Jumlah total peristiwa: Panggilan API yang diberi tag oleh salah satu aturan pendeteksian yang terkait dengan insiden tersebut.
  • Peristiwa pertama terdeteksi: Tanggal dan waktu peristiwa pertama di insiden terdeteksi.
  • Peristiwa terakhir terdeteksi: Tanggal dan waktu peristiwa terakhir dalam insiden terdeteksi.
  • Durasi: Durasi insiden, dari peristiwa pertamanya hingga akhir.
  • UUID: ID unik universal untuk insiden.

Detail insiden

Untuk melihat detail insiden, klik namanya dalam tabel. Ini menampilkan panel Overview dari tampilan Incident details, seperti yang ditunjukkan di bawah ini:

Tampilan detail insiden.

Seperti di tampilan Environment details, Anda dapat mengklik Create Security Action di bagian atas halaman untuk membuat tindakan keamanan sebagai respons terhadap insiden tersebut.

Tampilan Insiden details memiliki dua tab, Overview dan Attributes. Atribut—juga dikenal sebagai dimensi—bersifat pengelompokan data yang memungkinkan Anda untuk melihat insiden dengan cara yang berbeda. Misalnya, atribut produk API memungkinkan Anda melihat data insiden berdasarkan produk API.

Tab Overview dan Attributes adalah yang dijelaskan di bawah.

Insiden arsip

Untuk membantu Anda membedakan insiden yang telah Anda selidiki dari insiden yang jika tidak, Anda dapat mengarsipkan insiden yang tidak lagi memerlukan perhatian. Mengarsipkan insiden akan menyembunyikannya dari Environment details > Insiden (asalkan Sertakan insiden yang diarsipkan tidak dipilih). Pengarsipan tidak menghapus insiden: Anda selalu dapat membatalkan pengarsipan jika Anda berubah pikiran.

Untuk mengarsipkan insiden, pilih Arsipkan di bagian atas Tampilan Detail insiden. Setelah Anda melakukannya, label tombol Arsipkan akan berubah menjadi Batalkan pengarsipan. Tombol Batalkan pengarsipan.

Batalkan pengarsipan insiden

Untuk membatalkan pengarsipan insiden yang diarsipkan:

  1. Di Environment details > Insiden, klik ikon di samping insiden yang ingin Anda batalkan pengarsipannya: Ikon yang diarsipkan.
  2. Di bagian atas daftar insiden, klik Batalkan pengarsipan.

Atau, jika Anda berada di tampilan Detail insiden untuk insiden tersebut, klik Batalkan pengarsipan.

Tab Overview dan Attributes

Ringkasan

Panel Overview menampilkan informasi dasar tentang insiden tersebut. termasuk yang berikut:

  • Insiden name: Nama insiden.
  • Tingkat risiko: Tingkat risiko insiden.
  • Proxy yang terpengaruh: Jumlah proxy yang terpengaruh oleh insiden. Klik Lihat proxy untuk melihat proxy yang terpengaruh.
  • Durasi: Durasi insiden, dari peristiwa pertamanya hingga akhir. Kolom ini juga menampilkan tanggal dan waktu saat peristiwa pertama kali terdeteksi.
  • Insight: Detail insiden deteksi penyalahgunaan dapat mencakup insight AI generatif yang dibuat menggunakan Bahasa besar AI generatif Google Cloud yang sangat besar (LLM). LLM merangkum traffic yang terdeteksi per insiden untuk membantu Anda lebih memahami insiden keamanan, memberikan konteks dan informasi tambahan tentang tentang insiden, tautan ke dokumentasi pendukung, dan merekomendasikan langkah selanjutnya. Berikan masukan Anda dengan mengklik ikon suka atau tidak suka dan memberikan penjelasan opsional.

    Ringkasan dan rekomendasi insight didasarkan pada data 14 hari terakhir, meskipun insiden dimulai lebih dari 14 hari yang lalu.
    Insight AI generatif ini otomatis disertakan dalam deteksi penyalahgunaan jika project dan akun pengguna Anda disiapkan untuk menggunakan Cloud AI Companion API. Lihat Aktifkan Cloud AI Companion API dalam project Google Cloud dan Memberikan peran IAM dalam project Google Cloud.

    Untuk menonaktifkan insight AI generatif, nonaktifkan Cloud AI Companion API untuk project ini setelah instruksi di Menonaktifkan layanan.
  • Peristiwa: Menampilkan grafik deret waktu peristiwa dalam insiden. Untuk setiap titik waktu pada grafik, nilai y yang sesuai adalah jumlah total peristiwa dalam periode waktu singkat sekitar waktu itu. Jika Anda mengarahkan kursor ke satu titik di grafik, jumlah peristiwa dalam jangka waktu terbaru adalah ditampilkan di bawah Nilai. Anda dapat melihat nilai dengan jangka waktu berubah menggerakkan kursor ke kiri atau kanan dan mengamati di mana nilai berubah.

    Panel Events juga menampilkan total lingkungan dan jumlah traffic insiden.

    Untuk melihat alamat IP yang terkait dengan insiden, klik Lihat Semua Alamat IP.

    Catatan: Perintah ini akan menampilkan alamat IP yang unik, meskipun lebih dari satu insiden sesuai dengan alamat IP yang sama.
  • Aturan teratas yang terdeteksi: Menampilkan hingga lima grup aturan teratas yang terdeteksi, termasuk informasi berikut:
    • Aturan dominan: Aturan deteksi paling signifikan yang dipicu oleh mengenai insiden tersebut.
    • Peristiwa Dominant rules API: Jumlah peristiwa API yang diberi tag oleh aturan yang dominan.
    • Total aturan yang terdeteksi: Jumlah aturan deteksi yang menjadi pemicu dari suatu insiden.

    Untuk melihat semua aturan, klik Lihat Semua Aturan di bagian bawah kartu.

  • Negara teratas terdeteksi: Peta yang menampilkan negara yang yang merupakan sumber peristiwa dalam insiden tersebut. Di bawah peta adalah bagan yang menampilkan hingga lima negara-negara tersebut dan persentase total traffic yang berasal dari negara-negara tersebut.

    Catatan: Jika negara asal peristiwa tidak dapat ditentukan, peta akan menampilkan not set.

    Untuk melihat semua negara, klik Lihat Semua Negara di bagian bawah kartu.

Atribut

Tampilan Attributes memungkinkan Anda melihat perincian detail insiden. Atribut—juga dikenal sebagai dimensi— adalah pengelompokan data yang memungkinkan Anda melihat insiden dengan cara yang berbeda. Misalnya, atribut produk API memungkinkan Anda melihat data insiden berdasarkan produk API.

Untuk melihat Atribut, pilih Atribut di bagian atas tampilan Detail insiden.

Panel atribut dengan produk API dipilih.

Panel kiri menampilkan semua atribut dan jumlah nilai yang berbeda untuk setiap atribut . Anda dapat memilih atribut untuk melihat detail insidennya.

Gambar di atas menunjukkan tampilan Attributes dengan API Products dipilih. Panel API Products menampilkan grafik persentase panggilan API yang dibuat untuk setiap produk API. Lihat Apa artinya jika suatu atribut memiliki nilai (not set) untuk informasi tentang Nilai (not set).

Kolom Filter memungkinkan Anda memfilter data yang ditampilkan di panel untuk suatu atribut oleh berbagai properti.

Secara umum, panel untuk atribut menampilkan tabel yang menampilkan data insiden dengan nilai atribut. Kolom tabel meliputi:

  • Total panggilan yang dilakukan: Jumlah total panggilan API.
  • % panggilan: Persentase semua panggilan untuk setiap nilai atribut.
  • Waktu deteksi terakhir: Terakhir kali peristiwa yang terkait dengan insiden terdeteksi.

Untuk beberapa atribut, tabel memiliki kolom tambahan.

Anda dapat memilih dari atribut berikut di panel sebelah kiri:

  • Produk API: Lihat detail insiden berdasarkan produk API.
  • Kunci aplikasi: Melihat detail insiden menurut kunci aplikasi—juga yang dikenal sebagai kunci API atau kunci konsumen—ID untuk klien.
  • Negara/Wilayah: Melihat detail insiden menurut negara dan wilayah tempat peristiwa terjadi di insiden itu berasal.
  • Developer: Lihat detail insiden berdasarkan developer— orang yang menggunakan API Anda untuk mengembangkan aplikasi. Selain tiga kolom yang dijelaskan di atas, Developer juga memiliki kolom berlabel Apps, yang memberikan jumlah aplikasi untuk setiap developer.
  • Aplikasi developer: Lihat detail insiden berdasarkan aplikasi Google Cloud.

    Selain tiga kolom yang dijelaskan di atas, Aplikasi developer juga memiliki kolom Pengembang, yaitu orang-orang yang membuat aplikasi.

  • Alamat IP: Lihat detail insiden menurut alamat IP yang merupakan sumber peristiwa di insiden bulanan. Klik Lihat Semua Alamat IP untuk melihat alamat IP. Catatan: Panel Alamat IP menampilkan alamat IP yang unik, meskipun lebih dari satu insiden sesuai dengan alamat IP yang sama.

    Alamat IP menampilkan kolom berikut:

    • Alamat IP: Alamat IP untuk insiden.
    • Lokasi: Lokasi alamat IP.
    • Traffic yang terdeteksi: Jumlah total permintaan dari alamat IP.
    • % panggilan: Persentase permintaan dari alamat IP dari semua panggilan dalam lingkungan fleksibel App Engine.
    • Peristiwa pertama terdeteksi: Saat pertama kali peristiwa terdeteksi dalam insiden.
    • Peristiwa terakhir terdeteksi: Terakhir kali peristiwa terdeteksi dalam insiden.
  • Proxy: Melihat detail insiden berdasarkan proxy.
  • Kode respons: Melihat detail insiden berdasarkan kode respons.
  • Aturan: Lihat detail insiden berdasarkan aturan deteksi.
  • Agen pengguna: Melihat detail insiden berdasarkan agen pengguna—agen software yang membuat panggilan API.

Apa artinya jika atribut memiliki nilai (not set)?

Terkadang, atribut memiliki nilai (not set). Ada beberapa alasan mengapa hal ini mungkin terjadi. Salah satunya, Apigee mungkin tidak memiliki cukup informasi untuk menentukan atribut —misalnya, negara asal panggilan API. Atau, atribut mungkin tidak dalam kasus tertentu. Lihat Apa yang dimaksud dengan nilai entitas analisis "(not set)" ? untuk informasi selengkapnya.

Traffic yang terdeteksi

Tampilan Traffic Terdeteksi menampilkan informasi tentang insiden yang Peristiwa terakhir yang terdeteksi ada dalam waktu 14 hari terakhir. Lihat Batasan insiden dan data yang ditampilkan untuk informasi lebih lanjut tentang rentang waktu data yang ditampilkan di UI.

Untuk membuka tampilan Traffic Terdeteksi, pilih Traffic Terdeteksi di Tampilan Detail lingkungan, seperti yang ditunjukkan di bawah:

Tampilan penyalahgunaan.

Tampilan Traffic Terdeteksi menampilkan data untuk:

  • Total traffic: Jumlah total permintaan.
  • Traffic yang terdeteksi: Jumlah permintaan dari alamat IP penyalahgunaan yang terdeteksi.
  • % traffic yang terdeteksi: Persentase yang terdeteksi terdiri dari dari total traffic.
  • Jumlah alamat IP yang terdeteksi: Jumlah alamat IP berbeda yang sesuai dengan penyalahgunaan yang terdeteksi. Beberapa permintaan dari alamat IP yang sama hanya dihitung sekali.

Tampilan Traffic Terdeteksi juga menampilkan tabel yang mencantumkan detail setiap alamat IP yang sesuai dengan penyalahgunaan yang terdeteksi. Perhatikan bahwa secara default, alamat IP tidak ditampilkan karena alasan privasi. Kepada melihatnya, pilih Display all IP addresses di bagian atas tabel.

Setiap baris tabel alamat IP menampilkan:

  • Alamat IP: Alamat IP penyalahgunaan yang terdeteksi. Klik Lihat untuk melihat alamat.
  • Lokasi: Lokasi alamat IP.
  • Kunci aplikasi teratas: Kunci aplikasi yang paling sering digunakan dalam permintaan dari alamat IP. Catatan: kunci aplikasi adalah istilah lain untuk kunci API.
  • Aturan deteksi: Daftar semua deteksi yang dipicu oleh penyalahgunaan.
  • URL teratas: URL yang menerima permintaan terbanyak dari alamat IP.
  • Traffic yang terdeteksi: Jumlah permintaan dari alamat IP.
  • % traffic yang terdeteksi: Persentase permintaan dari alamat IP dari semua permintaan di lingkungan.
  • Peristiwa pertama terdeteksi: Saat pertama kali peristiwa terdeteksi dalam permintaan dari IP selama rentang waktu yang dipilih di bagian atas halaman Skor Keamanan.
  • Peristiwa terakhir terdeteksi: Terakhir kali peristiwa terdeteksi dalam permintaan dari alamat IP selama rentang waktu yang dipilih di bagian atas halaman Skor Keamanan.

Pembatasan deteksi penyalahgunaan

Deteksi penyalahgunaan memiliki batasan berikut.

  • Insiden yang Peristiwa terakhirnya terdeteksi lebih dari 14 hari sebelumnya tidak ditampilkan di UI Deteksi penyalahgunaan. Lihat Batasan insiden dan data yang ditampilkan untuk mengetahui informasi selengkapnya tentang insiden dan data yang ditampilkan di UI.
  • Saat pertama kali aktifkan API Advanced untuk organisasi, atau mengaktifkannya kembali, akan ada keterlambatan saat peristiwa dikelompokkan tentang insiden. Setelah itu, akan ada penundaan secara berkala.
  • Halaman atribut Detail insiden perlu waktu singkat untuk dimuat organisasi dengan jumlah traffic yang besar.