Rilevamento di comportamenti illeciti

Questa pagina si applica a Apigee e Apigee ibridi.

Visualizza documentazione di Apigee Edge.

Il rilevamento degli abusi di Advanced API Security ti consente di visualizzare la sicurezza incidenti che coinvolgono le tue API. Un incidente di sicurezza è un gruppo di eventi con caratteristiche schemi che potrebbero rappresentare una minaccia alla sicurezza. Advanced API Security utilizza di machine learning per rilevare pattern che sono segni di attività dannose, come le API scraping e anomalie, quindi raggruppa gli eventi in base a pattern simili.

Quando Advanced API Security rileva un incidente di sicurezza, segnala quanto segue:

  • Il livello di rischio e la durata dell’incidente.
  • I proxy interessati dall'incidente
  • Gli indirizzi IP degli eventi di incidente
  • Le regole di rilevamento che sono stati attivati dall'incidente
  • I paesi di origine dell'incidente.

e altre informazioni correlate all'incidente.

Puoi accedere al rilevamento degli abusi tramite la UI di Apigee, come descritto di seguito, oppure tramite L'API Incidents o . API per le statistiche sulla sicurezza

Vedi Ruoli richiesti per il rilevamento di comportamenti illeciti per i ruoli necessari a eseguire le attività di rilevamento degli abusi.

Contribuisci a migliorare i tuoi modelli di machine learning per il rilevamento di comportamenti illeciti

Apigee chiede il tuo aiuto per migliorare i modelli di machine learning per gli abusi il rilevamento automatico nella tua organizzazione, consentendoci di addestrare i modelli sulla base dei tuoi dati. Addestramento dei modelli dei dati aiuta a migliorare la loro precisione nel rilevamento degli incidenti di sicurezza. L'addestramento si applica solo ai tuoi modelli e questi non saranno condivisi con di qualsiasi altro cliente Google Cloud.

La prima volta che apri la pagina Rilevamento comportamenti illeciti nella UI di Apigee, vedrai un banner che richiede la tua autorizzazione per addestrare i modelli di sicurezza della tua organizzazione sulla base dei tuoi dati.

Per usare questa funzionalità: devi abilitare il componente aggiuntivo. Se sei un cliente Subscription, puoi attivare per la tua organizzazione. Vedi Per maggiori dettagli, gestisci la sicurezza avanzata delle API per le organizzazioni in abbonamento. Se se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per ulteriori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.

Apri la pagina Rilevamento di comportamenti illeciti.

Per aprire la pagina Rilevamento di comportamenti illeciti:

Viene visualizzata la pagina principale Rilevamento di abusi:

Pagina principale di rilevamento degli abusi.

Modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning

Puoi modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning in qualsiasi momento, facendo clic su Impostazioni. in alto a destra nella pagina Rilevamento di comportamenti illeciti e selezionando l'opzione per attivare o disattivare questa funzione.

Pagina principale Rilevamento di comportamenti illeciti

Nella parte superiore della pagina puoi selezionare uno dei seguenti periodi di tempo recenti in cui visualizzare gli incidenti: ultime 12 ore, 1 giorno, 1 settimana o 2 settimane.

La tabella nella pagina mostra gli ambienti della tua organizzazione interessati incidenti di sicurezza durante l'intervallo di tempo selezionato.

In ogni riga della tabella vengono visualizzate anche le seguenti informazioni:

  • Ambiente: l'ambiente in cui si è verificato l'abuso.
  • Incidenti totali: il numero totale di incidenti nell'ambiente. durante l'intervallo di tempo selezionato. Vedi Limitazioni relative alla incidenti e dati visualizzati per ulteriori informazioni su quali incidenti e dati visualizzato nell'interfaccia utente.

  • Livello di rischio: mostra il numero di incidenti a tre livelli di rischio: grave, moderato e basso. Il livello di rischio si basa su diverse caratteristiche di un incidente, come il numero di regole rilevate, i tipi e le dimensioni relative dell'incidente rispetto traffico legittimo. Il livello di rischio ha lo scopo di aiutarti a dare la priorità agli incidenti che indagare, per consentirti di concentrarti su quelli più importanti.

    Il livello di rischio può essere uno dei seguenti:

    • Gravi:gli incidenti gravi presentano un rischio elevato. Ti consigliamo di dare la priorità indagando su di essi.
    • Moderato: gli incidenti di livello moderato presentano alcuni rischi, ma meno di quelli con grave rischio, e ti consigliamo di dare la priorità agli incidenti a basso rischio.
    • Basso: gli incidenti a basso rischio possono essere analizzati per ultimi, dopo averli esaminati. gli incidenti a rischio più elevato.

    Il numero accanto a ogni livello di rischio indica il numero di incidenti a quel livello di rischio.

Dettagli ambiente

Per visualizzare gli incidenti in un ambiente per l'intervallo di tempo selezionato, seleziona l'ambiente nella tabella mostrata sopra. Viene visualizzata la visualizzazione Dettagli ambiente:

vista Incidenti.

Se noti un incidente o un traffico rilevato e vuoi creare una un'azione di sicurezza per bloccare o segnalare le richieste relative all'incidente o al rilevamento traffico, clic Crea un'azione di sicurezza nella parte superiore della pagina. Si apre Pagina Azioni di sicurezza.

La visualizzazione Dettagli ambiente contiene due schede:

  • Incidenti: mostra un elenco di incidenti. nell'ambiente e le relative informazioni.
  • Traffico rilevato: mostra i dettagli dell'abuso rilevato. il traffico correlato agli incidenti.

Incidenti

La scheda Incidenti della vista Dettagli ambiente, mostrata sopra, mostra le seguenti opzioni:

  • Ambiente: modifica l'ambiente in cui visualizzare gli incidenti.
  • Proxy: puoi utilizzare Seleziona tutto per visualizzare gli incidenti per tutti i proxy. seleziona uno o più proxy singoli per visualizzare gli incidenti solo per i proxy selezionati.
  • Includi incidenti archiviati: se questa opzione è selezionata, viene visualizzato l'elenco degli incidenti. mostra gli incidenti archiviati. Incidenti archiviati vengono visualizzati con un'icona accanto a ciascuno di essi: Icona Archiviati.

    Per nascondere gli incidenti archiviati dall'elenco, deseleziona Includi incidenti archiviati. Potresti voler nascondere gli incidenti archiviati se sono visualizzati molti incidenti e non vuoi vederli tutti o se vuoi nascondere gli incidenti che hai già esaminato.

La vista Incidenti mostra anche quanto segue:

  • Nome incidente: un nome generato che riassume l'incidente.
  • Livello di rischio: il livello di rischio dell'incidente.

  • Principali regole di rilevamento: un elenco delle principali regole di rilevamento che sono state attivate dall'incidente.

  • Traffico incidente: il numero totale di eventi, chiamate API codificate. in base a una delle regole di rilevamento relative all'incidente.
  • Primo evento rilevato: la data e l'ora in cui si è verificato il primo evento nella è stato rilevato l'incidente.
  • Ultimo evento rilevato: la data e l'ora dell'ultimo evento nella è stato rilevato l'incidente.
  • Durata: la durata dell'incidente, dal primo evento. fino all'ultimo.
  • UUID: l'identificatore univoco universale dell'incidente.

Dettagli incidente

Per visualizzare i dettagli di un incidente, fai clic sul suo nome nella tabella. Questo mostra il riquadro Panoramica della vista Dettagli incidente, come mostrato di seguito:

Visualizzazione dei dettagli dell'incidente.

Come nella visualizzazione Dettagli ambiente, puoi fare clic su Crea azione di sicurezza. nella parte superiore della pagina per creare un di sicurezza in risposta all'incidente.

La visualizzazione Dettagli incidente contiene due schede: Panoramica e Attributi. Attributi, chiamati anche dimensioni: sono raggruppamenti di dati che ti consentono di visualizzare incidente in diversi modi. Ad esempio, l'attributo prodotti API ti consente di visualizzare sull'incidente per prodotto API.

Le schede Panoramica e Attributi sono descritti di seguito.

Archivia incidenti

Per aiutarti a distinguere tra gli incidenti che hai già esaminato da quelli che non hai più bisogno della tua attenzione, puoi archiviare gli incidenti che non richiedono più la tua attenzione. L'archiviazione di un incidente lo nasconde in Dettagli ambiente > Incidenti dall'elenco (a condizione che L'opzione Includi incidenti archiviati non è selezionata). L’archiviazione non elimina un incidente: puoi sempre annullarne l'archiviazione se cambi idea.

Per archiviare un incidente, seleziona Archivia nella parte superiore della Visualizzazione dei dettagli dell'incidente. Dopo averlo fatto, l'etichetta del pulsante Archivia diventa Annulla archiviazione. Pulsante Rimuovi dall'archivio.

Annulla archiviazione degli incidenti

Per annullare l'archiviazione di un incidente archiviato:

  1. Nella sezione Dettagli ambiente > degli incidenti, fai clic sull'icona accanto l'incidente di cui vuoi annullare l'archiviazione: Icona Archiviati.
  2. Nella parte superiore dell'elenco degli incidenti, fai clic su Annulla archiviazione.

In alternativa, se ti trovi nella visualizzazione Dettagli incidente per l'incidente, fai clic su Annulla archiviazione.

Schede Panoramica e Attributi

Panoramica

Il riquadro Panoramica mostra informazioni di base sull'incidente, tra cui:

  • Nome incidente: il nome dell'incidente.
  • Livello di rischio: il livello di rischio dell'incidente.
  • Proxy interessati: il numero di proxy interessati dall'incidente. Fai clic su Visualizza proxy per vedere i proxy interessati.
  • Durata: la durata dell'incidente, dal primo evento. fino all'ultimo. Mostra anche la data e l'ora in cui l'evento è stato rilevato per la prima volta.
  • Approfondimenti: i dettagli degli incidenti relativi al rilevamento di abusi potrebbero includere insight sull'AI generativa creati utilizzando L'IA generativa di Google Cloud di grandi dimensioni (LLM). L'LLM riassume il traffico rilevato per incidente per aiutarti a comprendere meglio incidente di sicurezza, fornisce ulteriore contesto e informazioni sulla l'incidente, i link alla documentazione di supporto e i passaggi successivi. Invia il tuo feedback facendo clic sull'icona Mi piace o Non mi piace e fornendo una spiegazione facoltativa.

    I riepiloghi e i consigli degli approfondimenti si basano sui dati degli ultimi 14 giorni, anche se l'incidente è iniziato più di 14 giorni fa.
    Questi insight sull'AI generativa sono inclusi automaticamente nel rilevamento di comportamenti illeciti se il progetto e il tuo account utente sia configurato per utilizzare l'API Cloud AI Companion. Consulta Abilita l'API Cloud AI Companion in un progetto Google Cloud e Concedi ruoli IAM in un progetto Google Cloud.

    Per disattivare gli insight sull'IA generativa, disabilita l'API Cloud AI Companion per questo progetto seguendo le istruzioni in Disattivazione dei servizi:
  • Eventi: mostra un grafico di serie temporali degli eventi che si verificano nell'incidente. Per ogni punto temporale nel grafico, il valore y corrispondente è il numero totale di eventi in un breve periodo di tempo in quel periodo. Se passi il cursore da un punto del grafico, il numero di eventi nel periodo di tempo più recente è visualizzato sotto Valore. Puoi vedere i valori in base ai quali cambiano i periodi di tempo Spostando il cursore verso sinistra o destra e osservando dove cambiano i valori.

    Il riquadro Eventi visualizza anche il conteggio totale del traffico ambientale e degli incidenti.

    Per visualizzare gli indirizzi IP relativi all'incidente, fai clic su Visualizza tutti gli indirizzi IP.

    Nota: vengono visualizzati indirizzi IP univoci, anche se più incidenti corrispondono allo stesso indirizzo IP.
  • Principali regole rilevate: mostra fino a cinque dei principali gruppi di regole rilevate, incluse le seguenti informazioni:
      .
    • Regole dominanti: le regole di rilevamento più significative che sono state attivate da l'incidente.
    • Eventi API regole dominanti: il numero di eventi API taggati dalle regole dominanti.
    • Totale regole rilevate: il numero di regole di rilevamento che sono state attivate dall'incidente.

    Per visualizzare tutte le regole, fai clic su Visualizza tutte le regole nella parte inferiore della scheda.

  • Principali paesi rilevati: una mappa che mostra i paesi interessati erano le fonti degli eventi dell'incidente. Sotto la mappa c'è un grafico che mostra fino a cinque di i paesi in questione e la percentuale del traffico totale proveniente da questi paesi.

    Nota: se non è possibile determinare il paese di origine degli eventi, la mappa mostra not set (non impostato).

    Per visualizzare tutti i paesi, fai clic su Visualizza tutti i paesi nella parte inferiore della scheda.

Attributi

La vista Attributi ti consente di visualizzare in dettaglio i dettagli di un incidente. Attributi, chiamati anche dimensioni: sono raggruppamenti di dati che ti consentono di visualizzare incidente in diversi modi. Ad esempio, l'attributo prodotti API consente di visualizzare sull'incidente per prodotto API.

Per visualizzare gli Attributi, seleziona Attributi nella parte superiore della visualizzazione Dettagli incidente.

Riquadro degli attributi con i prodotti API selezionati.

Il riquadro a sinistra visualizza tutti gli attributi e il numero di valori distinti per ciascuno . Puoi selezionare un attributo per visualizzare i dettagli dell'incidente.

L'immagine sopra mostra la vista Attributi con l'opzione Prodotti API selezionata. Il riquadro Prodotti API mostra i grafici della percentuale di chiamate API per ciascun prodotto API. Consulta Che cosa significa quando un attributo ha il valore (not set) per informazioni sul tipo Valore (not set).

Il campo Filtro consente di filtrare i dati visualizzati nel riquadro per un attributo da varie proprietà.

In generale, il riquadro di un attributo mostra una tabella che mostra i dati relativi agli incidenti in base ai valori dell'attributo. Le colonne della tabella includono:

  • Chiamate totali effettuate: numero totale di chiamate API.
  • % di chiamate: percentuale di tutte le chiamate per ogni valore dell'attributo.
  • Ora dell'ultimo rilevamento: l'ultima volta che è stato rilevato un evento relativo all'incidente.

Per alcuni attributi, la tabella include colonne aggiuntive.

Nel riquadro a sinistra puoi scegliere tra i seguenti attributi:

  • Prodotti API: Visualizza i dettagli degli incidenti per prodotto API.
  • Chiavi dell'app: visualizza anche i dettagli degli incidenti in base alla chiave dell'app nota come chiave API o chiave utente, un identificatore per il client.
  • Paesi/regioni: visualizza i dettagli degli incidenti in base ai paesi e alle regioni in cui si verificano gli eventi. è stato generato l'incidente.
  • Sviluppatori: visualizza i dettagli dell'incidente per sviluppatori: utenti che utilizzano le tue API per sviluppare applicazioni. Oltre alle tre colonne descritte in alto, Sviluppatori ha anche una colonna con l'etichetta App, che indica il numero di applicazioni per ogni sviluppatore.
  • App sviluppatore: visualizza i dettagli degli incidenti per l'applicazione.

    Oltre alle tre colonne descritte sopra, App sviluppatore presenta anche colonna Sviluppatori, ovvero le persone che hanno creato le app.

  • Indirizzi IP: visualizza i dettagli degli incidenti in base agli indirizzi IP che sono fonti di eventi nella incidente. Fai clic su Visualizza tutti gli indirizzi IP per visualizzare gli indirizzi IP. Nota: il riquadro Indirizzi IP mostra indirizzi IP univoci, anche se più incidenti corrispondono allo stesso indirizzo IP.

    Indirizzi IP mostra le seguenti colonne:

    • Indirizzo IP: l'indirizzo IP dell'incidente.
    • Posizione: posizione dell'indirizzo IP.
    • Traffico rilevato: numero totale di richieste dall'indirizzo IP.
    • % di chiamate: percentuale di richieste dall'indirizzo IP su tutte le chiamate nel completamente gestito di Google Cloud.
    • Primo evento rilevato: la prima volta che è stato rilevato un evento nell'incidente.
    • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento nell'incidente.
  • Proxy: visualizza i dettagli dell'incidente in base a proxy.
  • Codici di risposta: visualizza i dettagli dell'incidente in base al codice di risposta.
  • Regole: visualizza i dettagli degli incidenti in base alle regole di rilevamento.
  • User agent: visualizza i dettagli degli incidenti in base allo user agent, ovvero l'agente software che ha creato. la chiamata API.

Cosa significa quando un attributo ha il valore (not set)?

A volte, un attributo ha il valore (not set). Ci sono diversi motivi per cui questo potrebbe accadere. Ad esempio, Apigee potrebbe non avere informazioni sufficienti per determinare Ad esempio, il paese di origine di una chiamata API. Oppure l'attributo potrebbe non applicabili in un caso particolare. Consulta Che cos'è il valore dell'entità di analisi "(not set)" per ulteriori informazioni.

Traffico rilevato

La vista Traffico rilevato mostra informazioni sugli incidenti i cui Ultimo evento rilevato: ultimi 14 giorni. Vedi Limiti relativi a incidenti e dati visualizzati per ulteriori informazioni sull'intervallo di tempo dei dati visualizzato nell'interfaccia utente.

Per aprire la visualizzazione Traffico rilevato, seleziona Traffico rilevato nella Visualizzazione dei dettagli dell'ambiente, come mostrato di seguito:

Visualizzazione abuso.

La vista Traffico rilevato mostra i dati relativi a:

  • Traffico totale: il numero totale di richieste.
  • Traffico rilevato: il numero di richieste provenienti dagli indirizzi IP dell'abuso rilevato.
  • % di traffico rilevato: la percentuale di traffico rilevato che è composta da traffico totale.
  • Conteggio indirizzi IP rilevati: il numero di indirizzi IP distinti corrispondenti a l'abuso rilevato. Più richieste dallo stesso indirizzo IP vengono conteggiate una sola volta.

La vista Traffico rilevato mostra anche una tabella che elenca i dettagli: a ogni indirizzo IP corrispondente all'abuso rilevato. Tieni presente che, per impostazione predefinita, gli indirizzi IP non vengono visualizzati per motivi di privacy. A Se li visualizzi, seleziona Visualizza tutti gli indirizzi IP nella parte superiore della tabella.

Ogni riga della tabella degli indirizzi IP mostra:

  • Indirizzo IP: l'indirizzo IP dell'abuso rilevato. Fai clic su Visualizza per vedere l'indirizzo.
  • Posizione: la posizione dell'indirizzo IP.
  • Chiave dell'app principale: la chiave dell'app utilizzata più spesso nelle richieste dall'indirizzo IP. Nota: chiave dell'app è un altro termine per indicare la chiave API.
  • Regole di rilevamento: un elenco di tutte rilevamento di Google Cloud che sono state attivate dall'abuso.
  • URL superiore: l'URL che ha ricevuto il maggior numero di richieste dall'indirizzo IP.
  • Traffico rilevato: il numero di richieste dall'indirizzo IP.
  • % di traffico rilevato: la percentuale di richieste dall'indirizzo IP su tutte le richieste. nell'ambiente.
  • Primo evento rilevato: la prima volta che viene rilevato un evento in una richiesta dall'IP. durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.
  • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento in una richiesta proveniente dall'indirizzo IP. durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.

Limitazioni al rilevamento di comportamenti illeciti

Il rilevamento di abusi prevede le seguenti limitazioni.

  • Gli incidenti il cui Ultimo evento rilevato ha avuto più di 14 giorni nel passato non vengono visualizzati nella l'interfaccia utente per il rilevamento degli abusi. Vedi Limiti relativi a incidenti e dati visualizzati per ulteriori informazioni su quali incidenti e dati vengono visualizzati nella UI.
  • All'inizio enable API Advanced per un'organizzazione o riattivarla, si verificherà un ritardo quando gli eventi sono raggruppati in incidenti. Dopodiché, si verificheranno periodicamente ritardi.
  • Il caricamento della pagina dell'attributo Dettagli incidente può richiedere un breve tempo con una grande quantità di traffico.