Questa pagina è stata tradotta dall'API Cloud Translation.

Rilevamento di comportamenti illeciti

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza documentazione di Apigee Edge.

Il rilevamento degli abusi di Advanced API Security ti consente di visualizzare la sicurezza incidenti che coinvolgono le tue API. Un incidente di sicurezza è un gruppo di eventi con schemi simili che potrebbe rappresentare una minaccia alla sicurezza. Advanced API Security utilizza modelli di machine learning per rilevare pattern che indicano attività dannose, tra cui scraping e anomalie delle API, e raggruppa gli eventi in base a pattern simili.

Quando Advanced API Security rileva un incidente di sicurezza, segnala quanto segue:

Il livello di rischio e la durata dell'incidente
I proxy interessati dall'incidente
Gli indirizzi IP degli eventi relativi agli incidenti
Le regole di rilevamento attivate dall'incidente
I paesi di origine dell'incidente.

e altre informazioni correlate all'incidente.

Puoi accedere al rilevamento degli abusi tramite la UI di Apigee, come descritto di seguito, o tramite L'API Incidents o API per le statistiche sulla sicurezza

Consulta la sezione Ruoli richiesti per il rilevamento di abusi per conoscere i ruoli necessari per eseguire le attività di rilevamento di abusi.

Contribuire a migliorare i modelli di machine learning per il rilevamento di abusi

Apigee chiede il tuo aiuto per migliorare i modelli di machine learning per gli abusi il rilevamento automatico nella tua organizzazione, consentendoci di addestrare i modelli sulla base dei tuoi dati. L'addestramento dei modelli su i tuoi dati contribuisce a migliorarne l'accuratezza per il rilevamento di incidenti di sicurezza. L'addestramento verrà applicato solo ai tuoi modelli, che non verranno condivisi con altri clienti Google Cloud.

Quando apri per la prima volta la pagina Rilevamento abusi nell'interfaccia utente di Apigee, viene visualizzato un banner che richiede la tua autorizzazione per addestrare i modelli di sicurezza della tua organizzazione sui tuoi dati.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se sei un cliente Subscription, puoi attivare per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza avanzata dell'API per le organizzazioni con abbonamento. Se se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per ulteriori informazioni, vedi Gestire il componente aggiuntivo Advanced API Security.

Apri la pagina Rilevamento di comportamenti illeciti.

Per aprire la pagina Rilevamento di comportamenti illeciti:

Se utilizzi la UI di Apigee nella console Cloud: seleziona Sicurezza avanzata delle API > Rilevamento di abusi.
Se utilizzi la UI di Apigee classica: seleziona Analizza > Sicurezza delle API > Rilevamento di abusi.

Viene visualizzata la pagina principale Rilevamento di abusi:

Pagina principale di rilevamento degli abusi.

Modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning

Puoi modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning in qualsiasi momento, facendo clic su Impostazioni. in alto a destra nella pagina Rilevamento di comportamenti illeciti e selezionando l'opzione per attivare o disattivare questa funzione.

Pagina principale Rilevamento di comportamenti illeciti

Nella parte superiore della pagina, puoi selezionare uno dei seguenti periodi di tempo recenti in cui visualizzare gli incidenti: le ultime 12 ore, 1 giorno, 1 settimana o 2 settimane.

La tabella nella pagina mostra gli ambienti della tua organizzazione interessati incidenti di sicurezza durante l'intervallo di tempo selezionato.

Ogni riga della tabella mostra anche quanto segue:

Ambiente: l'ambiente in cui si è verificato l'abuso.
Incidenti totali: il numero totale di incidenti nell'ambiente. durante l'intervallo di tempo selezionato. Vedi Limitazioni relative alla incidenti e dati visualizzati per ulteriori informazioni su quali incidenti e dati visualizzato nell'interfaccia utente.
Livello di rischio: mostra il numero di incidenti in tre livelli di rischio: grave, moderato e basso. Il livello di rischio si basa su diverse caratteristiche di un incidente, ad esempio il numero di regole rilevate, i relativi tipi e le dimensioni relative dell'incidente rispetto al traffico legittimo. Il livello di rischio ha lo scopo di aiutarti a stabilire la priorità degli incidenti da esaminare, in modo da concentrarti su quelli più critici.

Livello di rischio può essere uno dei seguenti:
- Grave: gli incidenti gravi presentano un rischio elevato. Ti consigliamo di dare la priorità indagando su di essi.
- Moderato: gli incidenti di livello moderato presentano alcuni rischi, ma meno di quelli con grave rischio, e ti consigliamo di dare la priorità agli incidenti a basso rischio.
- Basso: gli incidenti a basso rischio possono essere esaminati per ultimi, dopo averli esaminati. gli incidenti a rischio più elevato.
Il numero accanto a ogni livello di rischio indica il numero di incidenti a quel livello di rischio.

Dettagli ambiente

Per visualizzare gli incidenti in un ambiente per l'intervallo di tempo selezionato, seleziona l'ambiente nella tabella sopra indicata. Viene visualizzata la visualizzazione Dettagli dell'ambiente:

Se noti un incidente o un traffico rilevato e vuoi creare una un'azione di sicurezza per bloccare o segnalare le richieste relative all'incidente o al rilevamento traffico, clic Crea un'azione di sicurezza nella parte superiore della pagina. Si apre Pagina Azioni di sicurezza.

La visualizzazione Dettagli ambiente contiene due schede:

Incidenti: mostra un elenco di incidenti. nell'ambiente e le relative informazioni.
Traffico rilevato: mostra i dettagli del traffico correlato a comportamenti illeciti rilevati relativi agli incidenti.

Incidenti

La scheda Incidenti della visualizzazione Dettagli ambiente, mostrata sopra, mostra le seguenti opzioni:

Ambiente: modifica l'ambiente in cui visualizzare gli incidenti.
Proxy: puoi utilizzare Seleziona tutto per visualizzare gli incidenti per tutti i proxy oppure selezionare uno o più proxy singoli per visualizzare gli incidenti solo per i proxy selezionati.
Includi incidenti archiviati: se questa opzione è selezionata, viene visualizzato l'elenco degli incidenti. mostra gli incidenti archiviati. Incidenti archiviati vengono visualizzati con un'icona accanto a essi:
Per nascondere gli incidenti archiviati dall'elenco, deseleziona Includi incidenti archiviati. Potresti voler nascondere gli incidenti archiviati se sono visualizzati molti incidenti e non vuoi visualizzarli tutti o se vuoi nascondere gli incidenti che hai già esaminato.

La visualizzazione Incidenti mostra anche quanto segue:

Nome dell'incidente: un nome generato che riassume l'incidente.
Livello di rischio: il livello di rischio dell'incidente.
Principali regole di rilevamento: un elenco delle principali regole di rilevamento che sono state attivate dall'incidente.
Traffico incidente: il numero totale di eventi, chiamate API codificate. in base a una delle regole di rilevamento relative all'incidente.
Primo evento rilevato: la data e l'ora in cui si è verificato il primo evento nella è stato rilevato l'incidente.
Ultimo evento rilevato: la data e l'ora in cui è stato rilevato l'ultimo evento nell'incidente.
Durata: la durata dell'incidente, dal primo evento. fino all'ultimo.
UUID: l'identificatore univoco universale dell'incidente.

Dettagli incidente

Per visualizzare i dettagli di un incidente, fai clic sul relativo nome nella tabella. Viene visualizzato il riquadro Panoramica della visualizzazione Dettagli incidente, come mostrato di seguito:

Visualizzazione dei dettagli dell'incidente

Come nella visualizzazione Dettagli ambiente, puoi fare clic su Crea azione di sicurezza nella parte superiore della pagina per creare un'azione di sicurezza in risposta all'incidente.

La visualizzazione Dettagli incidente contiene due schede, Panoramica e Attributi. Gli attributi, noti anche come dimensioni, sono raggruppamenti di dati che ti consentono di visualizzare l'incidente in modi diversi. Ad esempio, l'attributo Prodotti API ti consente di visualizzare i dati sugli incidenti per prodotto API.

Le schede Panoramica e Attributi sono descritte di seguito.

Archivia incidenti

Per aiutarti a distinguere tra gli incidenti che hai già esaminato da quelli che non hai più bisogno della tua attenzione, puoi archiviare gli incidenti che non richiedono più la tua attenzione. L'archiviazione di un incidente lo nasconde in Dettagli ambiente > Incidenti dall'elenco (a condizione che L'opzione Includi incidenti archiviati non è selezionata). L’archiviazione non elimina un incidente: puoi sempre annullarne l'archiviazione se cambi idea.

Per archiviare un incidente, seleziona Archivia nella parte superiore della visualizzazione Dettagli incidente. A questo punto, l'etichetta del pulsante Archivia diventa Annulla archiviazione. Pulsante Annulla archiviazione.

Rimuovere gli incidenti dall'archivio

Per annullare l'archiviazione di un incidente archiviato:

Nella sezione Dettagli ambiente > degli incidenti, fai clic sull'icona accanto l'incidente di cui vuoi annullare l'archiviazione:
Nella parte superiore dell'elenco degli incidenti, fai clic su Annulla archiviazione.

In alternativa, se ti trovi nella visualizzazione Dettagli incidente per l'incidente, fai clic su Elimina dall'archivio.

Schede Panoramica e Attributi

Panoramica

Il riquadro Panoramica mostra informazioni di base sull'incidente, tra cui:

Nome incidente: il nome dell'incidente.
Livello di rischio: il livello di rischio dell'incidente.
Proxy interessati: il numero di proxy interessati dall'incidente. Fai clic su Visualizza proxy per vedere i proxy interessati.
Durata: la durata dell'incidente, dal primo all'ultimo evento. Mostra anche la data e l'ora in cui l'evento è stato rilevato per la prima volta.
Indirizzi IP: il numero di indirizzi IP univoci rilevati per questo incidente. Clic Visualizza gli indirizzi IP per vedere ulteriori informazioni sugli indirizzi IP.
Approfondimenti: i dettagli degli incidenti relativi al rilevamento di abusi potrebbero includere approfondimenti sull'IA generativa creati utilizzando modelli linguistici di grandi dimensioni (LLM) di AI generativa di Google Cloud. L'LLM riassume il traffico rilevato per incidente per aiutarti a comprendere meglio incidente di sicurezza, fornisce ulteriore contesto e informazioni sulla l'incidente, i link alla documentazione di supporto e i passaggi successivi. Fornisci il tuo feedback facendo clic sull'icona Mi piace o Non mi piace e fornendo una spiegazione facoltativa.

I riepiloghi e i consigli degli approfondimenti si basano sui dati degli ultimi 14 giorni, anche se l'incidente è iniziato più di 14 giorni fa.

Attenzione: utilizza gli Approfondimenti con cautela. Gli insight potrebbero non essere accurati o completi.
Queste informazioni sull'IA generativa sono incluse automaticamente nel rilevamento degli abusi se il progetto e il tuo account utente sono configurati per utilizzare l'API Cloud AI Companion. Consulta: Abilita l'API Cloud AI Companion in un progetto Google Cloud e Concedi ruoli IAM in un progetto Google Cloud.

Per disattivare gli approfondimenti sull'IA generativa, disattiva l'API Cloud AI Companion per questo progetto seguendo le istruzioni riportate in Disattivazione dei servizi.
Eventi: mostra un grafico di serie temporali degli eventi che si verificano nell'incidente. Per ogni punto di tempo nel grafico, il valore y corrispondente è il numero totale di eventi in un breve periodo di tempo intorno a quel momento. Se passi il cursore sopra un punto del grafico, il numero di eventi nel periodo di tempo più recente viene visualizzato sotto Valore. Puoi vedere i valori in cui cambiano i periodi di tempo muovendo il cursore verso sinistra o verso destra e osservando dove cambiano i valori.

Il riquadro Eventi mostra anche i conteggi totali del traffico dell'ambiente e degli incidenti.
Principali regole rilevate: mostra fino a cinque dei principali gruppi di regole rilevate, incluse le seguenti informazioni:
- Regole dominanti: le regole di rilevamento più significative che sono state attivate da l'incidente.
- Eventi API regole dominanti: il numero di eventi API taggati dalle regole dominanti.
- Totale regole rilevate: il numero di regole di rilevamento che sono state attivate dall'incidente.
Per visualizzare tutte le regole, fai clic su Visualizza tutte le regole nella parte inferiore della scheda.
Paesi principali rilevati: una mappa che mostra i paesi che sono stati sorgenti di eventi nell'incidente. Sotto la mappa c'è un grafico che mostra fino a cinque di i paesi in questione e la percentuale del traffico totale proveniente da questi paesi.

Nota: se non è possibile determinare il paese di origine degli eventi, sulla mappa viene visualizzato not set.

Per visualizzare tutti i paesi, fai clic su Visualizza tutti i paesi nella parte inferiore della scheda.
Indirizzi IP: visualizza i dettagli dell'incidente in base agli indirizzi IP di origine per gli eventi nell'incidente. Seleziona Visualizza tutti gli indirizzi IP per visualizzare tutti gli indirizzi IP nell'elenco. A scarica un file CSV contenente gli indirizzi IP del traffico rilevato, fai clic su Scarica CSV . Nota: il riquadro Indirizzi IP mostra indirizzi IP univoci, anche se più incidenti corrispondono allo stesso indirizzo IP.
Indirizzi IP mostra le seguenti colonne:
- Indirizzo IP: l'indirizzo IP dell'incidente.
- Posizione: posizione dell'indirizzo IP.
- Traffico rilevato: numero totale di richieste dall'indirizzo IP.
- % di chiamate: percentuale di richieste dall'indirizzo IP su tutte le chiamate nel completamente gestito di Google Cloud.
- Primo evento rilevato: la prima volta che è stato rilevato un evento nell'incidente.
- Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento nell'incidente.

Attributi

La visualizzazione Attributi ti consente di visualizzare i dettagli di un incidente. Gli attributi, noti anche come dimensioni, sono raggruppamenti di dati che ti consentono di visualizzare l'incidente in diversi modi. Ad esempio, l'attributo Prodotti API ti consente di visualizzare i dati sugli incidenti per prodotto API.

Per visualizzare gli Attributi, seleziona Attributi nella parte superiore della visualizzazione Dettagli incidente.

Riquadro degli attributi con i prodotti API selezionati.

Il riquadro sinistro mostra tutti gli attributi e il numero di valori distinti per ciascun attributo. Puoi selezionare un attributo per visualizzarne i dettagli dell'incidente.

L'immagine sopra mostra la vista Attributi con l'opzione Paesi/regioni selezionata. Il riquadro Paesi/regioni visualizza grafici della percentuale di chiamate API per ogni regione.

Consulta: Che cosa significa quando un attributo ha il valore (not set) se vedi (not set) per qualsiasi valore.

Il campo Filtro consente di filtrare i dati visualizzati nel riquadro per un attributo da varie proprietà.

In genere, il riquadro di un attributo mostra una tabella che indica i dati sugli incidenti in base ai valori dell'attributo. Le colonne della tabella includono:

Chiamate totali effettuate: numero totale di chiamate API.
% di chiamate: percentuale di tutte le chiamate per ogni valore dell'attributo.
Ora dell'ultimo rilevamento: l'ultima volta che è stato rilevato un evento relativo all'incidente.

Per alcuni attributi, la tabella contiene colonne aggiuntive.

Nel riquadro a sinistra puoi scegliere tra i seguenti attributi:

Prodotti API: Visualizza i dettagli degli incidenti per prodotto API.
Chiavi dell'app: visualizza anche i dettagli degli incidenti in base alla chiave dell'app nota come chiave API o chiave utente, un identificatore per il client.
Paesi/regioni: visualizza i dettagli degli incidenti in base ai paesi e alle regioni in cui si sono verificati gli eventi.
Sviluppatori: visualizza i dettagli degli incidenti per sviluppatori , ovvero le persone che utilizzano le tue API per sviluppare applicazioni. Oltre alle tre colonne descritte sopra, Sviluppatori contiene anche una colonna denominata App, che indica il numero di applicazioni per ogni sviluppatore.

App sviluppatore: visualizza i dettagli degli incidenti per l'applicazione.
Oltre alle tre colonne descritte sopra, App sviluppatore contiene anche la colonna Sviluppatori, ovvero le persone che hanno creato le app.
Proxy: visualizza i dettagli degli incidenti per proxy.
Codici di risposta: visualizza i dettagli dell'incidente in base al codice di risposta.
Regole: visualizza i dettagli degli incidenti in base alle regole di rilevamento.
Agenti utente: visualizza i dettagli dell'incidente in base all'agente utente, ovvero l'agente software che ha effettuato la chiamata API.

Che cosa significa quando un attributo ha il valore `(not set)`?

A volte, un attributo ha il valore (not set). Esistono diversi motivi per cui ciò potrebbe verificarsi. Ad esempio, Apigee potrebbe non disporre di informazioni sufficienti per determinare il valore dell'attributo, ad esempio il paese di origine di una chiamata API. In alternativa, l'attributo potrebbe non essere applicato in un caso specifico. Per ulteriori informazioni, consulta Che cosa indica un valore dell'entità di analisi "(not set)"?

Traffico rilevato

La visualizzazione Traffico rilevato mostra informazioni sugli incidenti il cui ultimo evento rilevato risale agli ultimi 14 giorni. Vedi Limiti relativi a incidenti e dati visualizzati per ulteriori informazioni sull'intervallo di tempo dei dati visualizzato nell'interfaccia utente.

Per aprire la visualizzazione Traffico rilevato, seleziona Traffico rilevato nella Visualizzazione dei dettagli dell'ambiente, come mostrato di seguito:

Visualizzazione Abuso.

La visualizzazione Traffico rilevato mostra i dati relativi a:

Traffico totale: il numero totale di richieste.
Traffico rilevato: il numero di richieste provenienti dagli indirizzi IP dell'abuso rilevato.
% di traffico rilevato: la percentuale di traffico rilevato che è composta da traffico totale.
Conteggio indirizzi IP rilevati: il numero di indirizzi IP distinti corrispondenti a l'abuso rilevato. Più richieste dallo stesso indirizzo IP vengono conteggiate una sola volta.

La vista Traffico rilevato mostra anche una tabella con i dettagli di ciascun indirizzo IP corrispondente all'abuso rilevato. Tieni presente che, per impostazione predefinita, gli indirizzi IP non vengono visualizzati per motivi di privacy. Per visualizzarli, seleziona Mostra tutti gli indirizzi IP nella parte superiore della tabella.

Ogni riga della tabella degli indirizzi IP mostra:

Indirizzo IP: indirizzo IP dell'abuso rilevato. Fai clic su Visualizza per visualizzare l'indirizzo.
Posizione: la posizione dell'indirizzo IP.
Chiave dell'app principale: la chiave dell'app utilizzata più spesso nelle richieste dall'indirizzo IP. Nota: chiave dell'app è un altro termine per indicare la chiave API.
Regole di rilevamento: un elenco di tutte rilevamento di Google Cloud che sono state attivate dall'abuso.
URL principale: l'URL che ha ricevuto il maggior numero di richieste dall'indirizzo IP.
Traffico rilevato: il numero di richieste dall'indirizzo IP.
% di traffico rilevato: la percentuale di richieste dall'indirizzo IP su tutte le richieste. nell'ambiente.
Primo evento rilevato: la prima volta che è stato rilevato un evento in una richiesta dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.
Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento in una richiesta dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.

Limitazioni al rilevamento di comportamenti illeciti

Il rilevamento di abusi presenta i seguenti limiti.

Gli incidenti il cui ultimo evento rilevato risale a più di 14 giorni fa non vengono visualizzati nell'UI del rilevamento di abusi. Per ulteriori informazioni sugli incidenti e sui dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative a incidenti e dati visualizzati.
Quando attivi per la prima volta o riattivi l'API avanzata per un'organizzazione, si verificherà un ritardo durante il raggruppamento degli eventi in incidenti. Dopodiché, ci saranno ritardi periodici.
Il caricamento della pagina dell'attributo Dettagli incidenti può richiedere un breve tempo per le organizzazioni con un volume elevato di traffico.