Rilevamento di comportamenti illeciti

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Il rilevamento di abusi di Advanced API Security ti consente di visualizzare gli incidenti di sicurezza che coinvolgono le tue API. Un incidente di sicurezza è un gruppo di eventi con schemi simili che potrebbe rappresentare una minaccia alla sicurezza. Advanced API Security utilizza modelli di machine learning per rilevare pattern che indicano attività dannose, tra cui scraping e anomalie delle API, e raggruppa gli eventi in base a pattern simili.

Quando Advanced API Security rileva un incidente di sicurezza, segnala quanto segue:

  • Il livello di rischio e la durata dell'incidente
  • I proxy interessati dall'incidente
  • Gli indirizzi IP degli eventi relativi agli incidenti
  • Le regole di rilevamento attivate dall'incidente
  • I paesi di origine dell'incidente

e altre informazioni correlate all'incidente.

Puoi accedere al rilevamento degli abusi tramite l'interfaccia utente di Apigee, come descritto di seguito, o tramite l'API Incidents o l' API Statistiche sulla sicurezza

Consulta la sezione Ruoli richiesti per il rilevamento di abusi per conoscere i ruoli necessari per eseguire le attività di rilevamento di abusi.

Contribuire a migliorare i modelli di machine learning per il rilevamento di abusi

Apigee ti chiede di aiutarci a migliorare i modelli di machine learning per il rilevamento di abusi nella tua organizzazione, consentendoci di addestrare i modelli sui tuoi dati. L'addestramento dei modelli su i tuoi dati contribuisce a migliorarne l'accuratezza per il rilevamento di incidenti di sicurezza. L'addestramento verrà applicato solo ai tuoi modelli, che non verranno condivisi con altri clienti Google Cloud.

Quando apri per la prima volta la pagina Rilevamento abusi nell'interfaccia utente di Apigee, viene visualizzato un banner che richiede la tua autorizzazione per addestrare i modelli di sicurezza della tua organizzazione sui tuoi dati.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza avanzata dell'API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per saperne di più, vedi Gestire il componente Advanced API Security avanzata.

Apri la pagina Rilevamento di comportamenti illeciti.

Per aprire la pagina Rilevamento di comportamenti illeciti:

Viene visualizzata la pagina principale Rilevamento di comportamenti illeciti:

Pagina principale del rilevamento di comportamenti illeciti.

Modificare le autorizzazioni per consentire ad Apigee di migliorare i modelli di machine learning

Puoi modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning in qualsiasi momento, facendo clic su Impostazioni in alto a destra nella pagina Rilevamento abusi e selezionando l'opzione per attivare o disattivare questa funzionalità.

Pagina principale del rilevamento di comportamenti illeciti

Nella parte superiore della pagina, puoi selezionare uno dei seguenti periodi di tempo recenti in cui visualizzare gli incidenti: le ultime 12 ore, 1 giorno, 1 settimana o 2 settimane.

La tabella nella pagina mostra gli ambienti della tua organizzazione interessati da incidenti di sicurezza durante l'intervallo di tempo selezionato.

Ogni riga della tabella mostra anche quanto segue:

  • Ambiente: l'ambiente in cui si è verificato l'abuso.
  • Totale incidenti: il numero totale di incidenti nell'ambiente durante l'intervallo di tempo selezionato. Per ulteriori informazioni sugli incidenti e sui dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative agli incidenti e ai dati visualizzati.
  • Livello di rischio: mostra il numero di incidenti in tre livelli di rischio: grave, moderato e basso. Il livello di rischio si basa su diverse caratteristiche di un incidente, ad esempio il numero di regole rilevate, i relativi tipi e le dimensioni relative dell'incidente rispetto al traffico legittimo. Il livello di rischio è progettato per aiutarti a stabilire la priorità degli incidenti da esaminare, in modo da concentrarti su quelli più critici.

    Livello di rischio può essere uno dei seguenti:

    • Grave: gli incidenti gravi presentano un rischio elevato. Ti consigliamo di dare la priorità alla loro indagine.
    • Moderati: gli incidenti moderati presentano un certo rischio, ma minore rispetto a quelli con rischio elevato. Ti consigliamo di dare loro la priorità rispetto agli incidenti a basso rischio.
    • Basso: gli incidenti a basso rischio possono essere esaminati per ultimi, dopo aver esaminato quelli ad alto rischio.

    Il numero accanto a ogni livello di rischio indica il numero di incidenti a quel livello di rischio.

Dettagli ambiente

Per visualizzare gli incidenti in un ambiente per l'intervallo di tempo selezionato, seleziona l'ambiente nella tabella sopra indicata. Viene visualizzata la visualizzazione Dettagli ambiente:

Visualizzazione Incidenti.

Se vedi un incidente o un traffico rilevato e vuoi creare un' azione di sicurezza per bloccare o segnalare le richieste correlate all'incidente o al traffico rilevato, fai clic su Crea azione di sicurezza nella parte superiore della pagina. Viene visualizzata la pagina Azioni di sicurezza.

La visualizzazione Dettagli ambiente contiene due schede:

  • Incidenti: mostra un elenco di incidenti nell'ambiente e informazioni su di essi.
  • Traffico rilevato: mostra i dettagli del traffico correlato a comportamenti illeciti rilevati relativi agli incidenti.

Incidenti

La scheda Incidenti della visualizzazione Dettagli ambiente, mostrata sopra, mostra le seguenti opzioni:

  • Ambiente: modifica l'ambiente in cui visualizzare gli incidenti.
  • Proxy: puoi utilizzare Seleziona tutto per visualizzare gli incidenti per tutti i proxy oppure selezionare uno o più proxy singoli per visualizzare gli incidenti solo per i proxy selezionati.
  • Includi incidenti archiviati: se questa opzione è selezionata, nell'elenco degli incidenti vengono visualizzati gli incidenti archiviati. Gli incidenti archiviati sono visualizzati con un'icona accanto: Icona archiviata.

    Per nascondere gli incidenti archiviati dall'elenco, deseleziona Includi incidenti archiviati. Potresti voler nascondere gli incidenti archiviati se sono visualizzati molti incidenti e non vuoi visualizzarli tutti o se vuoi nascondere gli incidenti che hai già esaminato.

La visualizzazione Incidenti mostra anche quanto segue:

  • Nome dell'incidente: un nome generato che riassume l'incidente.
  • Livello di rischio: il livello di rischio dell'incidente.
  • Regole di rilevamento principali: un elenco delle principali regole di rilevamento attivate dall'incidente.

  • Traffico degli incidenti: il numero totale di eventi: chiamate API contrassegnate da una delle regole di rilevamento relative all'incidente.
  • Primo evento rilevato: la data e l'ora in cui è stato rilevato il primo evento nell'incidente.
  • Ultimo evento rilevato: la data e l'ora in cui è stato rilevato l'ultimo evento nell'incidente.
  • Durata: la durata dell'incidente, dal primo all'ultimo evento.
  • UUID: l'identificatore univoco universale dell'incidente.

Dettagli incidente

Per visualizzare i dettagli di un incidente, fai clic sul relativo nome nella tabella. Viene visualizzato il riquadro Panoramica della visualizzazione Dettagli incidente, come mostrato di seguito:

Visualizzazione dei dettagli dell'incidente

Come nella visualizzazione Dettagli ambiente, puoi fare clic su Crea azione di sicurezza nella parte superiore della pagina per creare un' azione di sicurezza in risposta all'incidente.

La visualizzazione Dettagli incidente contiene due schede: Panoramica e Attributi. Gli attributi, noti anche come dimensioni, sono raggruppamenti di dati che ti consentono di visualizzare l'incidente in modi diversi. Ad esempio, l'attributo Prodotti API ti consente di visualizzare i dati sugli incidenti per prodotto API.

Le schede Panoramica e Attributi sono descritte di seguito.

Archivia gli incidenti

Per aiutarti a distinguere gli incidenti che hai già esaminato da quelli che non hai esaminato, puoi archiviare quelli che non richiedono più la tua attenzione. L'archiviazione di un incidente lo nasconde dall'elenco Dettagli ambiente > Incidenti (a condizione che non sia selezionata l'opzione Includi incidenti archiviati). L'archiviazione non comporta l'eliminazione di un incidente: puoi sempre annullarla se cambi idea.

Per archiviare un incidente, seleziona Archivia nella parte superiore della visualizzazione Dettagli incidente. A questo punto, l'etichetta del pulsante Archivia diventa Annulla archiviazione. Pulsante Annulla archiviazione.

Annullare l'archiviazione degli incidenti

Per annullare l'archiviazione di un incidente archiviato:

  1. Nella visualizzazione Dettagli ambiente > Incidenti, fai clic sull'icona accanto all'incidente di cui vuoi annullare l'archiviazione: Icona archiviata.
  2. Nella parte superiore dell'elenco degli incidenti, fai clic su Rimuovi dall'archivio.

In alternativa, se ti trovi nella visualizzazione Dettagli incidente per l'incidente, fai clic su Elimina dall'archivio.

Schede Panoramica e Attributi

Panoramica

Il riquadro Panoramica mostra informazioni di base sull'incidente, tra cui:

  • Nome incidente: il nome dell'incidente.
  • Livello di rischio: il livello di rischio dell'incidente.
  • Proxy interessati: il numero di proxy interessati dall'incidente. Fai clic su Visualizza proxy per visualizzare i proxy interessati.
  • Durata: la durata dell'incidente, dal primo all'ultimo evento. Mostra anche la data e l'ora in cui l'evento è stato rilevato per la prima volta.
  • Indirizzi IP: il numero di indirizzi IP univoci rilevati per questo incidente. Fai clic su Visualizza indirizzi IP per visualizzare ulteriori informazioni sugli indirizzi IP.
  • Approfondimenti: i dettagli degli incidenti relativi al rilevamento di abusi potrebbero includere approfondimenti sull'AI generativa creati utilizzando modelli linguistici di grandi dimensioni (LLM) di AI generativa di Google Cloud. L'LLM riassume il traffico rilevato per incidente per aiutarti a comprendere meglio l'incidente di sicurezza, fornisce contesto e informazioni aggiuntive sull'incidente, link alla documentazione di supporto e consiglia i passaggi successivi. Fornisci il tuo feedback facendo clic sull'icona Mi piace o Non mi piace e fornendo una spiegazione facoltativa.

    I riepiloghi e i consigli degli approfondimenti si basano sui dati degli ultimi 14 giorni, anche se l'incidente è iniziato più di 14 giorni fa.
    Queste informazioni sull'IA generativa sono incluse automaticamente nel rilevamento degli abusi se il progetto e il tuo account utente sono configurati per utilizzare l'API Cloud AI Companion. Consulta Abilitare l'API Cloud AI Companion in un progetto Google Cloud e Concedere i ruoli IAM in un progetto Google Cloud.

    Per disattivare gli approfondimenti sull'IA generativa, disattiva l'API Cloud AI Companion per questo progetto seguendo le istruzioni riportate in Disattivazione dei servizi.
  • Eventi: mostra un grafico delle serie temporali degli eventi nell'incidente. Per ogni punto di tempo nel grafico, il valore y corrispondente è il numero totale di eventi in un breve periodo di tempo intorno a quel momento. Se passi il cursore sopra un punto del grafico, il numero di eventi nel periodo di tempo più recente viene visualizzato sotto Valore. Puoi vedere i valori in cui cambiano i periodi di tempo muovendo il cursore verso sinistra o verso destra e osservando dove cambiano i valori.

    Il riquadro Eventi mostra anche i conteggi totali del traffico dell'ambiente e degli incidenti.

  • Regole principali rilevate: vengono visualizzati fino a cinque dei principali gruppi di regole rilevati, incluse le seguenti informazioni:
    • Regole dominanti: le regole di rilevamento più significative attivate dall'incidente.
    • Eventi API delle regole dominanti: il numero di eventi API contrassegnati dalle regole dominanti.
    • Regole totali rilevate: il numero di regole di rilevamento attivate dall'incidente.

    Per visualizzare tutte le regole, fai clic su Visualizza tutte le regole nella parte inferiore della scheda.

  • Paesi principali rilevati: una mappa che mostra i paesi che sono stati sorgenti di eventi nell'incidente. Sotto la mappa è presente un grafico che mostra fino a cinque di questi paesi e la percentuale del traffico totale proveniente da questi paesi.

    Nota: se non è possibile determinare il paese di origine degli eventi, sulla mappa viene visualizzato not set.

    Per visualizzare tutti i paesi, fai clic su Visualizza tutti i paesi nella parte inferiore della scheda.

  • Indirizzi IP: visualizza i dettagli dell'incidente in base agli indirizzi IP di origine per gli eventi nell'incidente. Seleziona Mostra tutti gli indirizzi IP per visualizzare tutti gli indirizzi IP nell'elenco. Per scaricare un file CSV contenente gli indirizzi IP del traffico rilevato, fai clic su Scarica file CSV. Nota: il riquadro Indirizzi IP mostra indirizzi IP univoci, anche se più incidenti corrispondono allo stesso indirizzo IP.

    Indirizzi IP mostra le seguenti colonne:

    • Indirizzo IP: l'indirizzo IP dell'incidente. Fai clic su Visualizza se l'indirizzo IP non è visibile. Una volta visualizzato l'indirizzo IP, fai clic su di esso per visualizzare le regole rilevate, le date di rilevamento iniziale e finale, il traffico e gli attributi per gli incidenti rilevati con l'indirizzo IP.
    • Posizione: posizione dell'indirizzo IP.
    • Traffico rilevato: numero totale di richieste dall'indirizzo IP.
    • % di chiamate: percentuale di richieste dall'indirizzo IP rispetto a tutte le chiamate nell'ambiente.
    • Primo evento rilevato: la prima volta che è stato rilevato un evento nell'incidente.
    • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento nell'incidente.

Attributi

La visualizzazione Attributi ti consente di visualizzare i dettagli di un incidente. Gli attributi, noti anche come dimensioni, sono raggruppamenti di dati che ti consentono di visualizzare l'incidente in diversi modi. Ad esempio, l'attributo Prodotti API ti consente di visualizzare i dati sugli incidenti per prodotto API.

Per visualizzare gli Attributi, seleziona Attributi nella parte superiore della visualizzazione Dettagli incidente.

Riquadro degli attributi con i prodotti API selezionati.

Il riquadro sinistro mostra tutti gli attributi e il numero di valori distinti per ciascun attributo. Puoi selezionare un attributo per visualizzarne i dettagli dell'incidente.

L'immagine sopra mostra la visualizzazione Attributi con Paesi/regioni selezionato. Il riquadro Paesi/regioni mostra i grafici della percentuale di chiamate API effettuate per ogni regione.

Se vedi (not set) per uno o più valori, consulta Che cosa significa quando un attributo ha il valore (not set).

Il campo Filtro consente di filtrare i dati visualizzati nel riquadro per un attributo in base a varie proprietà.

In genere, il riquadro di un attributo mostra una tabella che indica i dati sugli incidenti in base ai valori dell'attributo. Le colonne della tabella includono:

  • Totale chiamate effettuate: numero totale di chiamate API.
  • % di chiamate: percentuale di tutte le chiamate per ogni valore dell'attributo.
  • Data/ora dell'ultimo rilevamento: l'ultima volta che è stato rilevato un evento relativo all'incidente.

Per alcuni attributi, la tabella contiene colonne aggiuntive.

Nel riquadro a sinistra puoi selezionare uno dei seguenti attributi:

  • Prodotti API: visualizza i dettagli dell'incidente per prodotto API.
  • Chiavi app: visualizza i dettagli dell'incidente in base alla chiave app, nota anche come chiave API o chiave utente, un identificatore per il client.
  • Paesi/regioni: visualizza i dettagli dell'incidente in base ai paesi e alle regioni in cui si sono verificati gli eventi.
  • Sviluppatori: visualizza i dettagli degli incidenti per sviluppatori, ovvero le persone che sviluppano le app. Sviluppatori include una colonna etichettata App, che elenca le applicazioni per ogni sviluppatore. Quando il proprietario dell'app è un AppGroup anziché uno sviluppatore, la colonna Sviluppatore mostra (not set) e la colonna App mostra le app di AppGroup.
  • App per sviluppatori: visualizza i dettagli degli incidenti per applicazione. La colonna Sviluppatore elenca gli sviluppatori di ogni app. Quando l'app è di proprietà di un AppGroup, la colonna App sviluppatore mostra le app dell'AppGroup e la colonna Sviluppatore mostra (not set).
  • Proxy: visualizza i dettagli degli incidenti per proxy.
  • Codici di risposta: visualizza i dettagli dell'incidente in base al codice di risposta.
  • Regole: visualizza i dettagli degli incidenti in base alle regole di rilevamento.
  • Agenti utente: visualizza i dettagli dell'incidente in base all'agente utente, ovvero l'agente software che ha effettuato la chiamata API.

Che cosa significa quando un attributo ha il valore (not set)?

A volte, un attributo ha il valore (not set). Esistono diversi motivi per cui ciò potrebbe verificarsi. Ad esempio, Apigee potrebbe non disporre di informazioni sufficienti per determinare il valore dell'attributo, ad esempio il paese di origine di una chiamata API. In alternativa, l'attributo potrebbe non essere applicato in un caso specifico. Per saperne di più, consulta Che cosa indica un valore dell'entità di analisi "(not set)"?

Traffico rilevato

La visualizzazione Traffico rilevato mostra informazioni sugli incidenti il cui ultimo evento rilevato risale agli ultimi 14 giorni. Per ulteriori informazioni sull'intervallo di tempo dei dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative a incidenti e dati visualizzati.

Per aprire la visualizzazione Traffico rilevato, seleziona Traffico rilevato nella visualizzazione Dettagli ambiente, come mostrato di seguito:

Visualizzazione Abuso.

La visualizzazione Traffico rilevato mostra i dati relativi a:

  • Traffico totale: il numero totale di richieste.
  • Traffico rilevato: il numero di richieste provenienti da indirizzi IP di abusi rilevati.
  • % del traffico rilevato: la percentuale di traffico rilevato rispetto al traffico totale.
  • Numero di indirizzi IP rilevati: il numero di indirizzi IP diversi corrispondenti all'abuso rilevato. Più richieste dallo stesso indirizzo IP vengono conteggiate una sola volta.

La vista Traffico rilevato mostra anche una tabella con i dettagli di ciascun indirizzo IP corrispondente all'abuso rilevato. Tieni presente che per impostazione predefinita, gli indirizzi IP non vengono visualizzati per motivi di privacy. Per visualizzarli, seleziona Mostra tutti gli indirizzi IP nella parte superiore della tabella.

Ogni riga della tabella degli indirizzi IP mostra:

  • Indirizzo IP: indirizzo IP dell'abuso rilevato. Fai clic su Visualizza per visualizzare l'indirizzo.
  • Posizione: la posizione dell'indirizzo IP.
  • Chiave app principale: la chiave app utilizzata più di frequente nelle richieste dall'indirizzo IP. Nota: la chiave dell'app è un altro termine per chiave API.
  • Regole di rilevamento: un elenco di tutte le regole di rilevamento attivate dall'abuso.
  • URL principale: l'URL che ha ricevuto il maggior numero di richieste dall'indirizzo IP.
  • Traffico rilevato: il numero di richieste dall'indirizzo IP.
  • % del traffico rilevato: la percentuale di richieste dall'indirizzo IP rispetto a tutte le richieste nell'ambiente.
  • Primo evento rilevato: la prima volta che è stato rilevato un evento in una richiesta dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.
  • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento in una richiesta dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.

Limitazioni al rilevamento di comportamenti illeciti

Il rilevamento di abusi presenta le seguenti limitazioni.

  • Gli incidenti il cui ultimo evento rilevato risale a più di 14 giorni fa non vengono visualizzati nell'interfaccia utente del rilevamento degli abusi. Per ulteriori informazioni sugli incidenti e sui dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative a incidenti e dati visualizzati.
  • Quando attivi per la prima volta o riattivi l'API avanzata per un'organizzazione, si verificherà un ritardo durante il raggruppamento degli eventi in incidenti. Dopodiché, ci saranno ritardi periodici.
  • Il caricamento della pagina dell'attributo Dettagli incidenti può richiedere un breve tempo per le organizzazioni con un volume elevato di traffico.