Rilevamento di comportamenti illeciti

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Il rilevamento degli abusi di Advanced API Security ti consente di visualizzare gli incidenti di sicurezza che interessano le tue API. Un incidente di sicurezza è un gruppo di eventi con schemi simili che potrebbero rappresentare una minaccia per la sicurezza. Advanced API Security utilizza modelli di machine learning per rilevare pattern che sono segno di attività dannose, tra cui anomalie e scraping delle API, nonché cluster eventi in base a pattern simili.

Quando Advanced API Security rileva un incidente di sicurezza, segnala quanto segue:

  • Il livello di rischio e la durata dell'incidente.
  • I proxy interessati dall'incidente
  • Gli indirizzi IP degli eventi di incidente
  • Le regole di rilevamento attivate dall'incidente
  • I paesi di origine dell'incidente.

e altre informazioni correlate sull'incidente.

Puoi accedere al rilevamento degli abusi tramite l'interfaccia utente di Apigee, come descritto di seguito, oppure tramite l'API Incidents o l' API Security stat

Consulta i ruoli richiesti per il rilevamento di abusi per i ruoli necessari per eseguire attività di rilevamento di abusi.

Contribuisci a migliorare i tuoi modelli di machine learning per il rilevamento di abusi

Apigee richiede il tuo aiuto per migliorare i modelli di machine learning per il rilevamento di abusi nella tua organizzazione, consentendoci di addestrare i modelli sui tuoi dati. L'addestramento dei modelli sui tuoi dati aiuta a migliorare la loro precisione nel rilevamento degli incidenti di sicurezza. L'addestramento si applica solo ai tuoi modelli e non verranno condivisi con altri clienti di Google Cloud.

Quando apri per la prima volta la pagina Rilevamento di comportamenti illeciti nell'interfaccia utente di Apigee, vedrai un banner che richiede l'autorizzazione per addestrare i modelli di sicurezza della tua organizzazione sui tuoi dati.

Per utilizzare questa funzionalità, devi abilitare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta la pagina Gestire la sicurezza delle API avanzata per le organizzazioni Subscription. Se sei un cliente con pagamento a consumo, puoi abilitare il componente aggiuntivo nei tuoi ambienti idonei. Per maggiori informazioni, consulta la pagina Gestire il componente aggiuntivo Advanced API Security.

Apri la pagina Rilevamento di comportamenti illeciti.

Per aprire la pagina Rilevamento di comportamenti illeciti:

  • Se utilizzi https://console.cloud.google.com/apigee: seleziona Sicurezza API avanzata > Rilevamento di abusi.
  • Se utilizzi l'interfaccia utente Apigee classica: seleziona Analizza > Sicurezza delle API > Rilevamento di abusi.

Viene visualizzata la pagina principale Rilevamento di comportamenti illeciti:

Pagina principale di rilevamento di abusi.

Modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning

Puoi modificare in qualsiasi momento le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning in qualsiasi momento, facendo clic su Impostazioni in alto a destra nella pagina Rilevamento di comportamenti illeciti e selezionando l'opzione per abilitare o disabilitare questa funzionalità.

Pagina principale Rilevamento di comportamenti illeciti

Nella parte superiore della pagina, puoi selezionare uno dei seguenti periodi di tempo recenti in cui visualizzare gli incidenti: le ultime 12 ore, 1 giorno, 1 settimana o 2 settimane.

La tabella nella pagina mostra gli ambienti della tua organizzazione interessati da incidenti di sicurezza durante l'intervallo di tempo selezionato.

Ogni riga della tabella mostra anche quanto segue:

  • Ambiente: l'ambiente in cui si è verificato l'abuso.
  • Incidenti totali: il numero totale di incidenti nell'ambiente durante l'intervallo di tempo selezionato. Consulta la sezione Limiti degli incidenti e dei dati visualizzati per saperne di più su quali incidenti e dati vengono visualizzati nella UI.

  • Livello di rischio: mostra il numero di incidenti a tre livelli di rischio: grave, moderato e basso. Il livello di rischio si basa sulle diverse caratteristiche di un incidente, come il numero di regole rilevate, i tipi e le dimensioni dell'incidente rispetto al traffico legittimo. Il livello di rischio ha lo scopo di aiutarti a dare la priorità agli incidenti da esaminare, in modo da poterti concentrare su quelli più critici.

    Il livello di rischio può essere uno dei seguenti:

    • Gravi:gli incidenti gravi presentano un rischio elevato. Ti consigliamo di dare la priorità a esaminarli.
    • Moderato: gli incidenti di livello moderato presentano un certo rischio, ma sono inferiori rispetto a quelli con rischi gravi; ti consigliamo di dare la priorità agli incidenti a basso rischio.
    • Basso: gli incidenti a basso rischio possono essere esaminati per ultimi, dopo aver esaminato gli incidenti a rischio più elevato.

    Il numero accanto a ogni livello di rischio indica il numero di incidenti in quel livello di rischio.

Dettagli ambiente

Per visualizzare gli incidenti in un ambiente per l'intervallo di tempo selezionato, seleziona l'ambiente nella tabella riportata sopra. Viene visualizzata la visualizzazione Dettagli ambiente:

Visualizzazione degli incidenti.

Se noti un incidente o del traffico rilevato e vuoi creare un' azione di sicurezza per bloccare o segnalare le richieste relative all'incidente o al traffico rilevato, fai clic su Crea azione di sicurezza nella parte superiore della pagina. Viene visualizzata la pagina Azioni di sicurezza.

La visualizzazione Dettagli ambiente ha due schede:

  • Incidenti: mostra un elenco degli incidenti nell'ambiente e le relative informazioni.
  • Traffico rilevato: mostra i dettagli del traffico di comportamenti illeciti rilevati relativo ai incidenti.

Incidenti

La scheda Incidenti della visualizzazione Dettagli ambiente, mostrata sopra, mostra le seguenti opzioni:

  • Ambiente: modifica l'ambiente in cui visualizzare gli incidenti.
  • Proxy: puoi selezionare Tutti per visualizzare gli incidenti per tutti i proxy oppure un singolo proxy per visualizzare solo gli incidenti per il proxy selezionato.
  • Includi incidenti archiviati: se questa opzione è selezionata, l'elenco degli incidenti mostra gli incidenti archiviati. Gli incidenti archiviati sono visualizzati con un'icona accanto: Icona Archiviati.

    Per nascondere gli incidenti archiviati dall'elenco, deseleziona Includi incidenti archiviati. Potrebbe essere opportuno nascondere gli incidenti archiviati se sono visualizzati molti incidenti e non vuoi visualizzarli tutti oppure se vuoi nascondere gli incidenti che hai già esaminato.

La vista Incidenti mostra anche quanto segue:

  • Nome incidente: un nome generato che riassume l'incidente.
  • Livello di rischio: il livello di rischio dell'incidente.

  • Regole di rilevamento: un elenco di regole di rilevamento attivate dall'incidente.

  • Traffico incidente: il numero totale di eventi: chiamate API codificate da una delle regole di rilevamento correlate all'incidente.
  • Primo evento rilevato: la data e l'ora in cui è stato rilevato il primo evento nell'incidente.
  • Ultimo evento rilevato: la data e l'ora in cui è stato rilevato l'ultimo evento nell'incidente.
  • Durata: la durata dell'incidente, dal primo all'ultimo evento.
  • UUID: l'identificatore univoco universale dell'incidente.

Dettagli incidente

Per visualizzare i dettagli di un incidente, fai clic sul nome corrispondente nella tabella. Viene visualizzato il riquadro Panoramica della visualizzazione Dettagli incidente, come mostrato di seguito:

Visualizzazione dei dettagli dell'incidente.

Nella visualizzazione Dettagli ambiente, puoi fare clic su Crea azione di sicurezza nella parte superiore della pagina per creare un' azione di sicurezza in risposta all'incidente.

La visualizzazione Dettagli incidente contiene due schede, Panoramica e Attributi. Gli attributi, anche noti come dimensioni, sono raggruppamenti di dati che consentono di visualizzare l'incidente in modi diversi. Ad esempio, l'attributo prodotti API consente di visualizzare i dati sugli incidenti per prodotto API.

Le schede Panoramica e Attributi sono descritte di seguito.

Archivia incidenti

Per distinguere gli incidenti che hai già esaminato da quelli che non hai ancora, puoi archiviare gli incidenti che non richiedono più la tua attenzione. Quando archivi un incidente, lo nasconde dall'elenco Dettagli ambiente > Incidenti (a condizione che l'opzione Includi incidenti archiviati non sia selezionata). L'archiviazione non elimina un incidente: se cambi idea, puoi sempre annullarne l'archiviazione.

Per archiviare un incidente, seleziona Archivia nella parte superiore della visualizzazione Dettagli incidente. Una volta eseguita questa operazione, l'etichetta del pulsante Archivia diventa Annulla archiviazione. Pulsante Annulla archiviazione.

Annulla archiviazione incidenti

Per annullare l'archiviazione di un incidente archiviato:

  1. Nella visualizzazione Dettagli ambiente > Incidenti, fai clic sull'icona accanto all'incidente di cui vuoi annullare l'archiviazione: Icona Archiviati.
  2. Nella parte superiore dell'elenco degli incidenti, fai clic su Rimuovi dall'archivio.

In alternativa, se ti trovi nella visualizzazione Dettagli incidente dell'incidente, fai clic su Rimuovi dall'archivio.

Schede Panoramica e Attributi

Panoramica

Il riquadro Panoramica mostra informazioni di base sull'incidente, tra cui:

  • Nome incidente: il nome dell'incidente.
  • Livello di rischio: il livello di rischio dell'incidente.
  • Proxy interessati: il numero di proxy interessati dall'incidente. Fai clic su Visualizza proxy per visualizzare i proxy interessati.
  • Durata: la durata dell'incidente, dal primo all'ultimo evento.
  • Eventi: mostra un grafico delle serie temporali degli eventi relativi all'incidente. Per ogni punto temporale nel grafico, il valore y corrispondente è il numero totale di eventi in un breve periodo di tempo all'interno di quel periodo. Se passi il cursore su un punto del grafico, sotto Valore viene visualizzato il numero di eventi nel periodo di tempo più recente. Puoi vedere i valori in cui cambiano i periodi di tempo spostando il cursore a sinistra o a destra e osservando i punti in cui cambiano.

    Il riquadro Eventi mostra anche le seguenti informazioni sugli eventi:

    • Primo evento rilevato: la data e l'ora in cui è stato rilevato il primo evento nell'incidente.
    • Ultimo evento rilevato: la data e l'ora in cui è stato rilevato l'ultimo evento nell'incidente.
    • Traffico totale incidenti: il numero totale di eventi correlati all'incidente.

    Per visualizzare gli indirizzi IP relativi all'incidente, fai clic su Visualizza tutti gli indirizzi IP.

    Nota: vengono visualizzati indirizzi IP univoci, anche se più incidenti corrispondono allo stesso indirizzo IP.
  • Principali regole rilevate: mostra fino a cinque dei principali gruppi di regole rilevate, incluse le seguenti informazioni:
    • Regole dominanti: le regole di rilevamento più significative attivate dall'incidente.
    • Eventi API delle regole dominanti: il numero di eventi API taggati dalle regole dominanti.
    • Regole totali rilevate: il numero di regole di rilevamento che sono state attivate dall'incidente.

    Per visualizzare tutte le regole, fai clic su Visualizza tutte le regole nella parte inferiore della scheda.

  • Paesi principali rilevati: una mappa che mostra i paesi che sono stati fonti degli eventi nell'incidente. Sotto la mappa è presente un grafico che mostra fino a cinque di questi paesi e la percentuale del traffico totale proveniente da questi paesi.

    Nota: se non è possibile determinare il paese di origine degli eventi, sulla mappa viene visualizzato il valore not set.

    Per visualizzare tutti i paesi, fai clic su Visualizza tutti i paesi nella parte inferiore della scheda.

Attributi

La vista Attributi consente di visualizzare in dettaglio i dettagli di un incidente. Gli attributi, anche noti come dimensioni, sono raggruppamenti di dati che consentono di visualizzare l'incidente in modi diversi. Ad esempio, l'attributo prodotti API consente di visualizzare i dati sugli incidenti per prodotto API.

Per visualizzare gli Attributi, seleziona Attributi nella parte superiore della visualizzazione Dettagli incidente.

Riquadro degli attributi con prodotti basati su API selezionati.

Nel riquadro a sinistra vengono visualizzati tutti gli attributi e il numero di valori distinti per ogni attributo. Puoi selezionare un attributo per visualizzare i dettagli dell'incidente.

L'immagine sopra mostra la visualizzazione Attributi con l'opzione Prodotti API selezionata. Il riquadro Prodotti API mostra i grafici della percentuale di chiamate API effettuate per ciascun prodotto API. Consulta Che cosa significa quando un attributo ha il valore (not set) per informazioni sul valore (not set).

Il campo Filtro ti consente di filtrare i dati visualizzati nel riquadro per un attributo in base a varie proprietà.

In generale, il riquadro di un attributo mostra una tabella che mostra i dati sugli incidenti in base ai valori dell'attributo. Le colonne della tabella includono:

  • Chiamate totali effettuate: numero totale di chiamate API.
  • % di chiamate: percentuale di tutte le chiamate per ogni valore dell'attributo.
  • Ora ultimo rilevamento: l'ultima volta che è stato rilevato un evento correlato all'incidente.

Per alcuni attributi, la tabella contiene colonne aggiuntive.

Nel riquadro a sinistra puoi scegliere tra i seguenti attributi:

  • Prodotti API: visualizza i dettagli dell'incidente per prodotto API.
  • Chiavi app: visualizza i dettagli dell'incidente in base alla chiave app, nota anche come chiave API o chiave utente, e un identificatore del client.
  • Paesi/regioni: visualizza i dettagli dell'incidente in base ai paesi e alle regioni in cui hanno avuto origine gli eventi.
  • Sviluppatori: visualizza i dettagli dell'incidente da parte degli sviluppatori, ovvero le persone che utilizzano le tue API per sviluppare applicazioni. Oltre alle tre colonne descritte sopra, Sviluppatori ha anche una colonna denominata App, che indica il numero di applicazioni per ogni sviluppatore.
  • App per sviluppatori: visualizza i dettagli dell'incidente per applicazione.

    Oltre alle tre colonne descritte sopra, App sviluppatore contiene anche la colonna Sviluppatori, che indica le persone che hanno creato le app.

  • Indirizzi IP: visualizza i dettagli dell'incidente in base agli indirizzi IP che sono le fonti degli eventi nell'incidente. Fai clic su Visualizza tutti gli indirizzi IP per visualizzare gli indirizzi IP. Nota: il riquadro Indirizzi IP mostra gli indirizzi IP univoci, anche se più incidenti corrispondono allo stesso indirizzo IP.

    In Indirizzi IP vengono visualizzate le seguenti colonne:

    • Indirizzo IP: l'indirizzo IP dell'incidente.
    • Posizione: località dell'indirizzo IP.
    • Traffico rilevato: numero totale di richieste provenienti dall'indirizzo IP.
    • % di chiamate: percentuale di richieste provenienti dall'indirizzo IP rispetto a tutte le chiamate nell'ambiente.
    • Primo evento rilevato: la prima volta che viene rilevato un evento nell'incidente.
    • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento nell'incidente.
  • proxy: visualizza i dettagli dell'incidente tramite il proxy.
  • Codici di risposta: visualizza i dettagli dell'incidente per codice di risposta.
  • Regole: visualizza i dettagli degli incidenti in base alle regole di rilevamento.
  • User agent: visualizza i dettagli dell'incidente per user agent, l'agente software che ha effettuato la chiamata API.

Che cosa significa quando un attributo ha il valore (not set)?

A volte, un attributo ha il valore (not set). Ciò potrebbe verificarsi per diversi motivi. Per prima cosa, Apigee potrebbe non avere informazioni sufficienti per determinare il valore dell'attributo, ad esempio il paese di origine di una chiamata API. Oppure, l'attributo potrebbe non essere applicabile in un caso particolare. Per saperne di più, consulta Cosa significa il valore dell'entità di analisi "(not set)"?.

Traffico rilevato

La visualizzazione Traffico rilevato mostra informazioni sugli incidenti il cui Ultimo evento rilevato risale agli ultimi 14 giorni. Per saperne di più sull'intervallo di tempo dei dati visualizzati nella UI, consulta Limiti relativi a incidenti e dati visualizzati.

Per aprire la visualizzazione Traffico rilevato, seleziona Traffico rilevato nella visualizzazione Dettagli ambiente, come mostrato di seguito:

Visualizzazione abuso.

La vista Traffico rilevato mostra i dati relativi a:

  • Traffico totale: il numero totale di richieste.
  • Traffico rilevato: il numero di richieste da parte degli indirizzi IP di abuso rilevato.
  • % di traffico rilevato: la percentuale di traffico rilevato rappresenta il traffico totale.
  • Conteggio indirizzi IP rilevato: il numero di indirizzi IP distinti corrispondenti all'abuso rilevato. Più richieste provenienti dallo stesso indirizzo IP vengono conteggiate una sola volta.

La visualizzazione Traffico rilevato mostra anche una tabella che elenca i dettagli di ciascun indirizzo IP corrispondente all'abuso rilevato. Tieni presente che per impostazione predefinita gli indirizzi IP non vengono visualizzati per motivi di privacy. Per visualizzarli, seleziona Mostra tutti gli indirizzi IP nella parte superiore della tabella.

In ogni riga della tabella degli indirizzi IP sono visualizzati:

  • Indirizzo IP: l'indirizzo IP dell'abuso rilevato. Fai clic su Visualizza per vedere l'indirizzo.
  • Posizione: la località dell'indirizzo IP.
  • Chiave app principale: la chiave dell'app utilizzata più di frequente nelle richieste provenienti dall'indirizzo IP. Nota: chiave dell'app è un altro termine per indicare la chiave API.
  • Regole di rilevamento: un elenco di tutte le regole di rilevamento attivate dall'abuso.
  • URL principale: l'URL che ha ricevuto il maggior numero di richieste dall'indirizzo IP.
  • Traffico rilevato: il numero di richieste provenienti dall'indirizzo IP.
  • % di traffico rilevato: la percentuale di richieste provenienti dall'indirizzo IP rispetto a tutte le richieste nell'ambiente.
  • Primo evento rilevato: la prima volta che viene rilevato un evento in una richiesta proveniente dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.
  • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento in una richiesta proveniente dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.

Limitazioni relative al rilevamento di abusi

Il rilevamento di abusi presenta le seguenti limitazioni.

  • Gli incidenti il cui Ultimo evento rilevato risale a più di 14 giorni prima non vengono visualizzati nell'interfaccia utente Rilevamento di abusi. Consulta la sezione Limiti relativi a incidenti e dati visualizzati per ulteriori informazioni su quali incidenti e dati vengono visualizzati nella UI.
  • Quando abiliti l'API Advanced per un'organizzazione o la riattivi per la prima volta, si verificherà un ritardo mentre gli eventi vengono raggruppati in incidenti. Dopodiché, si verificheranno ritardi periodici.
  • Il caricamento della pagina dell'attributo Dettagli incidente può richiedere un po' di tempo per le organizzazioni con una grande quantità di traffico.