滥用行为检测

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

Advanced API Security 的滥用行为检测工具使您可以查看涉及 API 的安全事件。安全事件是一组具有类似模式、可能表示 API 安全威胁的事件。Advanced API Security 使用机器学习模型检测代表恶意活动迹象的模式(包括 API 爬取和异常),并根据类似模式将事件聚类。

Advanced API Security 检测到安全突发事件时,会报告以下内容:

  • 突发事件的风险级别和持续时间
  • 受突发事件影响的代理
  • 突发事件的 IP 地址
  • 由突发事件触发的检测规则
  • 突发事件的来源国家/地区

以及有关突发事件的其他相关信息。

您可以通过 Apigee 界面(如下所述)或通过 Incidents APISecurity Stats API 访问滥用行为检测

如需了解执行滥用行为检测任务所需的角色,请参阅滥用行为检测所需的角色

帮助改进机器学习模型以进行滥用行为检测

Apigee 请求您帮助我们根据您的数据训练机器学习模型,从而改进机器学习模型以在组织中进行滥用行为检测。根据您的数据训练模型有助于提高其检测安全突发事件的准确性。训练仅适用于您的模型,不会与任何其他 Google Cloud 客户共享。

首次在 Apigee 界面中打开滥用行为检测页面时,您会看到一个横幅,请求您授权根据您的数据训练组织的安全模型。

如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件

打开滥用行为检测页面

如要打开滥用行为检测页面,请执行以下操作:

此时将显示滥用行为检测页面:

滥用行为检测主页。

更改权限以允许 Apigee 改进机器学习模型

您可以随时更改权限来允许 Apigee 改进机器学习模型,方法是点击滥用行为检测页面右上角的设置,然后选择启用或停用此功能的选项。

滥用行为检测主页

在页面的顶部,您可以选择以下某个最近的时间段,以查看该时间段内的事件:过去 12 小时1 天1 周2 周

页面中的表显示了所选时间段内组织中受安全事件影响的环境。

表的每一行还会显示以下信息:

  • 环境:发生滥用行为的环境。
  • 事件总数:所选时间段内环境中的事件总数。如需详细了解界面中显示哪些突发事件和数据,请参阅所显示突发事件和数据的限制

  • 风险级别:显示三个风险级别的事件数量:严重、中等和低。风险级别基于事件的不同特征,例如检测到的规则数量和类型,以及事件与合法流量相比的相对大小。风险级别旨在帮助您确定哪些事件需要优先调查,以便您可以专注于最严重的事件。

    风险级别包括:

    • 严重:严重事件具有高风险。我们建议您优先调查这些事件。
    • 中等:中等风险事件存在一些风险,但风险性低于严重事件,我们建议您优先于低风险事件调查这此类事件。
    • :在调查风险较高的事件后,可以最后调查低风险事件。

    每个风险级别旁边的数字表示处于该风险级别的突发事件数量。

环境详情

如需查看环境中所选时间范围内的突发事件,请在上面所示的表中选择相应环境。 系统会打开环境详情视图:

事件视图。

如果您看到突发事件或检测到的流量,并且想要创建安全操作以阻止或标记与突发事件或检测到的流量相关的请求,请点击页面顶部的创建安全操作。这将打开安全操作页面。

环境详情视图有两个标签页:

突发事件

上面所示的环境详情视图的突发事件标签页显示以下选项:

  • 环境:更改要查看其中的突发事件的环境。
  • 代理:您可以选择全部以显示所有代理的突发事件,也可以选择单个代理以仅显示所选代理的突发事件。
  • 包括归档的突发事件:选择此选项后,突发事件列表会显示归档的突发事件。归档的突发事件旁边会显示图标: “归档”图标。

    如要在列表中隐藏归档的突发事件,请取消选择包含归档的突发事件。如果显示了许多突发事件,并且您不希望查看所有突发事件,或者想要隐藏已调查的突发事件,则可能需要隐藏已归档的突发事件。

突发事件视图还会显示以下内容:

  • 事件名称:一个生成的名称,该名称概括了事件。
  • 风险级别:事件的风险级别。

  • 检测规则:突发事件触发的检测规则列表。

  • 事件流量活动总数:与事件相关的其中一个检测规则标记的 API 调用次数。
  • 第一次检测到活动:检测到事件的第一次活动的日期和时间。
  • 最后一次检测到活动:检测到事件的最后一次活动的日期和时间。
  • 时长:事件的持续时间,即其第一次活动到最后一次活动之间的时长。
  • UUID:突发事件的通用唯一标识符。

事件详细信息

如需查看事件的详细信息,请在表格中点击其名称。系统会显示突发事件详情视图的概览窗格,如下所示:

突发事件详情视图。

环境详情视图中所示,您可以点击页面顶部的创建安全操作以创建安全操作来响应突发事件。

突发事件详情视图有两个标签页:概览属性属性(也称为维度)是数据的分组,可让您以不同的方式查看突发事件。例如,API 产品属性使您可以按 API 产品查看突发事件数据。

下面介绍了概览属性标签页

归档突发事件

为了帮助您区分已调查的突发事件和尚未调查的突发事件,您可以归档不再需要注意的突发事件。通过归档突发事件,可以从环境详情 > 突发事件列表中隐藏突发事件(前提是您未选择包括归档的突发事件)。归档不会删除突发事件:如果您改变主意,可以随时取消归档。

如需归档突发事件,请在突发事件详情视图顶部,选择归档。执行此操作后,归档按钮标签将更改为取消归档“取消归档”按钮。

取消归档突发事件

要取消归档已归档的突发事件,请执行以下操作:

  1. 环境详情 > 突发事件视图中,点击要取消归档的突发事件旁边的图标: “归档”图标。
  2. 在突发事件列表的顶部,点击取消归档

或者,如果您处于突发事件的突发事件详情视图中,请点击取消归档

概览属性标签页

概览

概览窗格显示事件的基本信息,包括以下内容:

  • 事件名称:事件的名称。
  • 风险级别:事件的风险级别。
  • 受影响的代理:受事件影响的代理数量。点击查看代理以查看受影响的代理。
  • 时长:事件的持续时间,即其第一次活动到最后一次活动之间的时长。
  • 活动:显示事件中活动的时序图。对于图中的每个时间点,对应的 y 值就是该时间点前后的一小段时间内的活动总数。如果将鼠标悬停在图中的某个点上,则最近时间段内的活动数量会显示在下方。您可以将光标向左或向右移动并观察值的变化,便可以看到时间段变化时的值。

    活动窗格还会显示活动的以下信息:

    • 第一次检测到活动:检测到事件的第一次活动的日期和时间。
    • 最后一次检测到活动:检测到事件的最后一次活动的日期和时间。
    • 事件总流量:与事件相关的活动总数。

    如需查看与突发事件相关的 IP 地址,请点击查看所有 IP 地址

    注意:系统会显示唯一的 IP 地址,即使多个突发事件对应于同一 IP 地址也是如此。
  • 检测到次数最多的规则:显示被检测到次数最多的五组规则,包括以下信息:
    • Dominant rules:突发事件触发的最重要的检测规则。
    • 主导规则 API 活动:主导规则标记的 API 活动数量。
    • Total rules detected:突发事件触发的检测规则数量。

    如要查看所有规则,请点击卡片底部的查看所有规则

  • 检测到次数最多的国家/地区:地图中显示事件活动的来源国家/地区。地图下方有一个图表,最多可显示五个国家/地区以及来自这些国家/地区总流量的百分比。

    注意:如果无法确定活动来源国家/地区,地图会显示未设置

    如需查看所有国家/地区,请点击卡片底部的查看所有国家/地区

属性

属性视图可让您深入查看事件的详细信息。 属性(也称为维度)是数据的分组,可让您以不同的方式查看事件。例如,API 产品属性使您可以按 API 产品查看突发事件数据。

如需查看属性,请选择事件详情视图顶部的属性

选择了 API 产品的“属性”窗格。

左侧窗格显示所有属性以及每个属性的不同值的数量。您可以选择一个属性来查看其事件详情。

上图显示选择了 API 产品属性视图。 API 产品窗格显示每个 API 产品的 API 调用百分比的图表。如需了解 (not set) 值,请参阅当属性的值为 (not set) 时,这意味着什么

您可以使用过滤条件字段按各种属性对窗格中显示的数据进行过滤。

通常,属性的窗格会显示一个表格,其中按属性值显示事件数据。表格中的列包括:

  • 调用总数:API 调用总数。
  • % of calls:属性的每个值的所有调用所占的百分比。
  • 上一次检测时间:上一次检测到与事件相关的活动的时间。

对于某些属性,该表还有其他列。

您可以在左侧窗格中选择以下属性:

  • API 产品:按 API 产品查看突发事件详细信息。
  • 应用密钥:按应用密钥(也称为 API 密钥或使用方密钥,这是客户端的标识符)查看突发事件详细信息。
  • 国家/地区:按突发事件来源国家/地区查看突发事件详细信息。
  • 开发者:按开发者(使用您的 API 开发应用的人员)查看事件详细信息。除了上述三列之外,开发者还有一个标记为应用的列,提供每个开发者的应用数量。
  • 开发者应用:按应用查看事件详细信息。

    除了上述三列之外,开发者应用还有一个开发者列,即创建应用的人员。

  • IP 地址:按事件活动来源的 IP 地址查看事件详细信息。点击查看所有 IP 地址以查看 IP 地址。注意IP 地址窗格显示唯一的 IP 地址,即使多个突发事件对应于同一 IP 地址也是如此。

    IP 地址显示以下列:

    • IP 地址:突发事件的 IP 地址。
    • 位置:IP 地址的位置。
    • Detected traffic:来自该 IP 地址的请求总数。
    • % of calls:来自该 IP 地址的请求占环境中所有调用的百分比。
    • First event detected:首次在突发事件中检测到活动的时间。
    • Last event detected:最后一次在突发事件中检测到活动的时间。
  • 代理:按代理查看事件详细信息。
  • 响应代码:按响应代码查看事件详细信息。
  • 规则:按检测规则查看突发事件详细信息。
  • 用户代理:按用户代理(进行 API 调用的软件代理)查看突发事件详细信息。

如果属性的值为 (not set),这意味着什么?

有时,属性的值为 (not set)。可能发生这种情况的原因有以下几种。一个原因是,Apigee 可能没有足够的信息来确定属性的值,例如 API 调用的来源国家/地区。或者,属性可能在特定情况下不适用。如需了解详情,请参阅分析实体值“(not set)”意味着什么?

检测到的流量

检测到的流量视图显示上次检测到事件的时间在过去 14 天内的突发事件的相关信息。请参阅所显示突发事件和数据的限制,详细了解界面中显示的数据的时间范围。

如需打开检测到的流量视图,请在环境详情视图中选择检测到的流量,如下所示:

“滥用行为”视图。

Detected Traffic(检测到的流量)视图显示以下各项的数据:

  • 总流量:请求总数。
  • Detected traffic:来自检测到的滥用行为 IP 地址的请求数。
  • % of detected traffic:检测到的流量在总流量中所占的百分比。
  • Detected IP address count:与检测到的滥用行为对应的不同 IP 地址的数量。来自同一 IP 地址的多个请求只会计入一次。

Detected Traffic 视图还会显示一个表,其中列出了与检测到的滥用行为对应的每个 IP 地址的详细信息。请注意,默认情况下,出于隐私保护考虑,不会显示 IP 地址。如需显示 IP 地址,请选择表顶部的 Display all IP addresses

IP 地址表格的每一行显示:

  • IP 地址:检测到的滥用行为的 IP 地址。点击查看可以查看该地址。
  • 位置:IP 地址的位置。
  • Top app key:来自该 IP 地址的请求中最常使用的应用密钥。注意:应用密钥是 API 密钥的另一种术语。
  • 检测规则:滥用行为触发的所有检测规则列表。
  • 最常用网址:从该 IP 地址接收最多请求的网址。
  • Detected traffic:来自该 IP 地址的请求数。
  • 检测到的流量百分比:来自该 IP 地址的请求占环境中所有请求的百分比。
  • 第一次检测到的活动:在安全分数页面顶部选择的时间范围内,首次在来自该 IP 地址的请求中检测到活动的时间。
  • 最后一次检测到的活动:在安全分数页面顶部选择的时间范围内,最后一次在来自该 IP 地址的请求中检测到活动的时间。

滥用行为检测的限制

滥用行为检测具有以下限制。

  • 上次检测到事件的时间超过过去 14 天的突发事件不会显示在滥用行为检测界面中。如需详细了解界面中显示哪些突发事件和数据,请参阅所显示突发事件和数据的限制
  • 当您首次为组织启用 Advanced API 或重新启用该 API 时,在事件聚簇到突发事件中时会出现延迟。之后将会定期出现延迟。
  • 对于具有大量流量的组织,事件详情属性页面可能需要一小段时间才能加载完成。