検出ルール

このページは Apigee と Apigee ハイブリッドに適用されます。

Apigee Edge のドキュメントを表示する。

Advanced API Security は検出ルールを使用して、悪意のあるアクティビティを表す可能性のある API トラフィックの異常なパターンを検出します。これらのルールには、実際の API データでトレーニングされた ML モデルと、既知の API 脅威の種類に基づく記述ルールの両方が含まれています。

次の表に、検出ルールと説明を示します。

検出ルール	説明
プレビュー: Advanced API Scraper	悪意のある目的のために API から対象の情報を抽出するプロセスである API スクレイピングを検出する ML モデル。
プレビュー: Advanced Anomaly Detection	API トラフィック内の異常（通常とは異なるイベントのパターン）を検出するための ML モデル。Advanced Anomaly Detection についてをご覧ください。
Brute Guessor	過去 24 時間で、レスポンスエラーの割合が高い。
Flooder	5 分間の枠で、1 つの IP アドレスからのトラフィックの割合が高い。
OAuth Abuser	過去 24 時間で、少数のユーザーエージェントによる OAuth セッションの使用が多い。
Robot Abuser	過去 24 時間に 403 拒絶エラーが大量に発生した。
Static Content Scraper	5 分間の枠で、1 つの IP アドレスからのレスポンスペイロードサイズの割合が高い。
TorListRule	Tor の exit ノードの IP 一覧。Tor exit ノードは、トラフィックがインターネットを通過する前に Tor ネットワークを通過する最後の Tor ノードです。Tor exit ノードの検出は、エージェントが（おそらく悪意のある目的のために）Tor ネットワークから API にトラフィックを送信したことを示します。

Advanced Anomaly Detection について

Advanced Anomaly Detection アルゴリズムは API トラフィックを学習し、エラー率、トラフィック量、リクエストサイズ、レイテンシ、位置情報などの要素や、その他のトラフィックメタデータを環境レベルで考慮します。トラフィックパターンに大きな変化（トラフィック、エラー率、レイテンシの急増など）があった場合は、異常の原因となった IP アドレスを [Detected Traffic] ビューで報告します。

異常検出をセキュリティアクションと組み合わせて、モデルが異常として検出したトラフィックを自動的に報告または拒否することもできます。詳細については、Apigee Advanced API Security のセキュリティアクションによって疑わしいトラフィックを報告してブロックする方法に関するコミュニティ投稿をご覧ください。

モデルの動作

不正な行為者がモデルを悪用するリスクを軽減するため、モデルの仕組みやインシデントの検出方法に関する詳細は公開されていませんが、異常検出を最大限に活用できるように以下の追加情報をご覧ください。

季節的な変動を考慮: モデルはお客様のトラフィックデータに基づいてトレーニングされるため、そのデータに季節的なトラフィック変動（休日のトラフィックなど）に関する過去のデータ（たとえば、前年の同じ休日のデータ）が含まれていれば、そのパターンを認識して判断の材料にすることができます。
異常の検出:

既存の Apigee ユーザーとハイブリッドユーザーの場合: 過去の API トラフィックデータを少なくとも 2 週間分（より正確な結果が必要な場合は 12 週間分）用意することをおすすめします。Advanced Anomaly Detection は、モデルトレーニングを有効にしてから 6 時間以内に異常の検出を開始します。
Apigee の新規ユーザー: 過去のデータが 2 週間分以上ある場合、オプトインから 6 時間後にモデルが異常の検出を開始します。ただし、モデルにトレーニング用のデータが 12 週間以上蓄積されるまで、検出された異常への対応は慎重に行うことをおすすめします。モデルは蓄積されるトラフィックデータによって継続的にトレーニングされ、時間の経過とともに精度が向上します。

制限事項

不正行為検出の Advanced Anomaly Detection には次のような制限事項があります。

異常は環境レベルで検出されます。現時点では、個々のプロキシレベルでの異常検出は行えません。
現時点では、VPC-SC のお客様は異常検出を利用できません。

ML と検出ルール

Advanced API Security は、Google の ML アルゴリズムで構築されたモデルを使用して、API に対するセキュリティ上の脅威を検出します。これらのモデルは、既知のセキュリティの脅威を含む実際の API トラフィックデータセット（お客様のデータによるトレーニングを有効にした場合は、お客様の現在のトラフィックデータも含まれます）によって事前トレーニングされています。その結果、モデルは通常と異なる API トラフィックパターン（API スクレイピングや異常など）を認識し、類似したパターンに基づいてイベントを分類できるようになります。

2 つの検出ルールは、次の ML モデルに基づいています。

Advanced API Scraper
Advanced Anomaly Detection