Regole di rilevamento

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Advanced API Security utilizza regole di rilevamento per rilevare pattern insoliti nel traffico API che potrebbero rappresentare attività dannose. Queste regole includono sia modelli di machine learning, addestrati su dati API reali, sia regole descrittive, basate su tipi noti di minacce API.

La tabella seguente elenca le regole di rilevamento e le relative descrizioni.

Regola di rilevamento Descrizione

Un modello di machine learning che rileva lo scraping delle API, ovvero il processo di estrazione di informazioni mirate dalle API per scopi dannosi.

Un modello di machine learning per rilevare anomalie, ovvero pattern insoliti di eventi, nel traffico API. Consulta la sezione Informazioni sul rilevamento avanzato di anomalie.
Brute Guessor Elevata proporzione di errori di risposta nelle 24 ore precedenti
Flooder Elevata percentuale di traffico da un indirizzo IP in un periodo di 5 minuti
OAuth Abuser Numero elevato di sessioni OAuth con un numero ridotto di user agent nelle precedenti 24 ore
Robot Abuser Numero elevato di errori di rifiuto 403 nelle ultime 24 ore
Static Content Scraper Elevata proporzione di dimensioni del payload di risposta da un indirizzo IP in un periodo di 5 minuti
TorListRule Elenco degli IP dei nodi di uscita Tor. Un exit node Tor è l'ultimo nodo Tor attraverso cui passa il traffico nella rete Tor prima di uscire su internet. Il rilevamento dei nodi di uscita Tor indica che un agente ha inviato traffico alle tue API dalla rete Tor, probabilmente per scopi dannosi.

Informazioni sul rilevamento avanzato delle anomalie

L'algoritmo di rilevamento avanzato delle anomalie apprende dal traffico API, tenendo conto di fattori come tassi di errore, volume di traffico, dimensioni delle richieste, latenza, geolocalizzazione e altri metadati del traffico a livello di ambiente. Se si verificano cambiamenti significativi nei pattern di traffico (ad esempio, un picco di traffico, tassi di errore o latenza), il modello segnala l'indirizzo IP che ha contribuito all'anomalia nel traffico rilevato.

Puoi anche combinare il rilevamento delle anomalie con azioni di sicurezza per segnalare o negare automaticamente il traffico rilevato come anomalo dal modello. Per ulteriori informazioni, consulta il post della community "Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic".

Comportamento del modello

Per ridurre il rischio che i malintenzionati possano sfruttare il modello, non esponiamo dettagli specifici su come funziona il modello o su come vengono rilevati gli incidenti. Tuttavia, queste informazioni aggiuntive possono aiutarti a utilizzare al meglio il rilevamento delle anomalie:

  • Tenere conto della varianza stagionale: poiché il modello viene addestrato sui dati sul traffico, può riconoscere e tenere conto delle variazioni stagionali del traffico (ad esempio il traffico durante le festività), se i dati sul traffico includono dati precedenti per questo pattern, ad esempio la stessa festività in un anno precedente.
  • Visualizzazione delle anomalie:
    • Per i clienti Apigee e ibridi esistenti:Apigee consiglia di disporre di almeno due settimane di dati storici sul traffico API e, per risultati più accurati, sono preferibili 12 settimane di dati storici. Il rilevamento avanzato di anomalie inizia a mostrare le anomalie entro sei ore dall'attivazione dell'addestramento del modello.
    • Nuovi utenti Apigee:il modello inizia a mostrare anomalie 6 ore dopo l'attivazione, se disponi di almeno 2 settimane di dati storici. Tuttavia, ti consigliamo di prestare attenzione quando agisci in base alle anomalie rilevate finché il modello non dispone di almeno 12 settimane di dati per l'addestramento. Il modello viene addestrato continuamente sui tuoi dati storici sul traffico, in modo che diventi più preciso nel tempo.

Limitazioni

Per il rilevamento di abusi, rilevamento avanzato di anomalie:

  • Le anomalie vengono rilevate a livello di ambiente. Il rilevamento delle anomalie a livello di singolo proxy non è supportato al momento.
  • Al momento, il rilevamento delle anomalie non è supportato per i clienti VPC-SC.

Machine learning e regole di rilevamento

Advanced API Security utilizza modelli creati con gli algoritmi di machine learning di Google per rilevare minacce alla sicurezza delle tue API. Questi modelli sono preaddestrati su set di dati di traffico API reali (inclusi i tuoi dati di traffico attuali, se attivati) che contengono minacce alla sicurezza note. Di conseguenza, i modelli imparano a riconoscere pattern di traffico API insoliti, come lo scraping e le anomalie delle API, e a raggruppare gli eventi in base a pattern simili.

Due delle regole di rilevamento si basano su modelli di machine learning:

  • Advanced API Scraper
  • Rilevamento avanzato di anomalie