Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da
Apigee Edge.
A segurança avançada da API usa regras de detecção para detectar padrões incomuns no tráfego da API que possam representar atividades mal-intencionadas. Essas regras incluem modelos de machine learning treinados com dados reais de API e regras descritivas, com base em tipos conhecidos de ameaças de API.
A tabela a seguir lista as regras de detecção e as descrições delas.
| Regra de detecção | Descrição |
|---|---|
Um modelo de machine learning que detecta a raspagem de dados de API, que é o processo de extração de informações de destino de APIs para fins maliciosos. | |
| Um modelo de machine learning para detectar anomalias, padrões incomuns de eventos, no tráfego da API. Consulte Sobre a detecção de anomalias avançada. | |
| Guessor brutal | Alta proporção de erros de resposta nas últimas 24 horas |
| Excesso | Alta proporção de tráfego de um endereço IP em um intervalo de cinco minutos |
| Abusador de OAuth | Um grande número de sessões OAuth com um pequeno número de user agents nas últimas 24 horas |
| Abuso de robô | Um grande número de erros de rejeição 403 nas últimas 24 horas |
| Raspador de conteúdo estático | Alta proporção de tamanho de payload de resposta de um endereço IP em uma janela de cinco minutos |
| TorListRule | Lista de IPs de nós de saída do Tor. Um nó de saída do Tor é o último nó do Tor pelo qual o tráfego passa na rede do Tor antes de sair para a Internet. A detecção de nós de saída do Tor indica que um agente enviou tráfego da rede do Tor para suas APIs, possivelmente para fins maliciosos. |
Sobre a detecção avançada de anomalias
O algoritmo avançado de detecção de anomalias aprende com o tráfego da API, considerando fatores como taxas de erro, volume de tráfego, tamanho da solicitação, latência, geolocalização e outros metadados de tráfego no nível do ambiente. Se houver mudanças significativas nos padrões de tráfego (por exemplo, um aumento no tráfego, nas taxas de erro ou na latência), o modelo vai sinalizar o endereço IP que contribuiu para a anomalia no tráfego detectado.
Também é possível combinar a detecção de anomalias com ações de segurança para sinalizar ou negar automaticamente o tráfego detectado como anômalo pelo modelo. Consulte a postagem da comunidade "Como usar as ações de segurança da API Advanced da Apigee para sinalizar e bloquear tráfego suspeito" para mais informações.
Comportamento do modelo
Para reduzir o risco de que pessoas mal-intencionadas explorem o modelo, não divulgamos detalhes específicos sobre como ele funciona ou como os incidentes são detectados. No entanto, essas informações adicionais podem ajudar você a aproveitar ao máximo a detecção de anomalias:
- Consideração da variância sazonal:como o modelo é treinado com seus dados de tráfego, ele pode reconhecer e considerar as variâncias sazonais (como tráfego de feriados), se os dados incluírem informações anteriores sobre esse padrão, como o mesmo feriado em um ano anterior.
- Mostrar anomalias:
- Para clientes atuais da Apigee e híbridos:a Apigee recomenda que você tenha pelo menos duas semanas de dados históricos de tráfego da API. Para resultados mais precisos, o ideal é ter 12 semanas de dados históricos. A detecção avançada de anomalias começa a mostrar anomalias em até seis horas após a ativação do treinamento de modelo.
- Novos usuários do Apigee:o modelo começa a mostrar anomalias 6 horas após a ativação, se você tiver um mínimo de duas semanas de dados históricos. No entanto, recomendamos ter cautela ao agir com base em anomalias detectadas até que o modelo tenha pelo menos 12 semanas de dados para treinamento. O modelo é treinado continuamente com seus dados históricos de tráfego para que se torne mais preciso com o tempo.
Limitações
Para a detecção de abuso e anomalias avançada:
- As anomalias são detectadas no nível do ambiente. No momento, não há suporte para a detecção de anomalias no nível de um proxy individual.
- No momento, a detecção de anomalias não está disponível para clientes do VPC-SC.
Regras de detecção e machine learning
A API Security avançada usa modelos criados com os algoritmos de aprendizado de máquina do Google para detectar ameaças à segurança das suas APIs. Esses modelos são pré-treinados em conjuntos de dados de tráfego de API reais (incluindo seus dados de tráfego atuais, se ativados) que contêm ameaças de segurança conhecidas. Como resultado, os modelos aprendem a reconhecer padrões incomuns de tráfego de API, como raspagem de dados de API e anomalias, e agrupam eventos com base em padrões semelhantes.
Duas das regras de detecção são baseadas em modelos de machine learning:
- API Scraper avançada
- Detecção avançada de anomalias