Esta página foi traduzida pela API Cloud Translation.

Regras de deteção

Esta página aplica-se ao Apigee e ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

A segurança avançada da API usa regras de deteção para detetar padrões invulgares no tráfego da API que possam representar atividade maliciosa. Estas regras incluem modelos de aprendizagem automática, preparados com dados reais da API, e regras descritivas, baseadas em tipos conhecidos de ameaças à API.

A tabela seguinte lista as regras de deteção e as respetivas descrições.

Regra de deteção	Descrição
Pré-visualização: ferramenta de extração de dados de API avançada	Um modelo de aprendizagem automática que deteta a extração de dados de APIs, que é o processo de extração de informações segmentadas de APIs para fins maliciosos.
Pré-visualização: deteção de anomalias avançada	Um modelo de aprendizagem automática para detetar anomalias, ou seja, padrões invulgares de eventos, no tráfego da API. Consulte o artigo Acerca da deteção de anomalias avançada.
Brute Guessor	Proporção elevada de erros de resposta durante as 24 horas anteriores
Flooder	Proporção elevada de tráfego de um endereço IP num período de 5 minutos
Abusador de OAuth	Grande número de sessões de OAuth com um pequeno número de agentes do utilizador durante as 24 horas anteriores
Robot Abuser	Grande número de erros de rejeição 403 nas últimas 24 horas
Static Content Scraper	Proporção elevada do tamanho do payload de resposta de um endereço IP num período de 5 minutos
TorListRule	Lista de IPs de nós de saída do Tor. Um nó de saída do Tor é o último nó do Tor através do qual o tráfego passa na rede Tor antes de sair para a Internet. A deteção de nós de saída do Tor indica que um agente enviou tráfego para as suas APIs a partir da rede Tor, possivelmente para fins maliciosos.

Acerca da Deteção de anomalias avançada

O algoritmo de deteção de anomalias avançado aprende com o seu tráfego de API, tendo em conta fatores como as taxas de erro, o volume de tráfego, o tamanho do pedido, a latência, a geolocalização e outros metadados de tráfego ao nível do ambiente. Se existirem alterações significativas nos padrões de tráfego (por exemplo, um aumento repentino no tráfego, nas taxas de erro ou na latência), o modelo sinaliza o endereço IP que contribuiu para a anomalia no tráfego detetado.

Também pode combinar a deteção de anomalias com ações de segurança para sinalizar automaticamente ou negar tráfego detetado como anómalo pelo modelo. Consulte a publicação da comunidade "Usar as ações de segurança da segurança avançada da API Apigee para sinalizar e bloquear tráfego suspeito" para obter informações adicionais.

Comportamento do modelo

Para reduzir o risco de os autores de ameaças poderem explorar o modelo, não expomos detalhes específicos sobre o funcionamento do modelo ou a forma como os incidentes são detetados. No entanto, estas informações adicionais podem ajudar a tirar o máximo partido da deteção de anomalias:

Ter em conta a variação sazonal: uma vez que o modelo é preparado com base nos seus dados de tráfego, este pode reconhecer e ter em conta as variações sazonais do tráfego (como o tráfego da época festiva), se os seus dados de tráfego incluírem dados anteriores relativos a esse padrão, como a mesma época festiva num ano anterior.
Apresentar anomalias:

Para clientes existentes do Apigee e híbridos: o Apigee recomenda que tenha, pelo menos, 2 semanas de dados do histórico de tráfego da API e, para resultados mais precisos, é preferível ter 12 semanas de histórico de dados. A deteção de anomalias avançada começa a apresentar anomalias no prazo de seis horas após a ativação da preparação do modelo.
Novos utilizadores do Apigee: o modelo começa a apresentar anomalias 6 horas após a ativação, se tiver um mínimo de 2 semanas de dados do histórico. No entanto, recomendamos que tenha cuidado ao tomar medidas com base em anomalias detetadas até que o modelo tenha, pelo menos, 12 semanas de dados para a preparação. O modelo é preparado continuamente com os seus dados de tráfego do histórico para se tornar mais preciso ao longo do tempo.

Limitações

Para a Deteção de anomalias avançada de deteção de abusos:

As anomalias são detetadas ao nível do ambiente. De momento, a deteção de anomalias ao nível de um proxy individual não é suportada.
De momento, a deteção de anomalias não é suportada para clientes do VPC-SC.

Regras de aprendizagem automática e deteção

A segurança avançada de APIs usa modelos criados com os algoritmos de aprendizagem automática da Google para detetar ameaças de segurança às suas APIs. Estes modelos são pré-preparados em conjuntos de dados de tráfego de API reais (incluindo os seus dados de tráfego atuais, se ativados) que contêm ameaças de segurança conhecidas. Como resultado, os modelos aprendem a reconhecer padrões de tráfego de API invulgares, como a extração de dados da API e anomalias, e agrupam eventos com base em padrões semelhantes.

Duas das regras de deteção baseiam-se em modelos de aprendizagem automática:

Advanced API Scraper
Deteção de anomalias avançada