Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
L'API Incidents ti consente di visualizzare le statistiche relative agli incidenti di sicurezza relativi al rilevamento di abusi.
Parametri nelle chiamate API di esempio
Le sezioni seguenti forniscono esempi di chiamate API che utilizzano l'API Incidents. Le chiamate API contengono i seguenti parametri variabili:
- ORG è la tua organizzazione.
- ENV è l'ambiente in cui vuoi che vengano calcolati i punteggi.
INCIDENT_UUIDè l'UUID dell'incidente.$TOKENè la variabile di ambiente per un token di accesso OAuth.
Elenca gli incidenti e ottieni i relativi dettagli
Gli esempi riportati di seguito mostrano come elencare gli incidenti e ottenerne i dettagli.
Esempio: elencare tutti gli incidenti per un ambiente
Per elencare tutti gli incidenti per un ambiente, invia la seguente richiesta:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Per le descrizioni della richiesta e della risposta, consulta la pagina di riferimento
SecurityIncident.
Esempio: visualizzare i dettagli di un incidente specifico
Per ottenere i dettagli di un incidente specifico, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"dove INCIDENT_UUID è l'UUID dell'incidente, restituito nel campo name
dalla chiamata mostrata in Esempio: elenca tutti gli incidenti per un ambiente.
Per le descrizioni della richiesta e della risposta, consulta la pagina di riferimento
SecurityIncident.
Archiviazione degli incidenti
Per aiutarti a distinguere gli incidenti che hai già esaminato da quelli che non hai ancora esaminato, puoi archiviare quelli che non richiedono più la tua attenzione. L'archiviazione degli incidenti ha i seguenti effetti:
- Nell'interfaccia utente di Apigee, gli incidenti archiviati non vengono visualizzati nell'elenco Dettagli ambiente > Incidenti (a condizione che non sia selezionata l'opzione Includi incidenti archiviati).
- Nell'API, quando effettui una chiamata per
elencare tutti gli incidenti,
gli incidenti archiviati hanno la seguente riga:
"observability": "ARCHIVED"
Puoi utilizzare il campo
"observability"per escludere gli incidenti archiviati da un elenco di incidenti.I valori possibili per
"observability"sono:ACTIVEARCHIVED
Gli incidenti archiviati non vengono eliminati: puoi sempre annullarne l'archiviazione, modificando il valore "observability" dell'incidente in ACTIVE.
Gli esempi riportati di seguito mostrano come archiviare e annullare l'archiviazione degli incidenti.
Archiviare un incidente
Per archiviare un incidente, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCHViene restituita una risposta simile alla seguente:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}L'ultima riga, "observability": "ARCHIVED", indica che l'incidente è stato archiviato.
Annullare l'archiviazione di un incidente
Per annullare l'archiviazione di un incidente, utilizza la stessa chiamata della sezione precedente, ma utilizza la riga
"observability": "ACTIVE"
Filtrare gli incidenti in base allo stato di archiviazione
L'esempio seguente filtra i risultati di una chiamata per elencare gli incidenti in modo da restituire solo quelli attivi.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"Viene restituito un risultato come il seguente.
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}Archiviare o annullare l'archiviazione di più incidenti di sicurezza
Per archiviare o annullare l'archiviazione di più di un incidente di sicurezza, inserisci un comando come il seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'Limitazioni dell'API Security Incidents
L'API Security Incidents presenta le seguenti limitazioni:
- Gli incidenti vengono archiviati per un massimo di 14 mesi.
ListIncidentssupporta i filtri solo per quanto segue:first_detected_timelast_detected_timeapiproxy
- Quando attivi per la prima volta l'API Advanced per un'organizzazione o la riattivi in un secondo momento, si verificherà un ritardo durante il raggruppamento degli eventi in incidenti. Dopodiché, gli incidenti vengono ricalcolati periodicamente.