Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Mit der Incident API können Sie Statistiken zu Sicherheitsvorfällen im Zusammenhang mit der Missbrauchserkennung aufrufen.
Parameter in Beispiel-API-Aufrufen
Die folgenden Abschnitte enthalten Beispiele für API-Aufrufe, die die Incident API verwenden. Die API-Aufrufe enthalten die folgenden Variablenparameter:
- ORG ist Ihre Organisation.
- ENV ist die Umgebung, in der Punktzahlen berechnet werden sollen.
INCIDENT_UUIDist die UUID für den Vorfall.$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.
Vorfälle auflisten und Details dazu aufrufen
Die folgenden Beispiele zeigen, wie Vorfälle aufgelistet und Details dazu abgerufen werden.
Beispiel: Alle Vorfälle für eine Umgebung auflisten
Senden Sie die folgende Anfrage, um alle Vorfälle für eine Umgebung aufzulisten:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
Eine Beschreibung der Anfrage und Antwort finden Sie auf der Referenzseite zu SecurityIncident.
Beispiel: Details zu einem bestimmten Vorfall abrufen
Wenn Sie die Details eines bestimmten Vorfalls abrufen möchten, senden Sie eine Anfrage wie die folgende:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
Dabei ist INCIDENT_UUID die UUID für den Vorfall, die im Feld name durch den im Abschnitt Beispiel: Alle Vorfälle für eine Umgebung auflisten gezeigten Aufruf zurückgegeben wird.
Eine Beschreibung der Anfrage und Antwort finden Sie auf der Referenzseite zu SecurityIncident.
Vorfälle archivieren
Damit Sie besser zwischen den Vorfällen unterscheiden können, die Sie bereits untersucht haben, können Sie die Vorfälle archivieren, die nicht weiter bearbeitet werden müssen. Die Archivierung von Vorfällen hat folgende Auswirkungen:
- In der Apigee-Benutzeroberfläche werden archivierte Vorfälle nicht in der Liste Umgebungsdetails > Vorfälle angezeigt (sofern Archivierte Vorfälle einschließen nicht ausgewählt ist).
- Wenn Sie in der API einen Aufruf zum Auflisten aller Vorfälle ausführen, haben archivierte Vorfälle die folgende Zeile:
"observability": "ARCHIVED"
Mit dem Feld
"observability"können Sie archivierte Vorfälle aus einer Liste von Vorfällen herausfiltern.Die möglichen Werte für
"observability"sind:ACTIVEARCHIVED
Archivierte Vorfälle werden nicht gelöscht. Sie können sie jederzeit wieder aktivieren. Dadurch wird der "observability" des Vorfalls in ACTIVE geändert.
Die folgenden Beispiele zeigen, wie Vorfälle archiviert und wieder aktiviert werden.
Vorfall archivieren
Senden Sie zum Archivieren eines Vorfalls eine Anfrage wie die folgende:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCH
Dies gibt eine Antwort wie die folgende zurück:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}
Die letzte Zeile, "observability": "ARCHIVED", zeigt, dass der Vorfall archiviert wurde.
Vorfall wieder aktivieren
Verwenden Sie zum Wiederherstellen eines Vorfalls denselben Aufruf wie im vorherigen Abschnitt, aber mit der folgenden Zeile:
"observability": "ACTIVE"
Vorfälle nach Archivstatus filtern
Im nächsten Beispiel werden die Ergebnisse eines Aufrufs gefiltert, um Vorfälle aufzulisten, sodass nur aktive Vorfälle zurückgegeben werden.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"
Dies gibt ein Ergebnis wie das folgende zurück:
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}
Mehrere Sicherheitsvorfälle archivieren oder wieder aktivieren
Wenn Sie mehrere Sicherheitsvorfälle archivieren oder wieder aktivieren möchten, geben Sie einen Befehl wie den folgenden ein:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'
Einschränkungen der Security Incidents API
Die Security Incidents API unterliegt folgenden Einschränkungen:
- Vorfälle werden maximal 14 Monate gespeichert.
ListIncidentsunterstützt Filter nur für folgende Elemente:first_detected_timelast_detected_timeapiproxy
- Wenn Sie die erweiterte API zum ersten Mal für eine Organisation aktivieren oder später wieder aktivieren, dauert es eine gewisse Zeit, bis Ereignisse in Vorfällen geclustert sind. Danach werden Vorfälle regelmäßig neu berechnet.