Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
L'API Incidents consente di visualizzare le statistiche relative agli incidenti di sicurezza correlati al rilevamento di abusi.
Parametri nelle chiamate API di esempio
Le seguenti sezioni forniscono esempi di chiamate API che utilizzano l'API Incidents. Le chiamate API contengono i seguenti parametri di variabile:
- ORG è la tua organizzazione.
- ENV è l'ambiente in cui vuoi che vengano calcolati i punteggi.
INCIDENT_UUIDè l'UUID dell'incidente.$TOKENè la variabile di ambiente per un token di accesso OAuth.
Elenca gli incidenti e visualizza i relativi dettagli
I seguenti esempi mostrano come elencare gli incidenti e visualizzarne i dettagli.
Esempio: elenco di tutti gli incidenti per un ambiente
Per elencare tutti gli incidenti per un ambiente, invia la seguente richiesta:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
Consulta la pagina di riferimento
SecurityIncident per le descrizioni della
richiesta e della risposta.
Esempio: ottieni i dettagli di un incidente specifico
Per ottenere i dettagli di un incidente specifico, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
dove INCIDENT_UUID è l'UUID dell'incidente, restituito nel campo name
dalla chiamata mostrata in Esempio: elenco di tutti gli incidenti per un ambiente.
Consulta la pagina di riferimento
SecurityIncident per descrizioni della richiesta e della risposta.
Archiviazione degli incidenti
Per distinguere gli incidenti che hai già esaminato da quelli che non hai ancora, puoi archiviare gli incidenti che non richiedono più attenzione. L'archiviazione degli incidenti ha i seguenti effetti:
- Nella UI di Apigee, gli incidenti archiviati non vengono visualizzati nell'elenco Dettagli ambiente > Incidenti (a condizione che l'opzione Includi incidenti archiviati non sia selezionata).
- Nell'API, quando effettui una chiamata per
elencare tutti gli incidenti,
gli incidenti archiviati hanno la seguente riga:
"observability": "ARCHIVED"
Puoi utilizzare il campo
"observability"per filtrare gli incidenti archiviati da un elenco di incidenti.I valori possibili per
"observability"sono:ACTIVEARCHIVED
Gli incidenti archiviati non vengono eliminati: puoi sempre annullarne l'archiviazione, il che cambia il valore "observability" dell'incidente in ACTIVE.
I seguenti esempi mostrano come archiviare gli incidenti e annullarne l'archiviazione.
Archiviare un incidente
Per archiviare un incidente, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCH
Verrà restituita una risposta simile alla seguente:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}
L'ultima riga, "observability": "ARCHIVED", indica che l'incidente è stato archiviato.
Annullare l'archiviazione di un incidente
Per annullare l'archiviazione di un incidente, utilizza la stessa chiamata della sezione precedente, ma la riga
"observability": "ACTIVE"
Filtra gli incidenti per stato di archiviazione
L'esempio successivo filtra i risultati di una chiamata per elencare gli incidenti in modo che vengano restituiti solo quelli attivi.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"
Questo restituisce un risultato come il seguente.
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}
Archiviare o annullare l'archiviazione di più incidenti di sicurezza
Per archiviare più incidenti di sicurezza o annullarne l'archiviazione, inserisci un comando simile al seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'
Limitazioni dell'API Security Incidents
L'API Security Incidents presenta le seguenti limitazioni:
- Gli incidenti vengono archiviati per un massimo di 14 mesi.
ListIncidentssupporta i filtri solo per i seguenti tipi di annunci:first_detected_timelast_detected_timeapiproxy
- Quando abiliti l'API Advanced per un'organizzazione per la prima volta, o successivamente la riattivi, si verificherà un ritardo mentre gli eventi vengono raggruppati in incidenti. In seguito, gli incidenti vengono ricalcolati periodicamente.