Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza documentazione di Apigee Edge.
L’API Incidents consente di visualizzare le statistiche sugli incidenti di sicurezza relativi a: abuso il rilevamento.
Parametri nelle chiamate API di esempio
Le seguenti sezioni forniscono esempi di chiamate API che usano l'API Incidents. Le chiamate API contengono i seguenti parametri variabili:
- ORG è la tua organizzazione.
- ENV è l'ambiente in cui vuoi calcolare i punteggi.
INCIDENT_UUID
è l'UUID dell'incidente.$TOKEN
è la variabile di ambiente per un Token di accesso OAuth.
Elencare gli incidenti e recuperare i relativi dettagli
I seguenti esempi mostrano come elencare gli incidenti e trovarne i dettagli.
Esempio: elencare tutti gli incidenti relativi a un ambiente
Per elencare tutti gli incidenti per un ambiente, invia la richiesta seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \ -H 'Content-type: application/json' \ -H "Authorization: Bearer $TOKEN"
Consulta le
pagina di riferimento SecurityIncident
per le descrizioni
richiesta e risposta.
Esempio: visualizzare i dettagli di un incidente specifico
Per ottenere i dettagli di un incidente specifico, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \ -H 'Content-type: application/json' \ -H "Authorization: Bearer $TOKEN"
dove INCIDENT_UUID
è l'UUID dell'incidente, che viene restituito nel valore name
campo accanto alla chiamata mostrata in Esempio: elenco
tutti gli incidenti relativi a un ambiente.
Consulta le
Pagina di riferimento SecurityIncident
per le descrizioni della richiesta e della risposta.
Archiviazione degli incidenti
Per aiutarti a distinguere tra gli incidenti che hai già esaminato da quelli che non hai più, puoi archiviare gli incidenti che non richiedono più la tua attenzione. L'archiviazione degli incidenti ha i seguenti effetti:
- Nella UI di Apigee, gli incidenti archiviati non vengono visualizzati Dettagli ambiente > degli incidenti (a condizione che L'opzione Includi incidenti archiviati non è selezionata).
- Nell'API, quando effettui una chiamata
elencare tutti gli incidenti,
gli incidenti archiviati presentano la seguente riga:
"observability": "ARCHIVED"
Puoi utilizzare il campo
"observability"
per filtrare ed escludere gli elementi archiviati incidenti da un elenco di incidenti.I valori possibili per
"observability"
sono:ACTIVE
ARCHIVED
Gli incidenti archiviati non vengono eliminati: puoi sempre annullarne l'archiviazione,
da "observability"
a ACTIVE
dell'incidente.
I seguenti esempi mostrano come archiviare gli incidenti e annullarne l'archiviazione.
Archiviare un incidente
Per archiviare un incidente, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \ -X POST \ -H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json" \ -d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID", "observability": "ARCHIVED"}' \ -X PATCH
Viene restituita una risposta simile alla seguente:
{ "name": "INCIDENT_UUID", "displayName": "Multi type attack from US", "firstDetectedTime": "2023-04-04T17:00:00Z", "lastDetectedTime": "2023-09-12T03:10:00Z", "detectionTypes": [ "Advanced Anomaly Detection", "OAuth Abuser" ], "trafficCount": "4052130", "containsMlAbuses": false, "riskLevel": "MODERATE", "observability": "ARCHIVED" }
L'ultima riga, "observability": "ARCHIVED"
, indica che l'incidente è stato
archiviati.
Annullare l'archiviazione di un incidente
Per annullare l'archiviazione di un incidente, utilizza la stessa chiamata della sezione precedente, ma la riga
"observability": "ACTIVE"
Filtra incidenti per stato dell'archivio
L'esempio successivo filtra i risultati di una chiamata per elencare gli incidenti vengono restituiti gli incidenti.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \ -X POST \ -H "Authorization: Bearer $TOKEN" \ -H "Content-Type: application/json"
Viene restituito un risultato simile al seguente.
{ "securityIncidents": [ { "name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e", "displayName": "Multi type attack from US", "firstDetectedTime": "2023-04-04T17:00:00Z", "lastDetectedTime": "2023-09-12T03:10:00Z", "detectionTypes": [ "Advanced Anomaly Detection", "OAuth Abuser" ], "trafficCount": "4052130", "containsMlAbuses": false, "riskLevel": "MODERATE", "observability": "ACTIVE" } ], "nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg" }
Archiviare o annullare l'archiviazione di più incidenti di sicurezza
Per archiviare più incidenti di sicurezza o annullarne l'archiviazione, inserisci un comando simile al seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \ -X POST \ -d '{"requests": [{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"}, {"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'
Limitazioni dell'API Security Incidents
L'API Security Incidents presenta le seguenti limitazioni:
- Gli incidenti vengono archiviati per un massimo di 14 mesi.
ListIncidents
supporta filtri solo per:first_detected_time
last_detected_time
apiproxy
- All'inizio enable API avanzata per un'organizzazione o riattivarla in un secondo momento, si verificherà un ritardo vengono raggruppati in incidenti. In seguito, gli incidenti vengono ricalcolati periodicamente.