Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza
documentazione di Apigee Edge.
L’API Incidents consente di visualizzare le statistiche sugli incidenti di sicurezza relativi a: abuso il rilevamento.
Parametri nelle chiamate API di esempio
Le seguenti sezioni forniscono esempi di chiamate API che usano l'API Incidents. Le chiamate API contengono i seguenti parametri variabili:
- ORG è la tua organizzazione.
- ENV è l'ambiente in cui vuoi calcolare i punteggi.
INCIDENT_UUIDè l'UUID dell'incidente.$TOKENè la variabile di ambiente per un Token di accesso OAuth.
Elencare gli incidenti e recuperare i relativi dettagli
I seguenti esempi mostrano come elencare gli incidenti e trovarne i dettagli.
Esempio: elencare tutti gli incidenti relativi a un ambiente
Per elencare tutti gli incidenti per un ambiente, invia la richiesta seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
Consulta le
pagina di riferimento SecurityIncident per le descrizioni
richiesta e risposta.
Esempio: visualizzare i dettagli di un incidente specifico
Per ottenere i dettagli di un incidente specifico, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
dove INCIDENT_UUID è l'UUID dell'incidente, che viene restituito nel valore name
campo accanto alla chiamata mostrata in Esempio: elenco
tutti gli incidenti relativi a un ambiente.
Consulta le
Pagina di riferimento SecurityIncident per le descrizioni della richiesta e della risposta.
Archiviazione degli incidenti
Per aiutarti a distinguere tra gli incidenti che hai già esaminato da quelli che non hai più, puoi archiviare gli incidenti che non richiedono più la tua attenzione. L'archiviazione degli incidenti ha i seguenti effetti:
- Nella UI di Apigee, gli incidenti archiviati non vengono visualizzati Dettagli ambiente > degli incidenti (a condizione che L'opzione Includi incidenti archiviati non è selezionata).
- Nell'API, quando effettui una chiamata
elencare tutti gli incidenti,
gli incidenti archiviati presentano la seguente riga:
"observability": "ARCHIVED"
Puoi utilizzare il campo
"observability"per filtrare ed escludere gli elementi archiviati incidenti da un elenco di incidenti.I valori possibili per
"observability"sono:ACTIVEARCHIVED
Gli incidenti archiviati non vengono eliminati: puoi sempre annullarne l'archiviazione,
da "observability" a ACTIVE dell'incidente.
I seguenti esempi mostrano come archiviare gli incidenti e annullarne l'archiviazione.
Archiviare un incidente
Per archiviare un incidente, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCH
Viene restituita una risposta simile alla seguente:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}
L'ultima riga, "observability": "ARCHIVED", indica che l'incidente è stato
archiviati.
Annullare l'archiviazione di un incidente
Per annullare l'archiviazione di un incidente, utilizza la stessa chiamata della sezione precedente, ma la riga
"observability": "ACTIVE"
Filtra incidenti per stato dell'archivio
L'esempio successivo filtra i risultati di una chiamata per elencare gli incidenti vengono restituiti gli incidenti.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"
Viene restituito un risultato simile al seguente.
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}
Archiviare o annullare l'archiviazione di più incidenti di sicurezza
Per archiviare più incidenti di sicurezza o annullarne l'archiviazione, inserisci un comando simile al seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'
Limitazioni dell'API Security Incidents
L'API Security Incidents presenta le seguenti limitazioni:
- Gli incidenti vengono archiviati per un massimo di 14 mesi.
ListIncidentssupporta filtri solo per:first_detected_timelast_detected_timeapiproxy
- All'inizio enable API avanzata per un'organizzazione o riattivarla in un secondo momento, si verificherà un ritardo vengono raggruppati in incidenti. In seguito, gli incidenti vengono ricalcolati periodicamente.