API Insiden

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat Dokumentasi Apigee Edge.

Incidents API memungkinkan Anda melihat statistik insiden keamanan yang terkait dengan penyalahgunaan deteksi.

Parameter dalam contoh panggilan API

Bagian berikut memberikan contoh panggilan API yang gunakan Incidents API. Panggilan API berisi parameter variabel berikut:

  • ORG adalah organisasi Anda.
  • ENV adalah lingkungan tempat Anda ingin menghitung skor.
  • INCIDENT_UUID adalah UUID insiden.
  • $TOKEN adalah variabel lingkungan untuk Token akses OAuth.

Mencantumkan insiden dan mendapatkan detailnya

Contoh berikut menunjukkan cara menampilkan daftar insiden dan mendapatkan detailnya.

Contoh: Mencantumkan semua insiden untuk suatu lingkungan

Untuk menampilkan daftar semua insiden untuk lingkungan, kirim permintaan berikut:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
       -H 'Content-type: application/json' \
       -H "Authorization: Bearer $TOKEN"

Lihat SecurityIncident untuk deskripsi permintaan dan respons.

Contoh: Mendapatkan detail untuk insiden tertentu

Untuk mendapatkan detail insiden tertentu, kirim permintaan seperti berikut:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
       -H 'Content-type: application/json' \
       -H "Authorization: Bearer $TOKEN"

dengan INCIDENT_UUID adalah UUID insiden, yang ditampilkan di name kolom sebesar panggilan yang ditampilkan di Contoh: Daftar semua insiden untuk suatu lingkungan.

Lihat SecurityIncident untuk deskripsi permintaan dan respons.

Mengarsipkan insiden

Untuk membantu Anda membedakan insiden yang telah Anda selidiki dari insiden yang jika tidak, Anda dapat mengarsipkan insiden yang tidak lagi memerlukan perhatian. Insiden pengarsipan memiliki dampak sebagai berikut:

  • Di UI Apigee, insiden yang diarsipkan tidak ditampilkan di Detail lingkungan > Daftar Insiden (asalkan Sertakan insiden yang diarsipkan tidak dipilih).
  • Di API, saat Anda melakukan panggilan ke mencantumkan semua insiden, insiden yang diarsipkan memiliki baris berikut:
    "observability": "ARCHIVED"

    Anda dapat menggunakan kolom "observability" untuk memfilter file yang diarsipkan insiden dari daftar insiden.

    Nilai yang mungkin untuk "observability" adalah:

    • ACTIVE
    • ARCHIVED

Insiden yang diarsipkan tidak dihapus: Anda selalu dapat membatalkan pengarsipannya, yang akan mengubah "observability" insiden ke ACTIVE.

Contoh berikut menunjukkan cara mengarsipkan dan membatalkan pengarsipan insiden.

Mengarsipkan insiden

Untuk mengarsipkan insiden, kirim permintaan seperti berikut:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
       -X POST \
       -H "Authorization: Bearer $TOKEN" \
       -H "Content-Type: application/json" \
       -d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
            "observability": "ARCHIVED"}' \
       -X PATCH

Perintah ini akan menampilkan respons seperti berikut:

{
    "name": "INCIDENT_UUID",
    "displayName": "Multi type attack from US",
    "firstDetectedTime": "2023-04-04T17:00:00Z",
    "lastDetectedTime": "2023-09-12T03:10:00Z",
    "detectionTypes": [
      "Advanced Anomaly Detection",
      "OAuth Abuser"
    ],
    "trafficCount": "4052130",
    "containsMlAbuses": false,
    "riskLevel": "MODERATE",
    "observability": "ARCHIVED"
}

Baris terakhir, "observability": "ARCHIVED", menunjukkan bahwa insiden itu telah diarsipkan.

Membatalkan pengarsipan insiden

Untuk membatalkan pengarsipan insiden, gunakan panggilan yang sama seperti di bagian sebelumnya, tetapi gunakan saluran

"observability": "ACTIVE"

Memfilter insiden menurut status arsip

Contoh berikutnya memfilter hasil insiden panggilan untuk mencantumkan insiden sehingga hanya insiden akan ditampilkan.

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
       -X POST \
       -H "Authorization: Bearer $TOKEN" \
       -H "Content-Type: application/json"

Ini mengembalikan hasil seperti berikut.

{
  "securityIncidents": [
    {
      "name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
      "displayName": "Multi type attack from US",
      "firstDetectedTime": "2023-04-04T17:00:00Z",
      "lastDetectedTime": "2023-09-12T03:10:00Z",
      "detectionTypes": [
        "Advanced Anomaly Detection",
        "OAuth Abuser"
      ],
      "trafficCount": "4052130",
      "containsMlAbuses": false,
      "riskLevel": "MODERATE",
      "observability": "ACTIVE"
    }
  ],
  "nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}

Mengarsipkan atau membatalkan pengarsipan beberapa insiden keamanan

Untuk mengarsipkan atau membatalkan pengarsipan lebih dari satu insiden keamanan, masukkan perintah seperti berikut:

curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
       -X POST \
       -d '{"requests": 
        [{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"}, 
         {"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'

Batasan pada Security Incidents API

Security Incidents API memiliki batasan berikut:

  • Insiden disimpan selama maksimum 14 bulan.
  • ListIncidents hanya mendukung filter untuk hal berikut:
    • first_detected_time
    • last_detected_time
    • apiproxy
  • Saat pertama kali aktifkan Advanced API untuk organisasi, atau mengaktifkannya kembali nanti, akan terjadi penundaan saat peristiwa akan dikelompokkan ke dalam insiden. Setelah itu, insiden dihitung ulang secara berkala.