Esta página se aplica a Apigee y Apigee Hybrid.
Consulta la documentación de
Apigee Edge.
La API de Incidentes te permite ver estadísticas de incidentes de seguridad relacionados con la detección de abuso.
Parámetros en llamadas a la API de ejemplo
En las siguientes secciones, se proporcionan ejemplos de llamadas a la API que usan la API de incidentes. Las llamadas a la API contienen los siguientes parámetros de variables:
- ORG es tu organización.
- ENV es el entorno en el que deseas que se calculen las puntuaciones.
INCIDENT_UUIDes el UUID del incidente.$TOKENes la variable de entorno para un token de acceso de OAuth.
Enumera los incidentes y obtén sus detalles
En los siguientes ejemplos, se muestra cómo enumerar los incidentes y obtener sus detalles.
Ejemplo: Enumera todos los incidentes para un entorno
Para enumerar todos los incidentes de un entorno, envía la siguiente solicitud:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
Consulta la página de referencia de
SecurityIncident para obtener descripciones de la solicitud y la respuesta.
Ejemplo: Obtén detalles sobre un incidente específico
Para obtener los detalles de un incidente específico, envía una solicitud como la siguiente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"
donde INCIDENT_UUID es el UUID del incidente, que se muestra en el campo name mediante la llamada que se muestra en Ejemplo: enumera todos los incidentes de un entorno.
Consulta la página de referencia de SecurityIncident para obtener descripciones de la solicitud y la respuesta.
Archiva incidentes
Para ayudarte a distinguir entre los incidentes que ya investigaste y aquellos que no analizaste, puedes archivar los incidentes que ya no requieren atención. Archivar incidentes tiene los siguientes efectos:
- En la IU de Apigee, los incidentes archivados no se muestran en la lista Detalles del entorno > Incidentes (siempre que se seleccionara Incluir incidentes archivados).
- En la API, cuando realizas una llamada para enumerar todos los incidentes, los incidentes archivados tienen la siguiente línea:
"observability": "ARCHIVED"
Puedes usar el campo
"observability"para filtrar los incidentes archivados de una lista de incidentes.Los valores posibles de
"observability"son los siguientes:ACTIVEARCHIVED
Los incidentes archivados no se borran: siempre puedes desarchivarlos, lo que cambia el "observability" del incidente a ACTIVE.
En los siguientes ejemplos, se muestra cómo archivar y desarchivar incidentes.
Archiva un incidente
Para archivar un incidente, envía una solicitud como la siguiente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCH
Esto devuelve una respuesta como la que se muestra a continuación:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}
La última línea, "observability": "ARCHIVED", muestra que el incidente se archivó.
Desarchiva un incidente
Para desarchivar un incidente, usa la misma llamada que en la sección anterior, pero usa la línea
"observability": "ACTIVE"
Filtra incidentes por estado de archivo
En el siguiente ejemplo, se filtran los resultados de una llamada para enumerar incidentes para que solo se muestren los incidentes activos.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"
Esto devuelve un resultado como la que se muestra a continuación,
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}
Archiva o desarchiva varios incidentes de seguridad
Para archivar o desarchivar más de un incidente de seguridad, ingresa un comando como el siguiente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'
Limitaciones de la API de incidentes de seguridad
La API de incidentes de seguridad tiene las siguientes limitaciones:
- Los incidentes se almacenan durante un máximo de 14 meses.
ListIncidentssolo admite filtros para lo siguiente:first_detected_timelast_detected_timeapiproxy
- La primera vez que habilites la API avanzada para una organización, o si luego la vuelves a habilitar, habrá un retraso mientras los eventos se agrupan en clústeres en incidentes. Después de eso, los incidentes se vuelven a calcular de forma periódica.