Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Mit der Incident API können Sie Statistiken zu Sicherheitsvorfällen im Zusammenhang mit der Missbrauchserkennung aufrufen.
Parameter in Beispiel-API-Aufrufen
In den folgenden Abschnitten finden Sie Beispiele für API-Aufrufe, die die Incidents API verwenden. Die API-Aufrufe enthalten die folgenden Variablenparameter:
- ORG ist Ihre Organisation.
- ENV ist die Umgebung, in der Punktzahlen berechnet werden sollen.
INCIDENT_UUIDist die UUID für den Vorfall.$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.
Vorfälle auflisten und Details abrufen
In den folgenden Beispielen wird gezeigt, wie Sie Vorfälle auflisten und Details dazu abrufen.
Beispiel: Alle Vorfälle für eine Umgebung auflisten
Senden Sie die folgende Anfrage, um alle Vorfälle für eine Umgebung aufzulisten:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Eine Beschreibung der Anfrage und Antwort finden Sie auf der Referenzseite zu SecurityIncident.
Beispiel: Details zu einem bestimmten Vorfall abrufen
Wenn Sie die Details eines bestimmten Vorfalls abrufen möchten, senden Sie eine Anfrage wie die folgende:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Dabei ist INCIDENT_UUID die UUID für den Vorfall, die im Feld name durch den im Abschnitt Beispiel: Alle Vorfälle für eine Umgebung auflisten gezeigten Aufruf zurückgegeben wird.
Eine Beschreibung der Anfrage und Antwort finden Sie auf der Referenzseite zu SecurityIncident.
Vorfälle archivieren
Damit Sie zwischen den Vorfällen, die Sie bereits untersucht haben, und denen, die Sie nicht untersucht haben, besser unterscheiden können, können Sie die Vorfälle archivieren, die nicht mehr Ihre Aufmerksamkeit erfordern. Das Archivieren von Vorfällen hat folgende Auswirkungen:
- In der Apigee-Benutzeroberfläche werden archivierte Vorfälle nicht in der Liste Umgebungsdetails > Vorfälle angezeigt (sofern Archivierte Vorfälle einschließen nicht ausgewählt ist).
- Wenn Sie in der API einen Aufruf zum Auflisten aller Vorfälle ausführen, haben archivierte Vorfälle die folgende Zeile:
"observability": "ARCHIVED"
Mit dem Feld
"observability"können Sie archivierte Vorfälle aus einer Liste von Vorfällen herausfiltern.Folgende Werte sind für
"observability"möglich:ACTIVEARCHIVED
Archivierte Vorfälle werden nicht gelöscht. Sie können sie jederzeit wieder aktivieren. Dadurch wird der "observability" des Vorfalls in ACTIVE geändert.
Die folgenden Beispiele zeigen, wie Vorfälle archiviert und wieder aktiviert werden.
Vorfall archivieren
Senden Sie eine Anfrage wie die folgende, um einen Vorfall zu archivieren:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCHDies gibt eine Antwort wie die folgende zurück:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}Die letzte Zeile, "observability": "ARCHIVED", zeigt, dass der Vorfall archiviert wurde.
Vorfall wieder aktivieren
Wenn Sie einen Vorfall wieder aktivieren möchten, verwenden Sie denselben Anruf wie im vorherigen Abschnitt, aber verwenden Sie die Zeile
"observability": "ACTIVE"
Vorfälle nach Archivstatus filtern
Im nächsten Beispiel werden die Ergebnisse eines Aufrufs zum Auflisten von Vorfällen so gefiltert, dass nur aktive Vorfälle zurückgegeben werden.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"Dies gibt ein Ergebnis wie das folgende zurück:
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}Mehrere Sicherheitsvorfälle archivieren oder wieder aktivieren
Wenn Sie mehrere Sicherheitsvorfälle archivieren oder wieder aktivieren möchten, geben Sie einen Befehl wie den folgenden ein:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'Einschränkungen der Security Incidents API
Die Security Incidents API unterliegt folgenden Einschränkungen:
- Vorfälle werden maximal 14 Monate gespeichert.
ListIncidentsunterstützt Filter nur für folgende Elemente:first_detected_timelast_detected_timeapiproxy
- Wenn Sie die erweiterte API zum ersten Mal für eine Organisation aktivieren oder später wieder aktivieren, dauert es eine gewisse Zeit, bis Ereignisse in Vorfällen geclustert sind. Danach werden Vorfälle regelmäßig neu berechnet.