Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Mit der Incidents API können Sie Statistiken zu Sicherheitsvorfällen im Zusammenhang mit der Missbrauchserkennung aufrufen.
Parameter in Beispiel-API-Aufrufen
In den folgenden Abschnitten finden Sie Beispiele für API-Aufrufe, die die Incidents API verwenden. Die API-Aufrufe enthalten die folgenden Variablenparameter:
- ORG ist Ihre Organisation.
- ENV ist die Umgebung, in der Punktzahlen berechnet werden sollen.
INCIDENT_UUIDist die UUID für den Vorfall.$TOKENist die Umgebungsvariable für ein OAuth-Zugriffstoken.
Vorfälle auflisten und Details abrufen
Die folgenden Beispiele zeigen, wie Sie Vorfälle auflisten und ihre Details abrufen.
Beispiel: Alle Vorfälle für eine Umgebung auflisten
Senden Sie die folgende Anfrage, um alle Vorfälle für eine Umgebung aufzulisten:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Eine Beschreibung der Anfrage und Antwort finden Sie auf der Referenzseite zu SecurityIncident.
Beispiel: Details zu einem bestimmten Vorfall abrufen
Wenn Sie die Details eines bestimmten Vorfalls abrufen möchten, senden Sie eine Anfrage wie die folgende:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Dabei ist INCIDENT_UUID die UUID für den Vorfall, die im Feld name durch den im Abschnitt Beispiel: Alle Vorfälle für eine Umgebung auflisten gezeigten Aufruf zurückgegeben wird.
Eine Beschreibung der Anfrage und Antwort finden Sie auf der Referenzseite zu SecurityIncident.
Vorfälle archivieren
Damit Sie zwischen den Vorfällen, die Sie bereits untersucht haben, und denen, die Sie nicht untersucht haben, besser unterscheiden können, können Sie die Vorfälle archivieren, die nicht mehr Ihre Aufmerksamkeit erfordern. Das Archivieren von Vorfällen hat folgende Auswirkungen:
- In der Apigee-Benutzeroberfläche werden archivierte Vorfälle nicht in der Liste Umgebungsdetails > Vorfälle angezeigt (sofern Archivierte Vorfälle einschließen nicht ausgewählt ist).
- Wenn Sie in der API einen Aufruf zum Auflisten aller Vorfälle ausführen, enthalten archivierte Vorfälle die folgende Zeile:
"observability": "ARCHIVED"
Mit dem Feld
"observability"können Sie archivierte Vorfälle aus einer Liste von Vorfällen herausfiltern.Die möglichen Werte für
"observability"sind:ACTIVEARCHIVED
Archivierte Vorfälle werden nicht gelöscht. Sie können sie jederzeit wiederherstellen. Dadurch ändert sich der "observability" des Vorfalls in ACTIVE.
Die folgenden Beispiele zeigen, wie Vorfälle archiviert und die Archivierung aufgehoben wird.
Vorfall archivieren
Senden Sie zum Archivieren eines Vorfalls eine Anfrage wie die folgende:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCHDies gibt eine Antwort wie die folgende zurück:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}Die letzte Zeile, "observability": "ARCHIVED", zeigt, dass der Vorfall archiviert wurde.
Vorfall aus dem Archiv wiederherstellen
Verwenden Sie zum Entarchiveren eines Vorfalls denselben Aufruf wie im vorherigen Abschnitt, aber mit der Zeile
"observability": "ACTIVE"
Vorfälle nach Archivierungsstatus filtern
Im nächsten Beispiel werden die Ergebnisse eines Aufrufs zum Auflisten von Vorfällen so gefiltert, dass nur aktive Vorfälle zurückgegeben werden.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"Dies gibt ein Ergebnis wie das folgende zurück:
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}Mehrere Sicherheitsvorfälle archivieren oder wieder aktivieren
Wenn Sie mehrere Sicherheitsvorfälle gleichzeitig archivieren oder die Archivierung aufheben möchten, geben Sie einen Befehl wie den folgenden ein:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'Einschränkungen der Security Incidents API
Die Security Incidents API unterliegt folgenden Einschränkungen:
- Vorfälle werden maximal 14 Monate gespeichert.
ListIncidentsunterstützt Filter nur für folgende Elemente:first_detected_timelast_detected_timeapiproxy
- Wenn Sie die erweiterte API zum ersten Mal für eine Organisation aktivieren oder später wieder aktivieren, dauert es eine gewisse Zeit, bis Ereignisse in Vorfällen geclustert sind. Danach werden Vorfälle regelmäßig neu berechnet.