Questa pagina si applica a Apigee e Apigee ibridi.
Visualizza
documentazione di Apigee Edge.
L'API Incidents ti consente di visualizzare le statistiche relative agli incidenti di sicurezza correlati al rilevamento di abusi.
Parametri nelle chiamate API di esempio
Le seguenti sezioni forniscono esempi di chiamate API che usano l'API Incidents. Le chiamate all'API contengono i seguenti parametri variabili:
- ORG è la tua organizzazione.
- ENV è l'ambiente in cui vuoi che vengano calcolati i punteggi.
INCIDENT_UUIDè l'UUID dell'incidente.$TOKENè la variabile di ambiente per un token di accesso OAuth.
Elencare gli incidenti e recuperare i relativi dettagli
Gli esempi riportati di seguito mostrano come elencare gli incidenti e ottenerne i dettagli.
Esempio: elencare tutti gli incidenti per un ambiente
Per elencare tutti gli incidenti per un ambiente, invia la richiesta seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Per le descrizioni della richiesta e della risposta, consulta la pagina di riferimento SecurityIncident.
Esempio: visualizzare i dettagli di un incidente specifico
Per ottenere i dettagli di un incidente specifico, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"dove INCIDENT_UUID è l'UUID dell'incidente, restituito nel campo name
dalla chiamata mostrata in Esempio: elenca tutti gli incidenti per un ambiente.
Consulta le
Pagina di riferimento SecurityIncident per le descrizioni della richiesta e della risposta.
Archiviazione degli incidenti
Per aiutarti a distinguere tra gli incidenti che hai già esaminato da quelli che non hai più, puoi archiviare gli incidenti che non richiedono più la tua attenzione. L'archiviazione degli incidenti ha i seguenti effetti:
- Nella UI di Apigee, gli incidenti archiviati non vengono visualizzati Dettagli ambiente > degli incidenti (a condizione che L'opzione Includi incidenti archiviati non è selezionata).
- Nell'API, quando effettui una chiamata per
elencare tutti gli incidenti,
gli incidenti archiviati hanno la seguente riga:
"observability": "ARCHIVED"
Puoi utilizzare il campo
"observability"per filtrare ed escludere gli elementi archiviati incidenti da un elenco di incidenti.I valori possibili per
"observability"sono:ACTIVEARCHIVED
Gli incidenti archiviati non vengono eliminati: puoi sempre annullarne l'archiviazione,
da "observability" a ACTIVE dell'incidente.
Gli esempi riportati di seguito mostrano come archiviare e annullare l'archiviazione degli incidenti.
Archiviare un incidente
Per archiviare un incidente, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCHViene restituita una risposta simile alla seguente:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}L'ultima riga, "observability": "ARCHIVED", indica che l'incidente è stato archiviato.
Annullare l'archiviazione di un incidente
Per annullare l'archiviazione di un incidente, utilizza la stessa chiamata della sezione precedente, ma utilizza la riga
"observability": "ACTIVE"
Filtrare gli incidenti in base allo stato di archiviazione
L'esempio successivo filtra i risultati di una chiamata per elencare gli incidenti vengono restituiti gli incidenti.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"Viene restituito un risultato come il seguente.
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}Archiviare o annullare l'archiviazione di più incidenti di sicurezza
Per archiviare o annullare l'archiviazione di più di un incidente di sicurezza, inserisci un comando come il seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'Limitazioni dell'API Security Incidents
L'API Security Incidents presenta le seguenti limitazioni:
- Gli incidenti vengono archiviati per un massimo di 14 mesi.
ListIncidentssupporta i filtri solo per quanto segue:first_detected_timelast_detected_timeapiproxy
- All'inizio attiva API avanzata per un'organizzazione o riattivarla in un secondo momento, si verificherà un ritardo vengono raggruppati in incidenti. Dopodiché, gli incidenti vengono ricalcolati periodicamente.