Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
L'API Incidents ti consente di visualizzare le statistiche relative agli incidenti di sicurezza correlati al rilevamento di abusi.
Parametri nelle chiamate API di esempio
Le sezioni seguenti forniscono esempi di chiamate API che utilizzano l'API Incidents. Le chiamate API contengono i seguenti parametri variabili:
- ORG è la tua organizzazione.
- ENV è l'ambiente in cui vuoi che vengano calcolati i punteggi.
INCIDENT_UUIDè l'UUID dell'incidente.$TOKENè la variabile di ambiente per un token di accesso OAuth.
Elenca gli incidenti e visualizza i relativi dettagli
Gli esempi riportati di seguito mostrano come elencare gli incidenti e ottenere i relativi dettagli.
Esempio: elenca tutti gli incidenti per un ambiente
Per elencare tutti gli incidenti per un ambiente, invia la seguente richiesta:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"Consulta la pagina di riferimento
SecurityIncident per le descrizioni della
richiesta e della risposta.
Esempio: visualizzare i dettagli di un incidente specifico
Per ottenere i dettagli di un incidente specifico, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID" \
-H 'Content-type: application/json' \
-H "Authorization: Bearer $TOKEN"dove INCIDENT_UUID è l'UUID dell'incidente, restituito nel campo name
dalla chiamata mostrata in Esempio: elenco
di tutti gli incidenti per un ambiente.
Consulta la pagina di riferimento
SecurityIncident per le descrizioni della richiesta e della risposta.
Archiviazione degli incidenti
Per distinguere gli incidenti che hai già esaminato da quelli che non hai ancora esaminato, puoi archiviare quelli che non richiedono più la tua attenzione. L'archiviazione degli incidenti ha i seguenti effetti:
- Nell'interfaccia utente Apigee, gli incidenti archiviati non vengono visualizzati nell'elenco Dettagli ambiente > Incidenti (a condizione che Includi incidenti archiviati non sia selezionato).
- Nell'API, quando effettui una chiamata per
elencare tutti gli incidenti,
gli incidenti archiviati hanno la seguente riga:
"observability": "ARCHIVED"
Puoi utilizzare il campo
"observability"per filtrare gli incidenti archiviati da un elenco di incidenti.I valori possibili per
"observability"sono:ACTIVEARCHIVED
Gli incident archiviati non vengono eliminati: puoi sempre ripristinarli, il che cambia lo
stato dell'incidente da "observability" a ACTIVE.
I seguenti esempi mostrano come archiviare e ripristinare gli incidenti.
Archiviare un incidente
Per archiviare un incidente, invia una richiesta come la seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID?updateMask=observability" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"name": "organizations/ORG/environments/ENV/securityIncidents/INCIDENT_UUID",
"observability": "ARCHIVED"}' \
-X PATCHViene restituita una risposta simile alla seguente:
{
"name": "INCIDENT_UUID",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ARCHIVED"
}L'ultima riga, "observability": "ARCHIVED", mostra che l'incidente è stato
archiviato.
Annullare l'archiviazione di un incidente
Per ripristinare un incidente, utilizza la stessa chiamata della sezione precedente, ma utilizza la riga
"observability": "ACTIVE"
Filtrare gli incidenti per stato di archiviazione
L'esempio successivo filtra i risultati di una chiamata per elencare gli incidenti in modo che vengano restituiti solo gli incidenti attivi.
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents?filter=observability=\"ACTIVE\"" \
-X POST \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json"Viene restituito un risultato simile al seguente.
{
"securityIncidents": [
{
"name": "1850fbb9-53a9-44e7-8893-f0b0c987d55e",
"displayName": "Multi type attack from US",
"firstDetectedTime": "2023-04-04T17:00:00Z",
"lastDetectedTime": "2023-09-12T03:10:00Z",
"detectionTypes": [
"Advanced Anomaly Detection",
"OAuth Abuser"
],
"trafficCount": "4052130",
"containsMlAbuses": false,
"riskLevel": "MODERATE",
"observability": "ACTIVE"
}
],
"nextPageToken": "ClAKAjUwEj1saXN0U2VjdXJpdHlJbmNpZGVudC9hcGlzZWN1cml0eS1tbHRlc3QtYXV0b3B1c2gvZGVmYXVsdC1wcm9kGgsI_KW1qQYQ6fqSDg"
}Archiviare o annullare l'archiviazione di più incidenti di sicurezza
Per archiviare o ripristinare più di un incidente di sicurezza, inserisci un comando come il seguente:
curl "https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/securityIncidents:batchUpdate" \
-X POST \
-d '{"requests":
[{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID1", "observability": "ARCHIVE"}, "update_mask": "observability"},
{"security_incident": {"name": "organizations/apisecurity-mltest-autopush/environments/default-prod/securityIncidents/INCIDENT_UUID2", "observability": "ARCHIVE"}, "update_mask": "observability"}]}'Limitazioni dell'API Security Incidents
L'API Security Incidents presenta le seguenti limitazioni:
- Gli incidenti vengono archiviati per un massimo di 14 mesi.
ListIncidentssupporta i filtri solo per quanto segue:first_detected_timelast_detected_timeapiproxy
- Quando attivi per la prima volta l'API avanzata per un'organizzazione o la riattivi in un secondo momento, si verifica un ritardo durante il raggruppamento degli eventi in incidenti. Dopodiché, gli incidenti vengono ricalcolati periodicamente.