Sicherheitswarnungen

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Mit erweiterten API-Sicherheitsbenachrichtigungen können Sie Benachrichtigungen für Ereignisse im Zusammenhang mit der API-Sicherheit erstellen, z. B. bei Änderungen an Ihrer Sicherheitspunktzahl oder bei erkanntem API-Missbrauch. Sie erstellen Benachrichtigungen mit Cloud Monitoring. Sie können Benachrichtigungen so konfigurieren, dass Sie beim Auslösen der Warnung per SMS, E-Mail oder über andere Kanäle informiert werden. Weitere Informationen zum Erstellen von Benachrichtigungen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.

Erforderliche Rollen

Zum Einrichten von Warnungen und Benachrichtigungskanälen in Cloud Monitoring benötigen Sie folgende Rollen:

roles/monitoring.alertPolicyEditor
roles/monitoring.notificationChannelEditor

Beschränkungen

Für Benachrichtigungen gelten folgende Einschränkungen:

Die maximale Anzahl an Benachrichtigungsrichtlinien für alle Apigee-Aboebenen beträgt 500.
Messwertdaten werden sechs Wochen lang gespeichert.
Der maximale Zeitraum, in dem eine Messwertschwellenbedingung ausgewertet wird, beträgt 23 Stunden und 30 Minuten.
Ab der Zeit, zu der ein Ereignis ausgelöst wird, kann es bis zu vier Minuten dauern, bis die Warnung erstellt und eine Benachrichtigung gesendet wird.

Eine vollständige Liste der Limits für Benachrichtigungen finden Sie unter Limits für Benachrichtigungen.

In den folgenden Abschnitten wird anhand von Beispielen gezeigt, wie Sie Benachrichtigungen erstellen.

Beispiel: Benachrichtigung bei einem Rückgang der Proxy-Sicherheitspunktzahl erstellen

In diesem Beispiel wird eine Benachrichtigung erstellt, wenn eine Proxy-Sicherheitsbewertung unter einen bestimmten Grenzwert fällt. So erstellen Sie eine Benachrichtigung:

Öffnen Sie in der Google Cloud Console die Seite Benachrichtigungsrichtlinie erstellen.
Klicken Sie auf Messwert auswählen.
Heben Sie die Auswahl von Nur aktive Ressourcen und Messwerte anzeigen auf.
Hinweis: Wenn Ihre Organisation keine aktuellen API-Trafficdaten enthält, wird der Messwert im nächsten Schritt nur angezeigt, wenn diese Option deaktiviert ist.
So wählen Sie einen Messwert aus:
1. Wählen Sie Umgebungsverknüpfung des Apigee API-Sicherheitsprofils.
2. Wählen Sie im sich öffnenden Bereich rechts Sicherheit.
3. Wählen Sie rechts im nächsten Bereich Sicherheitspunktzahl des Apigee API-Proxys.
4. Klicken Sie auf Anwenden.
Hinweis: Alternativ können Sie einen der folgenden Messwerte wählen:
- Sicherheitspunktzahl von Apigee-Quellen: Weitere Informationen finden Sie unter Quellbewertung.
- Sicherheitspunktzahl der Apigee-Zielserver: Weitere Informationen finden Sie unter Zielbewertung.
- Sicherheitspunktzahl der Apigee-Umgebung: Die Gesamtsicherheitspunktzahl in der Umgebung.
Weitere Informationen finden Sie unter Messwerte für Sicherheitswarnungen.
(Optional) Wenn Sie die Daten für die Benachrichtigung einschränken möchten, z. B. auf eine bestimmte Umgebung, können Sie einen Filter erstellen:
1. Klicken Sie unter Filter hinzufügen > Neuer Filter in das Feld Filter und wählen Sie das Ressourcenlabel aus, nach dem gefiltert werden soll, z. B. env.
2. Wählen Sie im Feld Vergleichsoperator einen Vergleichsoperator aus, z. B. =.
3. Wählen Sie im Feld Wert einen Wert für das Ressourcenlabel aus, z. B. den Namen einer Umgebung.
Über diesen Filter werden Benachrichtigungen nur durch Daten ausgelöst, die der Filterbedingung entsprechen. Eine Liste der verfügbaren Filter finden Sie unter Filter.
Wählen Sie unter Daten transformieren im Feld Funktion: rollierendes Zeitfenster die Option Summe aus.
Klicken Sie auf Weiter.
Legen Sie im Bereich Benachrichtigungstrigger konfigurieren Folgendes fest:
- Wählen Sie unter Bedingungstypen die Option Schwellenwert.
- Wählen Sie unter Benachrichtigungstrigger die Option Bei jedem Verstoß.
- Wählen Sie unter Grenzwert die Option Unter Grenzwert.
- Geben Sie im Feld Schwellenwert den Schwellenwert ein, der die Benachrichtigung auslösen soll, z. B. 600.
Klicken Sie auf Weiter.
Klicken Sie im Feld Benachrichtigungen konfigurieren auf das Feld Benachrichtigungskanäle und wählen Sie Kanäle wie SMS oder E-Mail für die Benachrichtigung aus. Wenn Sie noch keine Kanäle konfiguriert haben, klicken Sie auf Benachrichtigungskanäle verwalten und fügen Sie einen oder mehrere Kanäle hinzu.
Klicken Sie auf OK.
Geben Sie im Feld Dokumentation den Text ein, der mit der Benachrichtigung zugestellt werden soll, z. B. eine Beschreibung des Auslösers der Benachrichtigung. Sie können beispielsweise eingeben: "Eine Sicherheitspunktzahl ist unter 600 gefallen."
Geben Sie unter Benachrichtigungsrichtlinie benennen einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Weiter und prüfen Sie die Details der Benachrichtigungsrichtlinie.
Wenn alles in Ordnung ist, klicken Sie auf Richtlinie erstellen, um die Benachrichtigungsrichtlinie zu erstellen.

Beispiel: Benachrichtigung bei Erhöhung des erkannten Missbrauchs-Traffics für eine Erkennungsregel erstellen

In diesem Beispiel wird gezeigt, wie eine Benachrichtigung erstellt wird, wenn die Anzahl der Anfragen mit erkanntem Missbrauchs-Traffic für eine einzelne Erkennungsregel einen bestimmten Grenzwert überschreitet. So erstellen Sie eine Benachrichtigung:

Öffnen Sie in der Google Cloud Console die Seite Benachrichtigungsrichtlinie erstellen.
Klicken Sie auf Messwert auswählen.
Heben Sie die Auswahl von Nur aktive Ressourcen und Messwerte anzeigen auf.
Hinweis: Wenn Ihre Organisation keine aktuellen API-Trafficdaten enthält, wird der Messwert im nächsten Schritt nur angezeigt, wenn diese Option deaktiviert ist.
So wählen Sie einen Messwert aus:
1. Wählen Sie Apigee API-Sicherheitserkennungsregel aus.
2. Wählen Sie im sich öffnenden Bereich rechts Sicherheit.
3. Wählen Sie im nächsten Bereich rechts Anzahl der erkannten Apigee API-Sicherheitsanfragen nach Regel aus.
4. Klicken Sie auf Anwenden.
Hinweis: Alternativ können Sie den Messwert Apigee-Umgebung > Sicherheit > Anzahl der erkannten Apigee API-Sicherheitsanfragen wählen. In diesem Fall wird eine Benachrichtigung ausgelöst, wenn die Gesamtzahl der erkannten Anfragen den angegebenen Grenzwert überschreitet (im Gegensatz zur Anzahl für eine einzelne Regel).
Weitere Informationen finden Sie unter Messwerte für Sicherheitswarnungen.
(Optional) Wenn Sie die Daten für die Benachrichtigung einschränken möchten, z. B. auf eine bestimmte Umgebung, können Sie einen Filter erstellen:
1. Klicken Sie unter Filter hinzufügen > Neuer Filter in das Feld Filter und wählen Sie das Ressourcenlabel aus, nach dem gefiltert werden soll, z. B. env.
2. Wählen Sie im Feld Vergleichsoperator einen Vergleichsoperator aus, z. B. =.
3. Wählen Sie im Feld Wert einen Wert für das Ressourcenlabel aus, z. B. den Namen einer Umgebung.
Über diesen Filter werden Benachrichtigungen nur durch Daten ausgelöst, die der Filterbedingung entsprechen, z. B. Daten in einer Umgebung. Eine Liste der verfügbaren Filter finden Sie unter Filter.
Wählen Sie unter Daten transformieren im Feld Funktion: rollierendes Zeitfenster die Option Summe aus.
Klicken Sie auf Weiter.
Legen Sie im Bereich Benachrichtigungstrigger konfigurieren Folgendes fest:
- Wählen Sie unter Bedingungstypen die Option Schwellenwert.
- Wählen Sie unter Benachrichtigungstrigger die Option Bei jedem Verstoß.
- Wählen Sie unter Grenzwert die Option Über Schwellenwert.
- Geben Sie im Feld Schwellenwert den Schwellenwert ein, der die Benachrichtigung auslösen soll, z. B. 100.
Klicken Sie auf Weiter.
Klicken Sie im Feld Benachrichtigungen konfigurieren auf das Feld Benachrichtigungskanäle und wählen Sie Kanäle wie SMS oder E-Mail für die Benachrichtigung aus. Wenn Sie noch keine Kanäle konfiguriert haben, klicken Sie auf Benachrichtigungskanäle verwalten und fügen Sie einen oder mehrere Kanäle hinzu.
Klicken Sie auf OK.
Geben Sie im Feld Dokumentation den Text ein, der mit der Benachrichtigung zugestellt werden soll, z. B. eine Beschreibung des Auslösers der Benachrichtigung. Sie können beispielsweise „Erkannter Missbrauchs-Traffic über 100 für $(resource.label.env)" eingeben. Dabei wird das Label $(resource.label.env) verwendet, das die Umgebung angibt, deren Daten die Benachrichtigung ausgelöst haben.
Geben Sie unter Benachrichtigungsrichtlinie benennen einen Namen für die Benachrichtigungsrichtlinie ein.
Klicken Sie auf Weiter und prüfen Sie die Details der Benachrichtigungsrichtlinie.
Wenn alles in Ordnung ist, klicken Sie auf Richtlinie erstellen, um die Benachrichtigungsrichtlinie zu erstellen.

Messwerte für Sicherheitswarnungen

In der folgenden Tabelle werden die verfügbaren Messwerte für das Erstellen von Sicherheitswarnungen beschrieben:

Ressource	Messwert	Beschreibung	Unterstützte Filter
Apigee-Umgebung	Anzahl der Apigee API Security-Anfragen: `apigee.googleapis.com/security/request_count`	Anzahl der API-Anfragen, die seit der letzten Stichprobe von Advanced API Security verarbeitet wurden.	Standort, Organisation, Umgebung, Proxy
Apigee-Umgebung	Von Apigee API Security erkannte Anzahl von Anfragen: `apigee.googleapis.com/security/detected_request_count`	Anzahl der API-Anfragen, die seit der letzten Stichprobe von der Missbrauchserkennung der erweiterten API-Sicherheit erkannt wurden.	Standort, Organisation, Umgebung, Proxy
Apigee API Security-Erkennungsregel	Anzahl der erkannten Apigee API-Sicherheitsanfragen nach Regel: `apigee.googleapis.com/security/detected_request_count_by_rule`	Anzahl der von der erweiterten API-Sicherheitserkennung erkannten API-Anfragen seit der letzten Probennahme, gruppiert nach der Erkennungsregel.	location, org, env, proxy, detection_rule
Apigee API-Sicherheitsvorfall	Anzahl der Anfragen zu Apigee API-Sicherheitsvorfällen: `apigee.googleapis.com/security/incident_request_count`	Anzahl der erkannten API-Anfragen, die Teil eines API-Sicherheitsvorfalls sind. Dieser Wert wird einmal pro Stunde gemessen.	Standort, Organisation, Umgebung, Proxy
Apigee API-Sicherheitsvorfall	Anzahl der Apigee API Security-Anfrage zu Sicherheitsvorfällen nach Erkennungsregel: `apigee.googleapis.com/security/incident_request_count_by_rule`	Anzahl der erkannten API-Anfragen, die Teil eines API-Sicherheitsvorfalls sind, nach Erkennungsregel gruppiert. Dieser Wert wird einmal pro Stunde gemessen.	Standort, Organisation, Umgebung, Vorfall-ID, Erkennungsregel
Verknüpfung der Apigee API-Sicherheitsprofilumgebung	Sicherheitspunktzahl der Apigee API-Quellen: `apigee.googleapis.com/security/source_score`	Aktuelle Sicherheitspunktzahl des Apigee API-Proxys auf Grundlage der Bewertung der Quelle durch die erweiterte API-Sicherheit. Dieser Wert wird mindestens alle drei Stunden gemessen.	location, org, env, profile
Verknüpfung der Apigee API-Sicherheitsprofilumgebung	Sicherheitspunktzahl des Apigee API-Proxy: `apigee.googleapis.com/security/proxy_score`	Aktuelle Sicherheitspunktzahl des Apigee API-Proxys auf Grundlage der Proxybewertung der erweiterten API-Sicherheit. Dieser Wert wird mindestens alle drei Stunden gemessen.	location, org, env, profile, proxy
Verknüpfung der Apigee API-Sicherheitsprofilumgebung	Sicherheitspunktzahl des Apigee API-Ziels: `apigee.googleapis.com/security/target_score`	Aktuelle Sicherheitspunktzahl des Apigee API-Proxys auf Grundlage der Zielbewertung der erweiterten API-Sicherheit. Dieser Wert wird mindestens alle drei Stunden gemessen.	Standort, Organisation, Umgebung, Profil, Zielserver
Verknüpfung der Apigee API-Sicherheitsprofilumgebung	Sicherheitspunktzahl der Apigee-Umgebung: `apigee.googleapis.com/security/environment_score`	Aktuelle Gesamtsicherheitspunktzahl der Apigee-Umgebung auf Basis von erweiterten API-Sicherheitsbewertungen von Quellen, Proxys und Zielen. Dieser Wert wird mindestens alle drei Stunden gemessen.	location, org, env, profile

Filter

Filterlabel	Beschreibung
Standort	Standort der Ressource: immer „global“.
org	Name der Apigee-Organisation
env	Name der Apigee-Umgebung
Profil	Name des Apigee API-Sicherheitsprofils
proxy	Name des Apigee API-Proxys
target_server	Name des Apigee-Zielservers
detection_rule	Name der Apigee-API-Sicherheitserkennungsregel