Sicherheitswarnungen

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Mit erweiterten API-Sicherheitsbenachrichtigungen können Sie Benachrichtigungen für Ereignisse im Zusammenhang mit der API-Sicherheit erstellen, z. B. bei Änderungen an Ihrer Sicherheitspunktzahl oder bei erkanntem API-Missbrauch. Sie erstellen Benachrichtigungen mit Cloud Monitoring. Sie können Benachrichtigungen so konfigurieren, dass Sie beim Auslösen der Warnung per SMS, E-Mail oder über andere Kanäle informiert werden. Weitere Informationen zum Erstellen von Benachrichtigungen finden Sie unter Benachrichtigungsrichtlinien mit Messwertschwellen erstellen.

Erforderliche Rollen

Zum Einrichten von Warnungen und Benachrichtigungskanälen in Cloud Monitoring benötigen Sie folgende Rollen:

  • roles/monitoring.alertPolicyEditor
  • roles/monitoring.notificationChannelEditor

Beschränkungen

Für Benachrichtigungen gelten folgende Einschränkungen:

  • Die maximale Anzahl an Benachrichtigungsrichtlinien für alle Apigee-Aboebenen beträgt 500.
  • Messwertdaten werden sechs Wochen gespeichert.
  • Der maximal von einer Messwertschwellenbedingung ausgewertete Zeitraum beträgt 23 Stunden und 30 Minuten.
  • Ab der Zeit, zu der ein Ereignis ausgelöst wird, kann es bis zu vier Minuten dauern, bis die Warnung erstellt und eine Benachrichtigung gesendet wird.

Eine vollständige Liste der Benachrichtigungslimits finden Sie unter Limits für Benachrichtigungen.

In den folgenden Abschnitten wird anhand von Beispielen gezeigt, wie Sie Benachrichtigungen erstellen.

Beispiel: Benachrichtigung bei einem Rückgang der Proxy-Sicherheitspunktzahl

In diesem Beispiel wird eine Benachrichtigung erstellt, wenn ein Proxy-Sicherheitswert unter einen bestimmten Schwellenwert fällt. So erstellen Sie die Benachrichtigung:

  1. Öffnen Sie in der Google Cloud Console die Seite Benachrichtigungsrichtlinie erstellen.

  2. Klicken Sie auf Messwert auswählen.
  3. Heben Sie die Auswahl von Nur aktive Ressourcen und Messwerte anzeigen auf.

    Hinweis: Wenn Ihre Organisation keine aktuellen API-Trafficdaten enthält, wird der Messwert im nächsten Schritt nur angezeigt, wenn diese Option deaktiviert ist.

  4. So wählen Sie einen Messwert aus:
    1. Wählen Sie Umgebungsverknüpfung des Apigee API-Sicherheitsprofils.
    2. Wählen Sie im sich öffnenden Bereich rechts Sicherheit.
    3. Wählen Sie rechts im nächsten Bereich Sicherheitspunktzahl des Apigee API-Proxys.
    4. Klicken Sie auf Anwenden.
  5. (Optional) Wenn Sie die Daten für die Benachrichtigung einschränken möchten, z. B. auf eine bestimmte Umgebung, können Sie einen Filter erstellen:
    1. Klicken Sie unter Filter hinzufügen > Neuer Filter in das Feld Filter und wählen Sie das Ressourcenlabel aus, nach dem gefiltert werden soll, z. B. env.
    2. Wählen Sie im Feld Vergleichsoperator einen Vergleichsoperator aus, z. B. =.
    3. Wählen Sie im Feld Wert einen Wert für das Ressourcenlabel aus, z. B. einen Umgebungsnamen.

    Über diesen Filter werden Benachrichtigungen nur durch Daten ausgelöst, die der Filterbedingung entsprechen. Eine Liste der verfügbaren Filter finden Sie unter Filter.

  6. Wählen Sie unter Daten transformieren im Feld Funktion: rollierendes Zeitfenster die Option Summe aus.
  7. Klicken Sie auf Next (Weiter).
  8. Legen Sie im Bereich Benachrichtigungstrigger konfigurieren Folgendes fest:
    • Wählen Sie unter Bedingungstypen die Option Schwellenwert.
    • Wählen Sie unter Benachrichtigungstrigger die Option Bei jedem Verstoß.
    • Wählen Sie unter Grenzwert die Option Unter Grenzwert.
    • Geben Sie im Feld Schwellenwert den Schwellenwert ein, der die Benachrichtigung auslösen soll, z. B. 600.
  9. Klicken Sie auf Next (Weiter).
  10. Klicken Sie im Feld Benachrichtigungen konfigurieren in das Feld Benachrichtigungskanäle und wählen Sie Kanäle wie Text oder E-Mail für die Benachrichtigung aus. Wenn Sie keine Kanäle konfiguriert haben, klicken Sie auf Benachrichtigungskanäle verwalten und fügen Sie einen oder mehrere Kanäle hinzu.
  11. Klicken Sie auf OK.
  12. Geben Sie im Feld Dokumentation den Text ein, der mit der Benachrichtigung zugestellt werden soll, z. B. eine Beschreibung des Auslösers der Benachrichtigung. Sie können beispielsweise eingeben: "Eine Sicherheitspunktzahl ist unter 600 gefallen."
  13. Geben Sie unter Benachrichtigungsrichtlinie benennen einen Namen für die Benachrichtigungsrichtlinie ein.
  14. Klicken Sie auf Weiter und prüfen Sie die Details der Benachrichtigungsrichtlinie.
  15. Wenn alles in Ordnung ist, klicken Sie auf Richtlinie erstellen, um die Benachrichtigungsrichtlinie zu erstellen.

Beispiel: Benachrichtigung bei Erhöhung des erkannten Missbrauchs-Traffics für eine Erkennungsregel erstellen

In diesem Beispiel wird gezeigt, wie Sie eine Benachrichtigung erstellen, wenn die Anzahl der Anfragen mit erkanntem Missbrauchstraffic für eine einzelne Erkennungsregel einen angegebenen Schwellenwert überschreitet. So erstellen Sie die Benachrichtigung:

  1. Öffnen Sie in der Google Cloud Console die Seite Benachrichtigungsrichtlinie erstellen.

    Seite mit Benachrichtigungsrichtlinie erstellen

  2. Klicken Sie auf Messwert auswählen.
  3. Heben Sie die Auswahl von Nur aktive Ressourcen und Messwerte anzeigen auf.

    Hinweis: Wenn Ihre Organisation keine aktuellen API-Trafficdaten enthält, wird der Messwert im nächsten Schritt nur angezeigt, wenn diese Option deaktiviert ist.

  4. So wählen Sie einen Messwert aus:
    1. Wählen Sie die Apigee API-Sicherheitserkennungsregel aus.
    2. Wählen Sie im sich öffnenden Bereich rechts Sicherheit.
    3. Wählen Sie im nächsten Bereich rechts Anzahl der erkannten Apigee API-Sicherheitsanfragen nach Regel aus.
    4. Klicken Sie auf Anwenden.
  5. (Optional) Wenn Sie die Daten für die Benachrichtigung einschränken möchten, z. B. auf eine bestimmte Umgebung, können Sie einen Filter erstellen:
    1. Klicken Sie unter Filter hinzufügen > Neuer Filter in das Feld Filter und wählen Sie das Ressourcenlabel aus, nach dem gefiltert werden soll, z. B. env.
    2. Wählen Sie im Feld Vergleichsoperator einen Vergleichsoperator aus, z. B. =.
    3. Wählen Sie im Feld Wert einen Wert für das Ressourcenlabel aus, z. B. einen Umgebungsnamen.

    Über diesen Filter werden Benachrichtigungen nur durch Daten ausgelöst, die der Filterbedingung entsprechen, z. B. Daten in einer Umgebung. Eine Liste der verfügbaren Filter finden Sie unter Filter.

  6. Wählen Sie unter Daten transformieren im Feld Funktion: rollierendes Zeitfenster die Option Summe aus.
  7. Klicken Sie auf Next (Weiter).
  8. Legen Sie im Bereich Benachrichtigungstrigger konfigurieren Folgendes fest:
    • Wählen Sie unter Bedingungstypen die Option Schwellenwert.
    • Wählen Sie unter Benachrichtigungstrigger die Option Bei jedem Verstoß.
    • Wählen Sie unter Grenzwert die Option Über Schwellenwert.
    • Geben Sie im Feld Schwellenwert den Schwellenwert ein, der die Benachrichtigung auslösen soll, z. B. 100.
  9. Klicken Sie auf Next (Weiter).
  10. Klicken Sie im Feld Benachrichtigungen konfigurieren in das Feld Benachrichtigungskanäle und wählen Sie Kanäle wie Text oder E-Mail für die Benachrichtigung aus. Wenn Sie keine Kanäle konfiguriert haben, klicken Sie auf Benachrichtigungskanäle verwalten und fügen Sie einen oder mehrere Kanäle hinzu.
  11. Klicken Sie auf OK.
  12. Geben Sie im Feld Dokumentation den Text ein, der mit der Benachrichtigung zugestellt werden soll, z. B. eine Beschreibung des Auslösers der Benachrichtigung. Sie können beispielsweise „Erkannter Missbrauchs-Traffic über 100 für $(resource.label.env)" eingeben. Dabei wird das Label $(resource.label.env) verwendet, das die Umgebung anzeigt, deren Daten die Benachrichtigung ausgelöst haben.
  13. Geben Sie unter Benachrichtigungsrichtlinie benennen einen Namen für die Benachrichtigungsrichtlinie ein.
  14. Klicken Sie auf Weiter und prüfen Sie die Details der Benachrichtigungsrichtlinie.
  15. Wenn alles in Ordnung ist, klicken Sie auf Richtlinie erstellen, um die Benachrichtigungsrichtlinie zu erstellen.

Messwerte für Sicherheitswarnungen

In der folgenden Tabelle werden die verfügbaren Messwerte zum Erstellen von Sicherheitsbenachrichtigungen beschrieben:

Ressource Messwert Beschreibung Unterstützte Filter
Apigee-Umgebung Anzahl der Apigee API-Sicherheitsanfragen:
apigee.googleapis.com/security/request_count
Anzahl der API-Anfragen, die seit der letzten Stichprobe von der erweiterten API-Sicherheit verarbeitet wurden. Standort, Organisation, Umgebung, Proxy
Apigee-Umgebung Anzahl der erkannten Apigee API-Sicherheitsanfragen:
apigee.googleapis.com/security/detected_request_count
Anzahl der API-Anfragen, die seit der letzten Stichprobe von der Missbrauchserkennung der erweiterten API-Sicherheit erkannt wurden. Standort, Organisation, Umgebung, Proxy
Apigee API-Sicherheitserkennungsregel Anzahl der von Apigee API Security erkannten Anfragen nach Regel:
apigee.googleapis.com/security/detected_request_count_by_rule
Anzahl der von der erweiterten API-Sicherheitserkennung erkannten API-Anfragen seit der letzten Probennahme, gruppiert nach der Erkennungsregel. Standort, Organisation, Umgebung, Proxy, Erkennungsregel
Apigee API-Sicherheitsvorfall Anzahl der Apigee API-Sicherheitsvorfälle:
apigee.googleapis.com/security/incident_request_count
Anzahl der erkannten API-Anfragen, die Teil eines API-Sicherheitsvorfalls sind. Dieser Wert wird stündlich gemessen. Standort, Organisation, Umgebung, Proxy
Apigee API-Sicherheitsvorfall Anzahl der Apigee API-Sicherheitsvorfallanfragen nach Erkennungsregel:
apigee.googleapis.com/security/incident_request_count_by_rule
Anzahl der erkannten API-Anfragen, die Teil eines API-Sicherheitsvorfalls sind, nach Erkennungsregel gruppiert. Dieser Wert wird stündlich gemessen. Standort, Organisation, Umgebung, Vorfall-ID, Erkennungsregel
Verknüpfung der Apigee API-Sicherheitsprofilumgebung Sicherheitspunktzahl von Apigee API-Quellen:
apigee.googleapis.com/security/source_score
Aktuelle Sicherheitspunktzahl des Apigee API-Proxys basierend auf der erweiterten API-Sicherheitsbewertung. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. Standort, Organisation, Umgebung, Profil
Verknüpfung der Apigee API-Sicherheitsprofilumgebung Sicherheitspunktzahl des Apigee API-Proxy:
apigee.googleapis.com/security/proxy_score
Aktuelle Sicherheitspunktzahl des Apigee API-Proxys basierend auf der erweiterten API-Sicherheitsbewertung. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. Standort, Organisation, Umgebung, Profil, Proxy
Verknüpfung der Apigee API-Sicherheitsprofilumgebung Sicherheitspunktzahl des Apigee API-Ziels:
apigee.googleapis.com/security/target_score
Aktuelle Sicherheitspunktzahl des Apigee API-Proxys basierend auf der erweiterten Bewertung der API-Sicherheitsziele. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. Standort, Organisation, Umgebung, Profil, Zielserver
Verknüpfung der Apigee API-Sicherheitsprofilumgebung Sicherheitspunktzahl der Apigee-Umgebung:
apigee.googleapis.com/security/environment_score
Aktuelle Gesamtsicherheitspunktzahl der Apigee-Umgebung auf Basis von erweiterten API-Sicherheitsbewertungen von Quellen, Proxys und Zielen. Dieser Wert wird mindestens einmal alle 3 Stunden gemessen. Standort, Organisation, Umgebung, Profil

Filter

Filterlabel Beschreibung
Standort Speicherort der Ressource: immer global
Org Name der Apigee-Organisation
env Name der Apigee-Umgebung
Profil Name des Apigee API-Sicherheitsprofils
proxy Name des Apigee API-Proxys
target_server Name des Apigee-Zielservers
detection_rule Name der Apigee API-Sicherheitserkennungsregel