Alertes de sécurité

Cette page s'applique à Apigee et à Apigee hybrid.

Consultez la documentation d' Apigee Edge.

Les alertes Advanced API Security vous permettent de créer des alertes pour des événements liés à la sécurité des API, tels que les modifications de vos scores de sécurité ou des incidents liés à une utilisation abusive des API détectées. Vous pouvez créer des alertes en utilisant Cloud Monitoring. Vous pouvez configurer une alerte de sorte qu'elle vous envoie une notification par SMS, par e-mail ou par d'autres canaux lorsqu'elle se déclenche. Consultez la section Créer des règles d'alerte basées sur un seuil de métrique pour en savoir plus sur la création d'alertes.

Rôles requis

Pour configurer des alertes et des canaux de notification dans Cloud Monitoring, vous devez disposer des rôles suivants :

roles/monitoring.alertPolicyEditor
roles/monitoring.notificationChannelEditor

Limites

Pour les alertes, les limites suivantes s'appliquent :

Le nombre maximal de règles d'alerte est de 500 pour tous les niveaux d'abonnement Apigee.
Les données de métriques sont stockées pendant six semaines.
La période maximale qu'une condition de seuil de métrique évalue est de 23 heures et 30 minutes.
Il peut s'écouler jusqu'à quatre minutes entre le moment où un événement déclenche une alerte et le moment où l'alerte est créée et déclenche l'envoi d'une notification.

Pour obtenir la liste complète des limites applicables aux alertes, consultez la page Limites concernant les alertes.

Les sections suivantes présentent des exemples illustrant la création d'alertes.

Exemple : Créer une alerte en cas de diminution du score de sécurité du proxy

Cet exemple crée une alerte lorsqu'un score de sécurité de proxy passe sous un seuil spécifié. Pour créer l'alerte, procédez comme suit :

Ouvrez le tableau de bord Créer une règle d'alerte dans la console Google Cloud.
Cliquez sur Sélectionner une métrique.
Désélectionnez Afficher uniquement les ressources et les métriques actives.
Remarque : Si votre organisation ne dispose pas de données de trafic d'API récentes, la métrique de l'étape suivante ne s'affiche que si cette option est désélectionnée.
Sélectionnez une métrique comme suit :
1. Sélectionnez Association d'environnement de profil Apigee API Security.
2. Dans le volet qui s'ouvre à droite, sélectionnez Sécurité.
3. Dans le volet suivant à droite, sélectionnez Score de sécurité du proxy d'API Apigee.
4. Cliquez sur Appliquer.
Remarque : Vous pouvez également choisir l'une des métriques suivantes :
- Score de sécurité des sources Apigee : consultez Évaluation des sources.
- Score de sécurité des serveurs cibles Apigee : consultez Évaluation des cibles.
- Score de sécurité de l'environnement Apigee : score de sécurité total dans l'environnement.
Consultez Métriques pour les alertes de sécurité.
(Facultatif) Pour limiter les données de l'alerte, par exemple à un environnement spécifié, vous pouvez créer un filtre comme suit :
1. Sous Ajouter des filtres > Nouveau filtre, cliquez dans le champ Filtre et sélectionnez un libellé de ressource à filtrer, tel que env.
2. Dans le champ Comparateur, sélectionnez un comparateur (par exemple, =).
3. Dans le champ Valeur, sélectionnez une valeur pour le libellé de ressource, par exemple un nom d'environnement.
Avec ce filtre, une alerte ne sera déclenchée que par des données remplissant la condition de filtre. Consultez la section Filtres pour obtenir la liste des filtres disponibles.
Sous Transformer les données, sélectionnez somme dans le champ Fenêtrage glissant.
Cliquez sur Suivant.
Dans le volet Configurer le déclencheur d'alerte, définissez les éléments suivants :
- Sous Types de conditions, sélectionnez Seuil.
- Sous Déclencheur d'alerte, sélectionnez À chaque infraction de série temporelle.
- Sous Position du seuil, sélectionnez En dessous du seuil.
- Dans le champ Valeur de seuil, saisissez un seuil qui déclenche l'alerte, par exemple 600.
Cliquez sur Suivant.
Dans le champ Configurer les notifications, cliquez dans le champ Canaux de notification et sélectionnez les canaux (par exemple, SMS ou e-mail) utilisés pour la notification. Si vous n'avez configuré aucun canal, cliquez sur Gérer les canaux de notification et ajoutez un ou plusieurs canaux.
Cliquez sur OK.
Dans le champ Documentation, saisissez le texte que vous souhaitez recevoir avec la notification, par exemple une description de ce qui a déclenché l'alerte. Par exemple, vous pouvez saisir "Un score de sécurité est passé en dessous de 600".
Sous Nom de la règle d'alerte, saisissez un nom pour la règle d'alerte.
Cliquez sur Suivant et vérifiez les détails de la règle d'alerte.
Si tout semble correct, cliquez sur Créer une règle pour créer la règle d'alerte.

Exemple : Créer une alerte en cas d'augmentation du trafic abusif détecté pour une règle de détection

Cet exemple montre comment créer une alerte lorsque le nombre de requêtes incluant du trafic abusif détecté dépasse un seuil spécifié, pour une même règle de détection. Pour créer l'alerte, procédez comme suit :

Ouvrez le tableau de bord Créer une règle d'alerte dans la console Google Cloud.
Cliquez sur Sélectionner une métrique.
Désélectionnez Afficher uniquement les ressources et les métriques actives.
Remarque : Si votre organisation ne contient pas de données de trafic d'API récentes, la métrique de l'étape suivante ne s'affiche que si cette option est désélectionnée.
Sélectionnez une métrique comme suit :
1. Sélectionnez Règle de détection Apigee API Security.
2. Dans le volet qui s'ouvre à droite, sélectionnez Sécurité.
3. Dans le volet suivant à droite, sélectionnez nombre de requêtes détectées par règle par Apigee API Security.
4. Cliquez sur Appliquer.
Remarque : Vous pouvez également sélectionner la métrique Environnement Apigee > Sécurité > Nombre de requêtes détectées par Apigee API Security. Dans ce cas, une alerte serait déclenchée lorsque le nombre total de requêtes détectées dépasse le seuil spécifié (par opposition au nombre de requêtes pour une seule règle).
Consultez Métriques pour les alertes de sécurité.
(Facultatif) Pour limiter les données de l'alerte, par exemple à un environnement spécifié, vous pouvez créer un filtre comme suit :
1. Sous Ajouter des filtres > Nouveau filtre, cliquez dans le champ Filtre et sélectionnez un libellé de ressource à filtrer, par exemple env.
2. Dans le champ Comparateur, sélectionnez un comparateur (par exemple, =).
3. Dans le champ Valeur, sélectionnez une valeur pour le libellé de ressource, par exemple un nom d'environnement.
Avec ce filtre, une alerte ne sera déclenchée que par des données remplissant la condition de filtre, par exemple les données d'un environnement spécifié. Consultez la section Filtres pour obtenir la liste des filtres disponibles.
Sous Transformer les données, sélectionnez somme dans le champ Fenêtrage glissant.
Cliquez sur Suivant.
Dans le volet Configurer le déclencheur d'alerte, définissez les éléments suivants :
- Sous Types de conditions, sélectionnez Seuil.
- Sous Déclencheur d'alerte, sélectionnez À chaque infraction de série temporelle.
- Sous Position du seuil, sélectionnez Au-dessus du seuil.
- Dans le champ Valeur de seuil, saisissez un seuil qui déclenche l'alerte, par exemple 100.
Cliquez sur Suivant.
Dans le champ Configurer les notifications, cliquez dans le champ Canaux de notification et sélectionnez les canaux (par exemple, SMS ou e-mail) utilisés pour la notification. Si vous n'avez configuré aucun canal, cliquez sur Gérer les canaux de notification et ajoutez un ou plusieurs canaux.
Cliquez sur OK.
Dans le champ Documentation, saisissez le texte que vous souhaitez recevoir avec la notification, par exemple une description de ce qui a déclenché l'alerte. Par exemple, vous pouvez saisir "Le trafic abusif détecté a dépassé 100 pour $(resource.label.env)." Cette description utilise le libellé $(resource.label.env), qui affiche l'environnement dont les données ont déclenché l'alerte.
Sous Nom de la règle d'alerte, saisissez un nom pour la règle d'alerte.
Cliquez sur Suivant et vérifiez les détails de la règle d'alerte.
Si tout semble correct, cliquez sur Créer une règle pour créer la règle d'alerte.

Métriques pour les alertes de sécurité

Le tableau ci-dessous décrit les métriques disponibles pour créer des alertes de sécurité :

Ressource	Métrique	Description	Filtres compatibles
Environnement Apigee	Nombre de requêtes Apigee API Security : `apigee.googleapis.com/security/request_count`	Nombre de requêtes API traitées par Advanced API Security, depuis le dernier échantillonnage.	location, org, env, proxy
Environnement Apigee	Nombre de requêtes détectées par Apigee API Security : `apigee.googleapis.com/security/detected_request_count`	Nombre de requêtes d'API détectées par la détection d'abus Advanced API Security, depuis le dernier échantillonnage.	location, org, env, proxy
Règle de détection Apigee API Security	Nombre de requêtes détectées par Apigee API Security : `apigee.googleapis.com/security/detected_request_count_by_rule`	Nombre de requêtes d'API détectées par la détection d'abus Advanced API Security, par règle de détection et depuis le dernier échantillonnage.	location, org, env, proxy, detection_rule
Incident Apigee API Security	Nombre de requêtes liées à un incident Apigee API Security : `apigee.googleapis.com/security/incident_request_count`	Nombre de requêtes d'API détectées comme faisant partie d'un incident de sécurité API. Cette valeur est mesurée une fois par heure.	location, org, env, proxy
Incident Apigee API Security	Nombre de requêtes d'incidents de sécurité détectés par règle de détection par Apigee API Security : `apigee.googleapis.com/security/incident_request_count_by_rule`	Nombre de requêtes d'API détectées comme faisant partie d'un incident de sécurité API, par règle de détection. Cette valeur est mesurée une fois par heure.	location, org, env, incident_id, detection_rule
Association d'environnement de profil Apigee API Security	Score de sécurité des sources d'API Apigee : `apigee.googleapis.com/security/source_score`	Score de sécurité actuel du proxy d'API Apigee, sur la base de l'évaluation de la source par Advanced API Security. Cette valeur est mesurée au moins une fois toutes les trois heures.	location, org, env, profile
Association d'environnement de profil Apigee API Security	Score de sécurité du proxy d'API Apigee : `apigee.googleapis.com/security/proxy_score`	Score de sécurité actuel du proxy d'API Apigee, sur la base de l'évaluation du proxy par Advanced API Security. Cette valeur est mesurée au moins une fois toutes les trois heures.	location, org, env, profile, proxy
Association d'environnement de profil Apigee API Security	Score de sécurité de la cible d'API Apigee : `apigee.googleapis.com/security/target_score`	Score de sécurité actuel du proxy d'API Apigee, sur la base de l'évaluation de la cible par Advanced API Security. Cette valeur est mesurée au moins une fois toutes les trois heures.	location, org, env, profile, target_server
Association d'environnement de profil Apigee API Security	Score de sécurité de l'environnement Apigee : `apigee.googleapis.com/security/environment_score`	Score de sécurité total actuel de l'environnement Apigee, sur la base de l'évaluation des sources, des proxys et des cibles par Advanced API Security. Cette valeur est mesurée au moins une fois toutes les trois heures.	location, org, env, profile

Filtres

Libellé de filtre	Description
emplacement	Emplacement de la ressource : toujours global.
org	Nom de l'organisation Apigee
env	Nom de l'environnement Apigee
profil	Nom du profil Apigee API Security
proxy	Nom de proxy d'API Apigee
target_server	Nom du serveur cible Apigee
detection_rule	Nom de la règle de détection Apigee API Security