Report sulla sicurezza

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

La visualizzazione Report sulla sicurezza ti consente di creare report per identificare le minacce alla sicurezza delle tue API. Per generare report, Apigee analizza i dati sul traffico delle API in un intervallo di tempo specificato e cerca pattern di traffico insoliti che potrebbero essere causati da agenti dannosi. Apigee mostra quindi un report che mostra tutte le attività sospette. Utilizzando queste informazioni, puoi intervenire per bloccare gli attacchi alle tue API.

Puoi creare report sulla sicurezza nell'interfaccia utente di Apigee, come descritto di seguito, o utilizzando l'API Security Reports. Se utilizzi l'interfaccia utente, i dati per i report sono limitati all'ambiente scelto. Tuttavia, utilizzando l'API, puoi anche creare report per i gruppi di ambienti.

Consulta la sezione Ruoli richiesti per i report sulla sicurezza per conoscere i ruoli necessari per eseguire le attività relative ai report sulla sicurezza.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se hai un abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per ulteriori dettagli, consulta Gestire la sicurezza avanzata dell'API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo nei tuoi ambienti idonei. Per saperne di più, vedi Gestire il componente Advanced API Security avanzata.

Rilevamento di bot

Una delle minacce più gravi alla sicurezza delle API proviene dai bot: script automatici che inviano richieste dannose alle API. Per rilevare i bot, Advanced API Security cerca pattern di traffico API specifici, chiamati regole di rilevamento, basati sull'analisi di dati API reali.

Ritardo dei dati dei report sulla sicurezza

I dati che fluiscono nella pipeline di Apigee Analytics presentano un ritardo medio di 15-20 minuti. Di conseguenza, un report sulla sicurezza in cui l'ora di fine è precedente di meno di 20 minuti potrebbe restituire risultati errati.

Apri la visualizzazione Report sulla sicurezza

Per aprire la visualizzazione Report sulla sicurezza:

  • Se utilizzi l'interfaccia utente di Apigee nella console Cloud: seleziona Sicurezza API avanzata > Report sulla sicurezza.
  • Se utilizzi la UI Apigee classica: seleziona Analizza > Sicurezza API > Report sulla sicurezza. Il comportamento e i nomi delle colonne possono essere leggermente diversi nell'interfaccia utente Apigee classica rispetto all'interfaccia utente Apigee nella console Cloud.

Viene visualizzata la visualizzazione principale dei report sulla sicurezza:

Finestra principale dei report sulla sicurezza.

Nella parte superiore della pagina, puoi selezionare:

  • L'ambiente in cui vuoi creare un report.
  • Il filtro Tipo di report. Le opzioni sono:
    • Tutti
    • Attivo
    • Non riuscito
    • Scaduto

Sotto queste opzioni, i report sulla sicurezza vengono visualizzati nelle righe di una tabella. Ogni riga mostra i seguenti dettagli del report:

  • Nome report. Fai clic sul nome del report per visualizzarlo.
  • La colonna Stato del report, che può essere uno dei seguenti:
    • in esecuzione: il report è in esecuzione e non può ancora essere visualizzato.
    • completed: il report è stato completato e può essere visualizzato o esportato.
    • expired: il report è scaduto e non può più essere visualizzato o esportato nell'interfaccia utente. Per visualizzare un report dopo la data di scadenza, devi esportarlo prima di questa data. Dopo 30 giorni, il report viene rimosso dall'elenco dei report disponibili.
  • Ora di inizio e Ora di fine mostrano le date e le ore di inizio e di fine del report.

  • Data di invio: la data e l'ora in cui è stata inviata la richiesta del report.
  • Data e ora di scadenza:la data e l'ora in cui il report scade e non può più essere visualizzato nell'interfaccia utente di Apigee. La data di scadenza è 7 giorni dopo la creazione del report. Dopo 30 giorni, il report viene rimosso dall'elenco dei report disponibili. Non puoi visualizzare o esportare i report nell'interfaccia utente dopo la data di scadenza.
  • Dimensioni file:le dimensioni del file del report. Potresti dover modificare i criteri del report per creare un report con dimensioni inferiori a quelle massime. Consulta Limitazioni dei report sulla sicurezza per informazioni sulle dimensioni massime dei file e su metodi specifici per ridurle.
  • Esporta: esporta/scarica il report in un file ZIP. L'esportazione è disponibile solo se lo stato del report è Completato.

Creare un nuovo report sulla sicurezza

Per creare un nuovo report sulla sicurezza, inizia facendo clic su +Crea nella visualizzazione Report sulla sicurezza. Viene visualizzata la finestra di dialogo Crea job di generazione di report sulla sicurezza, in cui puoi configurare le opzioni per il report come descritto nella sezione successiva.

Opzioni dei report sulla sicurezza

Per un report sulla sicurezza puoi specificare le seguenti opzioni:

  • Nome report:un nome per il report.
  • Intervallo di date del report:ora di inizio e ora di fine del report.

    Nota:le ore di inizio e di fine del report devono risalire al passato e non possono essere antecedenti a un anno dalla data di creazione del report.

  • Metriche:metrica per il report. Puoi scegliere tra le seguenti metriche e funzioni di aggregazione, ovvero funzioni che calcolano le statistiche per le metriche.
    Metrica Descrizione Funzioni di aggregazione
    bot Il numero di indirizzi IP distinti per i bot rilevati in intervalli di un minuto. count_distinct
    bot_traffic Il numero di messaggi provenienti da indirizzi IP di bot rilevati in intervalli di un minuto. sum
    message_count

    Numero totale di chiamate API elaborate da Apigee in intervalli di un minuto.

    Nota: message_count non può essere utilizzato con altre metriche o con la dimensione bot_reason nello stesso report.

    sum
    response_size Dimensioni del payload della risposta restituito in byte. sum, avg, min, max
  • Dimensioni:ti consentono di raggruppare i valori delle metriche in base a sottoinsiemi correlati dei dati. La tabella seguente descrive le dimensioni specifiche per i report Advanced API Security.

    Dimensioni Descrizione
    bot_reason
    incident_id (anteprima)
    security_action (anteprima) Il tipo di azione di sicurezza. I valori possibili sono ALLOW, DENY e FLAG.
    security_action_name Il nome dell'azione di sicurezza.
    security_action_headers Intestazioni allegate a una richiesta per un'azione ALLOW.

    Nota:la dimensione bot_reason, specifica per Advanced API Security, può essere qualsiasi combinazione delle singole regole di rilevamento. Quando viene rilevato un bot, bot_reason è costituito dal sottoinsieme delle singole regole di rilevamento a cui corrispondeva il traffico del bot quando è stato rilevato.

    Nota: bot_reason e incident_id funzionano solo con le seguenti metriche:

    • bot
    • bot_traffic
    • response_size

    Consulta dimensioni per conoscere le altre dimensioni supportate dai report Advanced API Security.

    Per aggiungere più dimensioni, fai clic su + Aggiungi una dimensione per ogni dimensione che vuoi aggiungere. Puoi anche modificare l'ordine in cui le dimensioni vengono visualizzate nel report facendo clic sulle frecce su o giù a destra del campo della dimensione.

  • Filtri:i filtri ti consentono di limitare i risultati alle metriche con valori specifici. Per creare un filtro, imposta i seguenti campi:
    • Seleziona un nome per il filtro.
    • Seleziona un operatore di confronto.
    • Seleziona un valore.

    Vedi Filtri.

Dopo aver selezionato tutte le opzioni del report, fai clic su Crea per creare il job di report.

Visualizzare un report completato

Una volta completato, il report viene visualizzato nella tabella come mostrato di seguito:

Report sulla sicurezza visualizzato nella tabella.

Per visualizzare il report:

  • Fai clic sul nome del report.
  • Fai clic su Esporta nella riga del report in questione.
Nota: il rilevamento dei bot ha un ritardo di elaborazione medio di circa 15-20 minuti.

Esempio: report sugli indirizzi IP dei bot

L'esempio seguente crea un report che mostra gli indirizzi IP dei bot rilevati. Per creare il report, utilizza la seguente configurazione:

  • Metrica: bot, il numero di indirizzi IP distinti identificati come origini di bot.
  • Funzione di aggregazione: count_distinct
  • Dimensione: IP client risolto

Il report completato è mostrato di seguito:

Report sugli indirizzi IP dei bot del report sulla sicurezza

Tieni presente che la tabella nella parte inferiore del report elenca gli indirizzi IP che Advanced API Security ha identificato come bot.

Esempio: report sul traffico dei bot per motivo del bot

L'esempio seguente crea un report sul traffico dei bot, ovvero il numero di richieste provenienti da indirizzi IP identificati come origini dei bot, in base a bot_reason, l'insieme di regole di rilevamento che hanno portato al rilevamento del bot. Per creare il report, utilizza la seguente configurazione:

  • Metrica: bot_traffic
  • Funzione di aggregazione: somma
  • Dimensione: bot_reason

Il report completato è mostrato di seguito:

Report sulla sicurezza: traffico dei bot per motivo del bot \report

Ogni bot_reason è costituito da un sottoinsieme delle singole regole di rilevamento. Come puoi vedere nel grafico, la regola di rilevamento che ha contribuito alla maggior parte del traffico di bot è il seguente insieme di regole:

  • Flooder
  • Brute Guessor
  • Abusatore di robot

Esempio: report sul traffico di bot

L'esempio seguente crea un report non raggruppato in base a una dimensione. Se non vuoi raggruppare i dati in base a una dimensione, puoi impostare Dimensione su ambiente. Poiché i dati sono sempre limitati all'ambiente selezionato, il report non ha alcun raggruppamento di dati.

  • Metrica: traffico di bot
  • Funzione di aggregazione: somma
  • Dimensione: environment
Report Sicurezza sul traffico di bot

Il report mostra il traffico totale proveniente da indirizzi IP identificati come sorgenti di bot, per ogni intervallo di un minuto nell'intervallo di tempo del report. Tieni presente che non è presente alcun raggruppamento.

Altri esempi di report sulla sicurezza

La tabella seguente elenca alcuni esempi di sicurezza dei report che puoi creare utilizzando diverse metriche e dimensioni:

Report Metriche Dimensioni
Report sul traffico e sul conteggio dei bot per ambiente bot, bot_traffic environment
Report sul traffico e sul conteggio dei bot per diversi motivi bot, bot_traffic bot_reason
Report sul traffico e sul conteggio dei bot per diversi paesi bot, bot_traffic ax_geo_country
Report sul traffico e sul conteggio dei bot per diversi ISP bot, bot_traffic ax_isp
Report sul rilevamento di bot (visualizzazione elenco dettagliata) bot_traffic IP client risolto, ax_isp, bot_reason, request_uri, client_id
Traffico di bot per token di accesso bot_traffic access_token
Traffico di bot per proxy API bot_traffic apiproxy
Traffico di bot per famiglia di agenti bot_traffic ax_ua_agent_family
Traffico di bot per user agent bot_traffic useragent
Traffico di bot per tipo di agente bot_traffic ax_ua_agent_type
Traffico di bot per categoria del dispositivo bot_traffic ax_ua_device_category
Traffico di bot per famiglia di sistemi operativi bot_traffic ax_ua_os_family
Traffico di bot per ID cliente bot_traffic client_id
Traffico bot per Basepath proxy bot_traffic proxy_basepath
Traffico bot per suffisso del percorso del proxy bot_traffic proxy_pathsuffix
Traffico di bot per URI richiesta bot_traffic request_uri
Traffico dei bot per verbo di richiesta bot_traffic request_verb
Traffico dei bot per codice di stato della risposta bot_traffic response_status_code

Limitazioni dei report sulla sicurezza

I report sulla sicurezza presentano i seguenti limiti:

  • I dati che fluiscono nella pipeline di Apigee Analytics presentano un ritardo medio di massimo 15-20 minuti. Di conseguenza, la creazione di un report in cui l'ora di fine risalga a meno di 20 minuti fa potrebbe restituire risultati errati.
  • L'intervallo di tempo massimo per i report sui bot è di un anno.
  • Il numero massimo di metriche che puoi utilizzare in un report è 25 e il numero massimo di dimensioni è 25.
  • Come per l'API dei report personalizzati asincroni, esiste un limite di 31 MB di dati per un report. Se un report supera il limite di dimensioni, puoi:
    • Riduci l'intervallo di tempo del report.
    • Suddividi i dati in sottoinsiemi più piccoli applicando un filtro a un insieme di valori, quindi crea più report, uno per ogni sottoinsieme.
  • La dimensione Indirizzo IP client risolto non può essere elencata nello stesso report con la dimensione ax_geo_city o ax_geo_country, per motivi di privacy.
  • Le seguenti metriche sono disponibili solo tramite l'API Security Reports, ma non nell'interfaccia utente: bot_first_detected (min) e bot_last_detected (max).