이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.
Apigee Edge 문서 보기
보안 보고서 뷰에서는 API에 대한 보안 위협을 식별하기 위해 보고서를 만들 수 있습니다. Apigee는 보고서를 생성하기 위해 지정된 시간 간격 동안 API 트래픽 데이터를 스캔하고 악의적인 에이전트로 인해 발생할 수 있는 비정상적인 트래픽 패턴을 검색합니다. 그런 후 Apigee는 의심스러운 활동을 모두 보여주는 보고서를 표시합니다. 그러면 이 정보를 사용하여 API에 대한 공격을 차단하기 위해 조치를 취할 수 있습니다.
아래 설명된 대로 Apigee UI 또는 보안 보고서 API를 사용하여 보안 보고서를 만들 수 있습니다. UI를 사용하는 경우 보고서 데이터는 선택한 환경으로 제한됩니다. 하지만 API를 사용하면 환경 그룹에 대해서도 보고서를 만들 수 있습니다.
보안 보고서 작업을 수행하는 데 필요한 역할은 보안 보고서 필수 역할을 참조하세요.
이 기능을 사용하려면 부가기능을 사용 설정해야 합니다. 구독 고객인 경우 조직에 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 구독 조직에 대한 지능화된 API 보안 관리를 참조하세요. 사용한 만큼만 지불하는 고객은 적격 환경에서 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 지능화된 API 보안 부가기능 관리를 참조하세요.
봇 감지
API 보안에 대한 가장 심각한 위협 중 하나는 봇, 즉 API에 악의적인 요청을 보내는 자동화된 스크립트에서 비롯됩니다. 지능화된 API 보안은 봇 감지를 위해 실제 API 데이터 분석을 기반으로 하는 감지 규칙라고 부르는 특정 API 트래픽 패턴을 검색합니다.
보안 보고서 데이터 지연
Apigee Analytics 파이프라인으로 들어가는 데이터는 평균적으로 최대 15~20분 정도까지 지연됩니다. 따라서 종료 시간이 과거 시점에서 20분 미만인 보고서를 만들면 잘못된 결과가 발생할 수 있습니다.
보안 보고서 뷰 열기
보안 보고서 뷰를 열려면 다음 단계를 따르세요.
- Cloud 콘솔의 Apigee UI를 사용하는 경우: 지능화된 API 보안 > 보안 보고서를 선택합니다.
- 기본 Apigee UI를 사용하는 경우 분석 > API 보안 > 보안 보고서를 선택합니다. 열 이름과 동작은 기본 Apigee UI와 Cloud 콘솔의 Apigee UI에서 약간 다를 수 있습니다.
그러면 기본 보안 보고서 뷰가 표시됩니다.
페이지 상단에서 다음을 선택할 수 있습니다.
- 보고서를 만들려는 환경.
- 보고서 유형 필터. 옵션은 다음과 같습니다.
- 전체
- 활성
- 실패
- 만료됨
이 옵션 아래에 보안 보고서가 표 행에 표시됩니다. 각 행에는 다음과 같은 보고서 세부정보가 표시됩니다.
- 보고서 이름 보고서 이름을 클릭하여 보고서를 확인합니다.
- 보고서 상태(다음 중 하나일 수 있음):
- 실행 중: 보고서가 현재 실행 중이며 아직 볼 수 없습니다.
- 완료됨: 보고서가 완료되었고 보거나 내보낼 수 있습니다.
- 만료됨: 보고서가 만료되었고 더 이상 UI에서 보거나 내보낼 수 없습니다. 만료일 이후에 보고서를 보려면 해당 날짜 이전에 보고서를 내보내야 합니다. 30일 후에는 사용 가능한 보고서 목록에서 보고서가 삭제됩니다.
시작 시간 및 종료 시간에는 보고서의 시작 및 종료 날짜와 시간이 표시됩니다.
- 제출 날짜: 보고서 요청이 제출된 날짜 및 시간입니다.
- 만료 시간: 보고서가 만료되어 Apigee UI에 더 이상 표시되지 않는 날짜 및 시간입니다. 만료일은 보고서를 만든 시간 이후 7일입니다. 30일 후에는 사용 가능한 보고서 목록에서 보고서가 삭제됩니다. 만료일 이후에는 UI에서 보고서를 보거나 내보낼 수 없습니다.
- 파일 크기: 보고서 파일 크기입니다. 파일 크기가 최대 파일 크기 미만인 보고서를 생성하려면 보고서 기준을 수정해야 할 수도 있습니다. 최대 파일 크기와 파일 크기를 줄이는 구체적인 방법에 대한 자세한 내용은 보안 보고서의 제한사항을 참조하세요.
- 내보내기: 보고서를 ZIP 파일로 내보내거나 다운로드합니다. 보고서 상태가 완료됨인 경우에만 내보낼 수 있습니다.
새 보안 보고서 만들기
새 보안 보고서를 만들려면 보안 보고서 뷰에서 +만들기를 클릭합니다. 그러면 보안 보고서 작업 만들기 대화상자가 열리고 다음 섹션에 설명된 대로 보고서 옵션을 구성할 수 있습니다.
보안 보고서 옵션
보안 보고서에 다음 옵션을 지정할 수 있습니다.
- 보고서 이름: 보고서의 이름입니다.
- 보고서 기간: 보고서의 시작 시간과 종료 시간입니다.
참고: 보고서의 시작 및 종료 시간은 과거 시간이어야 하고 보고서가 생성된 시점에서 1년 이내여야 합니다.
- 측정항목: 보고서의 측정항목입니다. 측정항목 및 집계 함수(측정항목 통계를 계산하는 함수) 중에서 선택할 수 있습니다.
측정항목 설명 집계 함수 bot 1분 간격으로 감지된 봇의 개별 IP 주소 수입니다. count_distinct bot_traffic 1분 간격으로 감지된 봇의 IP 주소에서 전송된 메시지 수입니다. sum message_count Apigee에서 1분 간격으로 처리된 총 API 호출 수입니다.
참고: message_count는 동일한 보고서의 다른 측정항목 또는 bot_reason 측정기준과 함께 사용할 수 없습니다.
sum response_size 바이트로 반환된 응답 페이로드의 크기입니다. sum, avg, min, max 측정기준: 측정기준을 사용하면 데이터의 관련된 하위 집합을 기준으로 측정항목 값을 그룹으로 묶을 수 있습니다. 다음 표에서는 지능화된 API 보안 보고서와 관련된 측정기준을 설명합니다.
측정기준 설명 bot_reason
incident_id
(미리보기)security_action
(미리보기)보안 작업 유형으로 가능한 값은 허용, 차단, 플래그입니다. security_action_name
보안 작업의 이름입니다. security_action_headers
허용 작업 요청에 연결된 헤더입니다. 참고: 지능화된 API 보안과 관련된 bot_reason 측정기준은 개별 감지 규칙의 모든 조합일 수 있습니다. 봇이 감지되면 bot_reason은 감지 당시 봇의 트래픽과 일치한 개별 감지 규칙의 하위 집합으로 구성됩니다.
참고: bot_reason 및 incident_id는 다음 측정항목에서만 작동합니다.
- bot
- bot_traffic
- response_size
지능화된 API 보안 보고서에서 지원하는 기타 측정기준은 측정기준을 참조하세요.
측정기준을 여러 개 추가하려면 추가하려는 각 측정기준에 대해 +측정기준 추가만 클릭하면 됩니다. 또한 측정기준 필드 오른쪽에서 위 또는 아래 화살표를 클릭하여 보고서에 표시되는 측정기준 순서를 변경할 수 있습니다.
- 필터: 필터를 사용하면 특정 값이 있는 측정항목으로 결과를 제한할 수 있습니다. 필터를 만들려면 다음 필드를 설정합니다.
- 필터 이름을 선택합니다.
- 비교 연산자를 선택합니다.
- 값을 선택합니다.
필터를 참조하세요.
모든 보고서 옵션을 선택한 후 만들기를 클릭하여 보고서 작업을 만듭니다.
완료된 보고서 보기
보고서가 완료되면 아래와 같이 표에 표시됩니다.
보고서를 보려면 다음 중 하나를 수행하세요.
- 보고서 이름을 클릭합니다.
- 보고서의 행에서 내보내기를 클릭합니다.
예시: 봇 IP 주소 보고서
다음 예시에서는 선택한 봇의 IP 주소를 보여주는 보고서를 만듭니다. 보고서를 만들려면 다음 구성을 사용합니다.
- 측정항목: bot, 봇의 소스로 식별된 개별 IP 주소 수입니다.
- 집계 함수: count_distinct
- 측정기준: 확인된 클라이언트 IP
완료된 보고서는 다음과 같습니다.
보고서 하단 표에는 지능화된 API 보안에서 봇으로 식별된 IP 주소가 표시됩니다.
예시: 봇 사유별 봇 트래픽 보고서
다음 예시에서는 봇 감지로 이어진 일련의 감지 규칙인 bot_reason에 따라 봇 소스로 식별된 IP 주소의 요청 수인 봇 트래픽 보고서를 만듭니다. 보고서를 만들려면 다음 구성을 사용합니다.
- 측정항목: bot_traffic
- 집계 함수: sum
- 측정기준: bot_reason
완료된 보고서는 다음과 같습니다.
각 bot_reason은 개별 감지 규칙의 하위 집합으로 구성됩니다. 그래프에서 볼 수 있듯이 가장 큰 봇 트래픽 용량에 기여한 감지 규칙은 다음과 같은 규칙 집합입니다.
- Flooder
- 무작위 추측자
- Robot Abuser
예시: 봇 트래픽 보고서
다음 예시에서는 측정기준에 따라 그룹화되지 않은 보고서를 만듭니다. 측정기준에 따라 데이터를 그룹화하지 않으려면 측정기준을 환경으로 설정할 수 있습니다. 데이터가 항상 선택한 환경으로 제한되기 때문에 데이터 그룹이 없는 보고서가 생성됩니다.
- 측정항목: bot traffic
- 집계 함수: sum
- 측정기준: environment
보고서에는 보고 시간 범위 전체에서 1분 간격으로 봇 소스로 식별된 IP 주소의 총 트래픽이 표시됩니다. 그룹화는 없습니다.
보안 보고서의 추가 예시
다음 테이블에서는 여러 다른 측정항목 및 측정기준을 사용해서 만들 수 있는 몇 가지 보안 보고서 예시를 보여줍니다.
신고 | 측정항목 | 측정기준 |
---|---|---|
환경별 모든 봇 트래픽 및 봇 수 보고서 | bot, bot_traffic | environment |
서로 다른 봇 사유에 대한 봇 트래픽 및 봇 수 보고서 | bot, bot_traffic | bot_reason |
서로 다른 국가의 봇 트래픽 및 봇 수 보고서 | bot, bot_traffic | ax_geo_country |
서로 다른 ISP의 봇 트래픽 및 봇 수 보고서 | bot, bot_traffic | ax_isp |
봇 감지 보고서(세부 목록 보기) | bot_traffic | Resolved Client IP, ax_isp, bot_reason, request_uri, client_id |
액세스 토큰당 봇 트래픽 | bot_traffic | access_token |
API 프록시당 봇 트래픽 | bot_traffic | apiproxy |
에이전트 제품군당 봇 트래픽 | bot_traffic | ax_ua_agent_family |
사용자 에이전트당 봇 트래픽 | bot_traffic | useragent |
에이전트 유형당 봇 트래픽 | bot_traffic | ax_ua_agent_type |
기기 카테고리당 봇 트래픽 | bot_traffic | ax_ua_device_category |
OS 제품군당 봇 트래픽 | bot_traffic | ax_ua_os_family |
클라이언트 ID당 봇 트래픽 | bot_traffic | client_id |
프록시 기본 경로당 봇 트래픽 | bot_traffic | proxy_basepath |
프록시 경로 서픽스당 봇 트래픽 | bot_traffic | proxy_pathsuffix |
요청 URI당 봇 트래픽 | bot_traffic | request_uri |
요청 동사당 봇 트래픽 | bot_traffic | request_verb |
응답 상태 코드당 봇 트래픽 | bot_traffic | response_status_code |
보안 보고서 제한사항
보안 보고서에는 다음과 같은 제한사항이 있습니다.
- Apigee Analytics 파이프라인으로 들어가는 데이터는 평균적으로 최대 15~20분 정도까지 지연됩니다. 따라서 종료 시간이 과거 시점에서 20분 미만인 보고서를 만들면 잘못된 결과가 발생할 수 있습니다.
- 봇 보고서의 최대 기간은 1년입니다.
- 보고서에서 사용할 수 있는 최대 측정항목 수는 25이고 사용 가능한 최대 측정기준 수는 25입니다.
- 비동기 커스텀 보고서 API에서와 같이 보고서 데이터가 31MB로 제한됩니다. 보고서에 크기 제한이 있으면 다음을 수행할 수 있습니다.
- 보고서의 시간 범위를 줄입니다.
- 값 집합으로 필터링하여 데이터를 더 작은 하위 집합으로 분할하고 각 하위 집합에 하나씩 여러 개의 보고서를 만듭니다.
- Resolved Client IP 측정기준은 개인정보 보호 문제로 인해 ax_geo_city 또는 ax_geo_country 측정기준과 동일한 보고서에 나열될 수 없습니다.
- 다음 측정항목은 Security Reports API를 통해서만 제공되며 UI bot_first_detected(최소) 및 bot_last_detected(최대)에서는 사용할 수 없습니다.