安全性报告

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

安全报告视图可让您创建报告以识别 API 的安全威胁。为了生成报告,Apigee 会扫描指定时间间隔内的 API 流量数据,并搜索可能由恶意代理引起的异常流量模式。然后,Apigee 会展示一个报告,显示所有可疑活动。利用这些信息,您可以采取措施阻止针对 API 的攻击。

您可以按下述方式或使用安全报告 API 在 Apigee 界面中创建安全报告。如果您使用界面,则报告的数据将局限于您选择的环境。但是,您还可以使用 API 为环境组创建报告。

如需了解执行安全报告任务所需的角色,请参阅安全报告所需的角色

如需使用此功能,您必须启用该插件。如果您是订阅客户,则可以为组织启用该插件。如需了解详情,请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户,则可以在符合条件的环境中启用该插件。如需了解详情,请参阅管理 Advanced API Security 插件

聊天机器人检测

API 安全的最严重威胁之一是来自漫游器:向 API 发送恶意请求的自动化脚本。Advanced API Security 会搜索特定的 API 流量模式来检测机器人。这种特定的 API 流量模式称为检测规则,基于对真实 API 数据的分析。

安全报告数据延迟

数据进入 Apigee Analytics 流水线的平均延迟时间为 15 到 20 分钟。因此,结束时间在过去 20 分钟以内的安全报告可能会返回错误的结果。

打开安全性报告视图

如需打开安全性报告视图,请执行以下操作:

系统会显示安全性报告主视图:

“安全性报告”主窗口。

在页面顶部,您可以选择:

  • 您要在其中创建报告的环境。
  • 报告类型过滤条件。选项包括:
    • 全部
    • 已启用
    • 已失败
    • 已过期

在这些选项下方,安全报告显示在表格的各行中。每行显示以下报告详细信息:

  • 报告名称
  • 报告状态,可以是以下状态之一:
    • 正在运行:报告目前正在运行,无法查看。
    • 已完成:报告已完成,可以查看或下载。
    • 已过期:报告已过期,无法再在界面中查看或下载。要在到期日期之后查看报告,您必须在该日期之前下载报告。30 天后,该报告将从可用报告列表中移除。
  • 开始时间的范围结束时间的范围显示报告时间范围的开始时间和结束时间。

    注意开始时间范围结束时间范围都必须是过去的时间,最长可比当前创建报告的时间早一年。

  • 已提交:提交报告请求的日期和时间。
  • 到期日期:报告过期,无法再在 Apigee 界面中查看的日期。到期日期是创建报告后 7 天。 30 天后,该报告将从可用报告列表中移除。
  • 操作:点击三点状菜单以显示可能的操作,包括:
    • 查看报告:在 Apigee 界面中打开报告。
    • 下载报告:以 zip 文件的形式下载报告。

    只有当报告状态为已完成时,这些操作才可用。

创建新的安全报告

如需创建新的安全性报告,请首先在安全性报告视图中点击 +Create Report Job。此操作会打开创建安全报告作业对话框,您可以在其中配置报告的选项,如下一部分所述。

安全报告选项

您可以为安全报告指定以下选项:

  • 报告名称:报告的名称。
  • 报告日期范围:报告的开始时间和结束时间。

    注意:报告的开始时间和结束时间必须是过去的时间,并且最长可比创建报告的时间早一年。

  • 指标:报告的指标。您可以从以下指标和聚合函数中进行选择,这些函数用于计算指标的统计信息。
    指标 说明 聚合函数
    bot 每隔一分钟检测到的聊天机器人的不同 IP 地址数量。 count_distinct
    bot_traffic 每隔一分钟检测到的聊天机器人 IP 地址发出的消息数量。 sum
    message_count

    Apigee 每隔一分钟处理的 API 调用总数。

    注意:同一个报告中的 message_count 不能与其他指标或 bot_reason 维度一起使用。

    sum
    response_size 返回的响应载荷大小(以字节为单位)。 sumavgminmax
  • 维度:利用维度,您可以依据数据的相关子集将指标值归为一组。下表介绍了 Advanced API Security 报告特有的维度。

    维度 说明
    bot_reason
    incident_id(预览)
    security_action(预览) 类型安全操作。可能的值为 ALLOW、BLOCK 和 FLAG。
    security_action_name 安全操作的名称。
    security_action_headers 附加到 ALLOW 操作的请求的标头。
    security_action_headers

    注意:特定于 Advanced API Security 的维度 bot_reason 可以是各个检测规则的任意组合。检测到机器人时,bot_reason 包含检测到该机器人时其匹配的流量的各个检测规则的子集。

    注意bot_reasonincident_id 仅适用于以下指标:

    • bot
    • bot_traffic
    • response_size

    如需了解 Advanced API Security 报告支持的其他维度,请参阅维度

    要添加多个维度,只需点击 + 添加维度即可添加要添加的每个维度。您还可以通过点击维度字段右侧的向上或向下箭头,更改报告中维度的显示顺序。

  • 过滤条件:您可以使用过滤条件将结果限制为具有特定值的指标。要创建过滤条件,请设置以下字段:
    • 为过滤条件选择名称。
    • 选择比较运算符。
    • 选择一个值。

    查看过滤条件

选择所有报告选项后,点击创建以创建报告作业。

查看已完成的报告

报告完成后,会在表格中显示,如下所示:

安全报告显示在表格中。

如需查看报告,请执行以下任一操作:

  • 单击报告名称。
  • 点击操作下的三点状菜单,然后选择查看报告

以下部分介绍了您可以创建的安全报告示例。

注意:聊天机器人检测的处理延迟时间平均约为 15 到 20 分钟。

示例:聊天机器人 IP 地址报告

以下示例会创建一份报告,显示检测到的聊天机器人的 IP 地址。要创建该报告,请使用以下配置:

  • 指标:bot,标识为聊天机器人来源的不同 IP 地址的数量。
  • 聚合函数:count_distinct
  • 维度:已解析的客户端 IP

完成后的报告如下所示:

安全报告聊天机器人 IP 地址报告

请注意,报告底部的表列出了 Advanced API Security 已标识为聊天机器人的 IP 地址。

示例:根据机器人原因报告划分的机器人流量

下一个示例将创建一份机器人流量报告,即 bot_reason(检测到机器人的检测规则集)标识为机器人来源的 IP 地址发出的请求数量报告。要创建该报告,请使用以下配置:

  • 指标:bot_traffic
  • 聚合函数:sum
  • 维度:bot_reason

完成后的报告如下所示:

依据机器人原因报告划分的安全报告机器人流量

每个 bot_reason 由各个检测规则的子集组成。如图表所示,产生最大机器人流量的检测规则是以下规则集:

  • Flooder
  • Brute Guessor
  • Robot Abuser

示例:聊天机器人流量报告

下一个示例将创建未按维度分组的报告。如果您不想按维度对数据进行分组,可以将维度设置为 environment。 由于数据始终仅局限于所选环境,因此这会导致报告不包含数据分组。

  • 指标:聊天机器人流量
  • 聚合函数:sum
  • 维度:environment
聊天机器人流量报告的安全报告

该报告显示已标识为聊天机器人来源的 IP 地址在整个报告时间范围内每间隔一分钟的总流量。请注意,不存在分组。

更多安全报告示例

下表列出了您可以使用不同指标和维度创建的报告的一些安全示例:

报告 指标 维度
每个环境的所有聊天机器人流量和聊天机器人计数报告 botbot_traffic environment
不同聊天机器人原因的聊天机器人流量和聊天机器人计数报告 botbot_traffic bot_reason
不同国家/地区的聊天机器人流量和聊天机器人计数报告 botbot_traffic ax_geo_country
不同 ISP 的聊天机器人流量和聊天机器人计数报告 botbot_traffic ax_isp
聊天机器人检测报告(详细列表视图) bot_traffic 已解析的客户端 IPax_ispbot_reasonrequest_uriclient_id
每个访问令牌的聊天机器人流量 bot_traffic access_token
每个 API 代理的聊天机器人流量 bot_traffic apiproxy
每个代理系列的聊天机器人流量 bot_traffic ax_ua_agent_family
每个用户代理的聊天机器人流量 bot_traffic useragent
每种代理类型的聊天机器人流量 bot_traffic ax_ua_agent_type
每个设备类别的聊天机器人流量 bot_traffic ax_ua_device_category
每个操作系统系列的聊天机器人流量 bot_traffic ax_ua_os_family
每个客户端 ID 的聊天机器人流量 bot_traffic client_id
每个代理基本路径的聊天机器人流量 bot_traffic proxy_basepath
每个代理路径后缀的聊天机器人流量 bot_traffic proxy_pathsuffix
每个请求 URI 的聊天机器人流量 bot_traffic request_uri
每个请求谓词的聊天机器人流量 bot_traffic request_verb
每个响应状态代码的聊天机器人流量 bot_traffic response_status_code

安全报告的限制

安全报告具有以下限制:

  • 数据进入 Apigee Analytics 流水线的平均延迟时间为 15 到 20 分钟。因此,如果创建结束时间在过去 20 分钟以内的报告,可能会返回错误的结果。
  • 机器人报告的时间范围上限为 1 年。
  • 报告中最多可使用 25 个指标,最多可使用 25 个维度。
  • 异步自定义报告 API 一样,报告的数据上限为 31 MB。如果您遇到报告大小限制,则可以执行以下任一操作:
    • 缩短报告的时间范围。
    • 通过过滤一组值将数据拆分为较小的子集,然后为每个子集创建一个报告。
  • 出于隐私考虑,已解析的客户端 IP 维度不能与 ax_geo_cityax_geo_country 维度在同一报告中列出。
  • 以下指标只能通过 Security Reports API 提供,但不在界面中提供:bot_first_detected (min)bot_last_detected (max)