Report sulla sicurezza

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

La vista Report di sicurezza consente di creare report per identificare le minacce alla sicurezza delle API. Per generare report, Apigee analizza i dati del traffico delle API in un intervallo di tempo specificato e cerca pattern di traffico insoliti che potrebbero essere causati da agenti dannosi. Apigee poi mostra un report che mostra tutte le attività sospette. Utilizzando queste informazioni, puoi quindi agire per bloccare gli attacchi alle tue API.

Puoi creare report sulla sicurezza nell'interfaccia utente di Apigee, come descritto di seguito, oppure utilizzando l'API Security Reports. Se utilizzi l'interfaccia utente, i dati per i report sono limitati all'ambiente che scegli. Tuttavia, utilizzando l'API puoi anche creare report per i gruppi di ambienti.

Per i ruoli necessari per eseguire le attività relative ai report di sicurezza, consulta Ruoli obbligatori per i report sulla sicurezza.

Per utilizzare questa funzionalità, devi abilitare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi abilitare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta la pagina Gestire la sicurezza delle API avanzata per le organizzazioni Subscription. Se sei un cliente con pagamento a consumo, puoi abilitare il componente aggiuntivo nei tuoi ambienti idonei. Per maggiori informazioni, consulta la pagina Gestire il componente aggiuntivo Advanced API Security.

Rilevamento di bot

Una delle minacce più gravi alla sicurezza delle API proviene dai bot, ovvero script automatizzati che inviano richieste dannose alle API. Advanced API Security cerca modelli di traffico delle API specifici, chiamati regole di rilevamento, che si basano sull'analisi di dati API reali per rilevare i bot.

Ritardo dei dati nei report sulla sicurezza

I dati che confluiscono nella pipeline di analisi di Apigee hanno un ritardo in media fino a 15-20 minuti. Di conseguenza, un report di sicurezza in cui l'ora di fine è inferiore a 20 minuti prima potrebbe restituire risultati errati.

Apri la vista Report di sicurezza

Per aprire la visualizzazione Report di sicurezza:

  • Se utilizzi l'interfaccia utente di Apigee nella console Cloud: seleziona Sicurezza avanzata delle API > Report sulla sicurezza.
  • Se utilizzi l'interfaccia utente Apigee classica: seleziona Analizza > Sicurezza delle API > Report di sicurezza. I nomi e il comportamento delle colonne potrebbero essere leggermente diversi nell'interfaccia utente classica di Apigee rispetto all'interfaccia utente di Apigee nella console Cloud.

Viene visualizzata la visualizzazione principale Report di sicurezza:

Finestra principale dei report sulla sicurezza.

Nella parte superiore della pagina puoi selezionare:

  • L'ambiente in cui creare un report.
  • Il filtro Tipo di report. Le opzioni sono:
    • Tutti
    • Attivo
    • Non riuscito
    • Scaduto

Sotto queste opzioni, i report di sicurezza vengono visualizzati nelle righe di una tabella. Ogni riga mostra i seguenti dettagli del report:

  • Il nome del report. Fai clic sul nome del report per visualizzarlo.
  • Lo Stato del report, che può essere uno dei seguenti:
    • in esecuzione: il report è attualmente in esecuzione e non può ancora essere visualizzato.
    • completed: il report è stato completato e può essere visualizzato o esportato.
    • scaduto: il report è scaduto e non può più essere visualizzato o esportato nell'interfaccia utente. Per visualizzare un report dopo la data di scadenza, devi esportarlo prima di questa data. Dopo 30 giorni, il report viene rimosso dall'elenco dei report disponibili.

  • L'ora di inizio e l'ora di fine mostrano la data e l'ora di inizio e di fine del report.

  • Data di invio: la data e l'ora in cui è stata inviata la richiesta di segnalazione.
  • Scadenza: la data e l'ora in cui il report scade e non può più essere visualizzato nella UI di Apigee. La data di scadenza è sette giorni dopo la data in cui hai creato il report. Dopo 30 giorni, il report viene rimosso dall'elenco dei report disponibili. Non puoi visualizzare o esportare i report nell'interfaccia utente dopo la data di scadenza.
  • Dimensioni file:le dimensioni del file del report. Potrebbe essere necessario modificare i criteri del report per creare un report con dimensioni del file inferiori a quelle massime del file. Per informazioni sulle dimensioni massime dei file e sui metodi specifici per ridurne le dimensioni, consulta Limitazioni dei report di sicurezza.
  • Esporta. Esporta/scarica il report in un file ZIP. L'esportazione è disponibile solo se lo stato del report è completato.

Creare un nuovo report sulla sicurezza

Per creare un nuovo report di sicurezza, fai clic su +Crea nella visualizzazione Report di sicurezza. Viene visualizzata la finestra di dialogo Crea job report di sicurezza, in cui puoi configurare le opzioni per il report come descritto nella sezione successiva.

Opzioni del report di sicurezza

Puoi specificare le seguenti opzioni per un report sulla sicurezza:

  • Nome report:un nome per il report.
  • Intervallo di date del report:ora di inizio e ora di fine del report.

    Nota: le ore di inizio e di fine del report devono essere nel passato e non più di un anno prima della data di creazione del report.

  • Metriche:metrica per il report. Puoi scegliere tra le seguenti metriche e funzioni di aggregazione, funzioni che calcolano statistiche per le metriche.
    Metrica Descrizione Funzioni di aggregazione
    bot Il numero di indirizzi IP distinti per i bot rilevati a intervalli di un minuto. count_distinct
    bot_traffic Il numero di messaggi dagli indirizzi IP dei bot rilevati a intervalli di un minuto. sum
    message_count

    Numero totale di chiamate API elaborate da Apigee a intervalli di un minuto.

    Nota: il valore message_count non può essere utilizzato con altre metriche o con la dimensione bot_reason nello stesso report.

    		 sum
    response_size Dimensioni del payload di risposta restituito in byte. somma, media, min, max

  • Dimensioni: le dimensioni consentono di raggruppare i valori delle metriche in base a sottoinsiemi di dati correlati. La seguente tabella descrive le dimensioni specifiche per i report Advanced API Security.

    Dimensioni Descrizione
    bot_reason
    incident_id (anteprima)
    security_action (anteprima) Il tipo di azione di sicurezza. I valori possibili sono ALLOW, BLOCK e FLAG.
    security_action_name Il nome dell'azione di sicurezza.
    security_action_headers Intestazioni allegate a una richiesta di un'azione ALLOW.

    Nota: la dimensione bot_reason, specifica per la sicurezza avanzata delle API, può essere qualsiasi combinazione di singole regole di rilevamento. Quando viene rilevato un bot, bot_reason è costituito dal sottoinsieme delle singole regole di rilevamento corrispondenti al traffico del bot al momento del rilevamento.

    Nota: bot_reason e incident_id funzionano solo con le seguenti metriche:

    • bot
    • bot_traffic
    • response_size

    Consulta le dimensioni per le altre dimensioni supportate dai report Advanced API Security.

    Per aggiungere più dimensioni, fai clic su + Aggiungi una dimensione per ogni dimensione da aggiungere. Puoi anche modificare l'ordine in cui le dimensioni vengono visualizzate nel report facendo clic sulle frecce rivolte verso l'alto o verso il basso a destra del campo delle dimensioni.

  • Filtri:i filtri consentono di limitare i risultati alle metriche con valori specifici. Per creare un filtro, imposta i seguenti campi:
    • Seleziona un nome per il filtro.
    • Seleziona un operatore di confronto.
    • Seleziona un valore.

    Consulta la sezione Filtri.

Dopo aver selezionato tutte le opzioni del report, fai clic su Crea per creare il job del report.

Visualizzare un report completato

Una volta completato, il report viene visualizzato nella tabella come mostrato di seguito:

Report sulla sicurezza visualizzato nella tabella.

Per visualizzare il report:

  • Fai clic sul nome del report.
  • Fai clic su Esporta nella riga del report.
Nota: il rilevamento dei bot ha un ritardo di elaborazione medio di circa 15-20 minuti.

Esempio: report sugli indirizzi IP dei bot

L'esempio seguente crea un report che mostra gli indirizzi IP dei bot rilevati. Per creare il report, utilizza la seguente configurazione:

  • Metrica: bot, il numero di indirizzi IP distinti identificati come origini di bot.
  • Funzione di aggregazione: count_distinct
  • Dimensione: IP client risolto

Di seguito è riportato il report completo:

Report sugli indirizzi IP del bot del report di sicurezza

Tieni presente che la tabella nella parte inferiore del report elenca gli indirizzi IP che Advanced API Security ha identificato come bot.

Esempio: report relativo al traffico di bot per motivo

L'esempio successivo crea un report sul traffico dei bot, ovvero il numero di richieste provenienti da indirizzi IP identificati come origini dei bot, per bot_reason, l'insieme di regole di rilevamento che ha portato al rilevamento del bot. Per creare il report, utilizza la seguente configurazione:

  • Metrica: bot_traffic
  • Funzione di aggregazione: sum
  • Dimensione: bot_reason

Di seguito è riportato il report completo:

Traffico dei bot nel report di sicurezza per motivo del bot\report

Ogni bot_reason è costituito da un sottoinsieme delle singole regole di rilevamento. Come puoi vedere nel grafico, la regola di rilevamento che ha contribuito al maggior volume di traffico di bot è il seguente insieme di regole:

  • Inondazione
  • Guessor bruto
  • Abuso di robot

Esempio: report sul traffico generato

Nell'esempio successivo viene creato un report non raggruppato in base a una dimensione. Se non vuoi raggruppare i dati in base a una dimensione, puoi impostare Dimensione su Ambiente. Poiché i dati sono sempre limitati all'ambiente selezionato, il report non ha alcun raggruppamento di dati.

  • Metrica: traffico bot
  • Funzione di aggregazione: sum
  • Dimensione: ambiente
Report sulla sicurezza del report sul traffico dei bot

Il report mostra il traffico totale dagli indirizzi IP che sono stati identificati come origini di bot, per ogni intervallo di un minuto nell'intervallo di tempo del report. Tieni presente che non esistono raggruppamenti.

Altri esempi di report sulla sicurezza

La seguente tabella elenca alcuni esempi di sicurezza dei report che puoi creare utilizzando metriche e dimensioni diverse:

Report Metriche Dimensioni
Report Tutto il traffico e il numero di bot per ambiente bot, bot_traffic ambiente
Report sul traffico di bot e sul numero di bot per diversi motivi bot, bot_traffic bot_reason
Report sul traffico di bot e sul numero di bot per paesi diversi bot, bot_traffic ax_geo_country
Report sul traffico di bot e sul numero di bot per ISP diversi bot, bot_traffic ax_isp
Report rilevamento bot (visualizzazione elenco dettagliata) bot_traffic IP client risolto, ax_isp, bot_reason, request_uri, client_id
Traffico da bot per token di accesso bot_traffic access_token
Traffico da bot per proxy API bot_traffic apiproxy
Traffico da bot per famiglia di agenti bot_traffic ax_ua_agent_family
Traffico da bot per user agent bot_traffic useragent
Traffico bot per tipo di agente bot_traffic ax_ua_agent_type
Traffico generato da bot per categoria dispositivo bot_traffic ax_ua_device_category
Traffico generato da bot per famiglia di sistemi operativi bot_traffic ax_ua_os_family
Traffico bot per ID client bot_traffic client_id
Traffico da bot per Basepath proxy bot_traffic proxy_basepath
Traffico bot per suffisso percorso proxy bot_traffic proxy_pathsuffix
Traffico da bot per URI della richiesta bot_traffic request_uri
Traffico generato da bot per verbo richiesta bot_traffic request_verb
Traffico da bot per codice di stato di risposta bot_traffic response_status_code

Limitazioni relative ai report sulla sicurezza

I report sulla sicurezza presentano le seguenti limitazioni:

  • I dati che confluiscono nella pipeline di analisi di Apigee hanno un ritardo in media fino a 15-20 minuti. Di conseguenza, la creazione di un report in cui l'ora di fine è inferiore a 20 minuti nel passato potrebbe restituire risultati errati.
  • L'intervallo di tempo massimo per i report relativi ai bot è un anno.
  • Il numero massimo di metriche che puoi utilizzare in un report è 25, mentre il numero massimo di dimensioni che puoi utilizzare è 25.
  • Come per l'API di report personalizzati asincroni, esiste un limite di 31 MB di dati per un report. Se riscontri un limite di dimensioni in un report, puoi:
    • Riduci l'intervallo di tempo del report.
    • Suddividi i dati in sottoinsiemi più piccoli filtrando in base a un insieme di valori, quindi crea più report, uno per ogni sottoinsieme.
  • La dimensione IP client risolto non può essere elencata nello stesso report con la dimensione ax_geo_city o ax_geo_country, a causa di problemi di privacy.
  • Le seguenti metriche sono disponibili solo tramite l'API Security Reports, ma non nella UI: bot_first_detected (min) e bot_last_detected (max).