Mengintegrasikan Apigee dengan solusi SIEM Anda

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Banyak organisasi berupaya mengintegrasikan Apigee dengan solusi Informasi Keamanan dan Manajemen Peristiwa (SIEM) mereka. Integrasi ini memungkinkan korelasi data Apigee yang berharga dengan log produk keamanan dan jaringan lainnya, sehingga memfasilitasi deteksi ancaman tingkat lanjut, pencatatan log yang komprehensif, dan pelaporan kepatuhan. Dokumen ini membahas berbagai pendekatan integrasi, yang disesuaikan dengan skenario dengan dan tanpa add-on Advanced API Security.

Audiens

Audiens untuk dokumen ini meliputi:

  • Administrator API bertanggung jawab untuk memastikan keamanan API, mengelola konfigurasi platform, mendukung efisiensi operasional, dan mematuhi persyaratan kepatuhan keamanan.
  • Analis keamanan berfokus pada pendeteksian dan penyelidikan insiden keamanan terkait API secara proaktif untuk meminimalkan risiko dan mengamankan data sensitif.

Opsi konfigurasi

Apigee menawarkan dua metode utama untuk mengirim informasi log ke SIEM:

Opsi Deskripsi
Log platform Google Cloud Menyediakan tingkat dasar data log API, termasuk log khusus layanan yang berguna untuk proses debug dan pemecahan masalah.
Kebijakan Pencatatan Pesan Apigee Kebijakan Pencatatan Log Pesan menawarkan fleksibilitas dan kontrol yang lebih besar, sehingga Anda dapat mengirim berbagai data log Apigee, termasuk variabel alur tertentu, ke SIEM Anda.

Mengintegrasikan Apigee dengan SIEM Anda

Kemampuan adaptasi Apigee memastikan integrasi yang lancar dengan solusi SIEM pilihan Anda. Langkah-langkah integrasi umumnya adalah:

  1. Pilih metode integrasi Anda. Pilih log platform Google Cloud atau kebijakan Pencatatan Pesan Apigee berdasarkan persyaratan data dan kemampuan SIEM Anda.
  2. Tetapkan Penerusan Data. Untuk membuat penerusan data, konfigurasikan Apigee untuk mengirim data log yang diinginkan ke SIEM Anda. Langkah-langkah dasar untuk konfigurasi ini adalah sebagai berikut. Langkah-langkah yang tepat bergantung pada penyiapan dan detail konfigurasi sistem SIEM Anda:
    1. Siapkan koneksi atau integrasi antara Apigee dan SIEM Anda.
    2. Tentukan dalam konfigurasi SIEM Anda log atau peristiwa Apigee mana yang akan diteruskan ke SIEM Anda.
    3. Berikan izin yang diperlukan dalam SIEM Anda untuk menerima dan memproses data Apigee.
  3. Menyelaraskan Struktur Data. Memetakan kolom log Apigee dan variabel alur (seperti client.ip, request.uri, dll.) ke kolom yang sesuai dalam model data SIEM Anda. Penyelarasan ini memastikan bahwa SIEM dapat menafsirkan dan mengategorikan data Apigee dengan benar untuk analisis yang efektif dan korelasi dengan peristiwa keamanan lainnya.

Mencatat data Advanced API Security

Jika ingin mencatat data yang diidentifikasi oleh Deteksi penyalahgunaan keamanan API tingkat lanjut, Anda dapat menggunakan Tindakan dengan kebijakan Pencatatan Pesan Apigee.

Ikuti langkah-langkah berikut:

  1. Gunakan tindakan Advanced API Security untuk menandai aturan yang ingin Anda catat.
  2. Gunakan header yang ditambahkan oleh tindakan untuk memicu kebijakan Pencatatan Pesan guna mencatat permintaan yang ditandai. Misalnya, gambar berikut menunjukkan header apisec yang dikonfigurasi dengan nilai abuse di UI tindakan:

    Screenshot yang menampilkan header apisec yang dikonfigurasi dengan penyalahgunaan nilai di UI tindakan Keamanan API

    Dengan mengikuti contoh ini, Anda dapat mengonfigurasi kebijakan Pencatatan Pesan agar dipicu saat melihat header:

    <PostFlow name="PostFlow">
  <Request>
    <Step>
      <Condition>request.header.apisec="abuse"</Condition>
      <Name>LogMessagePolicy</Name>
    </Step>
  </Request>
</PostFlow>

Contoh: Menggunakan kebijakan Apigee Message Logging

Contoh ini menunjukkan cara mengonfigurasi kebijakan Message Logging Apigee untuk mengirim data log Apigee ke SIEM. Dengan opsi ini, Anda menentukan di kebijakan Message Logging variabel alur Apigee yang ingin dikirim ke SIEM. Opsi ini memungkinkan Anda mengirim serangkaian detail log yang lebih kaya ke SIEM daripada yang Anda dapatkan dengan opsi log platform Cloud.

  1. Aktifkan penyerapan data Apigee ke SIEM.
  2. Buat kebijakan Pencatatan Pesan dengan isi XML berikut. Untuk mendapatkan bantuan, lihat Melampirkan dan mengonfigurasi kebijakan di UI. 
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <MessageLogging continueOnError="false" enabled="true" name="ML-SIEM-Integration">
      <CloudLogging>
        <LogName>projects/{organization.name}/logs/Apigee-SIEM-Integration-{environment.name}</LogName>
        <Message contentType="application/json" defaultVariableValue="unknown">
        {
          "apigee.metrics.policy.{policy_name}.timeTaken": "{apigee.metrics.policy.{policy_name}.timeTaken}",
          "client.country": "{client.country}",
          "client.host": "{client.host}",
          "client.ip": "{client.ip}",
          "client.locality": "{client.locality}",
          "client.port": "{client.port}",
         "client.state": "{client.state}",
          "organization.name": "{organization.name}",
        "proxy.client.ip": "{proxy.client.ip}",
        "proxy.name": "{proxy.name}",
        "proxy.pathsuffix": "{proxy.pathsuffix}",
        "proxy.url": "{proxy.url}",
        "request.uri": "{request.uri}",
        "request.verb": "{request.verb}",
        "response.content": "{response.content}",
        "response.reason.phrase": "{response.reason.phrase}",
        "response.status.code": "{response.status.code}",
        "system.region.name": "{system.region.name}",
        "system.timestamp": "{system.timestamp}",
        "system.uuid": "{system.uuid}",
        "target.country": "{target.country}",
        "target.host": "{target.host}",
        "target.ip": "{target.ip}",
        "target.locality": "{target.locality}",
        "target.organization": "{target.organization}",
        "target.port": "{target.port}",
        "target.scheme": "{target.scheme}",
        "target.state": "{target.state}",
        "target.url": "{target.url}"
        }
         </Message>
      </CloudLogging>
    </MessageLogging>
  3. Lampirkan kebijakan ke Proxy Endpoint Post Flow. Lihat Melampirkan dan mengonfigurasi kebijakan di UI.

Saat proxy API memproses traffic, kebijakan logging akan mengambil kolom yang ditentukan dari permintaan dan respons, lalu menuliskannya ke file log untuk dianalisis dan di-debug.