Missbrauchserkennung

Diese Seite gilt für Apigee und Apigee Hybrid.

Apigee Edge-Dokumentation aufrufen

Mit der Missbrauchserkennung von Advanced API Security können Sie sich Sicherheitsvorfälle in Verbindung mit Ihren APIs ansehen. Ein Sicherheitsvorfall ist eine Gruppe von Ereignissen mit ähnlichen Mustern, die eine Sicherheitsbedrohung darstellen können. Advanced API Security verwendet Modelle des maschinellen Lernens, um Muster zu erkennen, die ein Zeichen für schädliche Aktivitäten sind, einschließlich API-Scraping und Anomalien, und Ereignisse basierend auf ähnlichen Mustern in Clustern zu gruppieren.

Wenn Advanced API Security einen Sicherheitsvorfall erkennt, werden die folgenden Informationen gemeldet:

  • Die Risikostufe und die Dauer des Vorfalls
  • Die vom Vorfall betroffenen Proxys
  • Die IP-Adressen der Vorfallereignisse
  • Die Erkennungsregeln, die durch den Vorfall ausgelöst wurden
  • Die Ursprungsländer des Vorfalls

und andere zugehörige Informationen zum Vorfall.

Sie können die Missbrauchserkennung entweder über die Apigee-Benutzeroberfläche, wie unten auf dieser Seite beschrieben, oder über die Incidents API bzw. die Security Stats API aufrufen.

Informationen zu den Rollen und Berechtigungen, die für die Verwendung der Missbrauchserkennung erforderlich sind, finden Sie unter Erforderliche Rollen und Berechtigungen für die Missbrauchserkennung.

Damit Sie diese Funktion nutzen können, müssen Sie das Add-on aktivieren. Wenn Sie ein Abo haben, können Sie das Add-on für Ihre Organisation aktivieren. Weitere Informationen finden Sie unter Erweiterte API-Sicherheit für Abo-Organisationen verwalten. Wenn Sie „Pay as you go“-Kunde sind, können Sie das Add-on in Ihren geeigneten Umgebungen aktivieren. Weitere Informationen finden Sie unter Add-on Erweiterte API-Sicherheits verwalten.

Modelle für maschinelles Lernen für die Missbrauchserkennung aktivieren

Apigee bittet Sie um Ihre Hilfe bei der Verbesserung der ML-Modelle zur Missbrauchserkennung in Ihrer Organisation, indem Sie uns erlauben, die Modelle mit Ihren Daten zu trainieren. Wenn die Modelle mit Ihren Daten trainiert werden, wird die Genauigkeit der Erkennung von Sicherheitsvorfällen verbessert. Das Training wird nur auf Ihre Organisation angewendet. Ihre Daten werden nicht zu Trainingszwecken an andere Google Cloud-Kunden weitergegeben.

Wenn Sie die Seite Missbrauchserkennung zum ersten Mal in der Apigee-Benutzeroberfläche öffnen, wird eine Opt-in-Anfrage angezeigt, in der Sie aufgefordert werden, den Modellen für maschinelles Lernen von Advanced API Security die Verwendung Ihrer API-Traffic-Daten für das Modelltraining zu erlauben. Sie müssen die Verwendung des Modells zur Missbrauchserkennung ausdrücklich aktivieren. Wenn Sie das Modelltraining nicht aktivieren, werden keine Erkennungen aus der Regel für die erweiterte Anomalieerkennung angezeigt. Diese Regel funktioniert nur, wenn Sie dem Modelltraining zustimmen.

Informationen zu den Rollen, die zum Verwalten der Aktivierung von maschinellem Lernen erforderlich sind, finden Sie unter Erforderliche Rollen und Berechtigungen für die Missbrauchserkennung.

Maschinelles Lernmodell für die erweiterte Anomalieerkennung zur Missbrauchserkennung verwenden

Damit erkannte Anomalien in der Missbrauchserkennung angezeigt werden, müssen Sie zustimmen, dass das ML-Modell für die erweiterte Anomalieerkennung mit Ihren API-Trafficdaten trainiert werden darf.

Das Modell verwendet nur Ihre Daten zum Trainieren. Ihre Daten werden niemals an andere Google Cloud -Kunden weitergegeben.

Wenn Sie Ihre API-Trafficdaten für das Training von Modellen zur Anomalieerkennung verwenden möchten, wählen Sie diese Option aus, wenn Sie Ihrer Konfiguration zur Missbrauchserkennung die Anomalieerkennung hinzufügen.

Seite Missbrauchserkennung öffnen

So öffnen Sie die Seite Missbrauchserkennung:

Dadurch wird die Hauptansicht Missbrauchserkennung angezeigt:

Hauptseite der Missbrauchserkennung.

Berechtigungen ändern, damit Apigee Ihre Modelle für maschinelles Lernen verbessern kann

Sie können Ihre Berechtigungen ändern, damit Apigee Ihre Modelle für maschinelles Lernen jederzeit verbessern kann. Klicken Sie dazu oben rechts auf der Missbrauchserkennungsseite auf Einstellungen und wählen Sie die Option zum Aktivieren oder Deaktivieren dieser Funktion.

Hauptseite Missbrauchserkennung

Am oberen Rand der Seite können Sie einen der folgenden Zeiträume auswählen, für die Vorfälle angezeigt werden sollen: letzte 1 Tag, letzte 1 Woche oder letzte 2 Wochen.

In der Tabelle auf der Seite werden die Umgebungen in Ihrer Organisation angezeigt, die im ausgewählten Zeitraum von Sicherheitsvorfällen betroffen waren.

In jeder Tabellenzeile wird auch Folgendes angezeigt:

  • Umgebung: Die Umgebung, in der der Missbrauch aufgetreten ist.
  • Gesamtzahl der Vorfälle: Die Gesamtzahl der Vorfälle in der Umgebung während des ausgewählten Zeitraums. Weitere Informationen dazu, welche Vorfälle und Daten in der Benutzeroberfläche angezeigt werden, finden Sie unter Einschränkungen für Vorfälle und angezeigte Daten.

  • Risikostufe: Zeigt die Anzahl der Vorfälle in drei Risikostufen: schwer, mittel und niedrig. Die Risikostufe basiert auf verschiedenen Eigenschaften eines Vorfalls, z. B. der Anzahl der erkannten Regeln, den zugehörigen Typen und der relativen Größe des Vorfalls im Vergleich zu legitimem Traffic. Die Risikostufe soll Ihnen dabei helfen, die zu untersuchenden Vorfälle zu priorisieren, damit Sie sich auf die wichtigsten konzentrieren können.

    Die Risikostufe kann eine der folgenden sein:

    • Schwer: Schwere Vorfälle stellen ein hohes Risiko dar. Wir empfehlen Ihnen, ihre Untersuchung zu priorisieren.
    • Mittel: Mittlere Vorfälle stellen ein gewisses Risiko dar, aber weniger als Vorfälle mit schwerem Risiko. Wir empfehlen Ihnen, diesen Vorrang vor Vorfällen mit niedrigem Risiko zu geben.
    • Niedrige: Vorfälle mit geringem Risiko können zuletzt untersucht werden, nachdem Sie die Vorfälle mit höherem Risiko untersucht haben.

    Die Zahl neben jeder Risikostufe gibt die Anzahl der Vorfälle mit dieser Risikostufe an.

Umgebungsdetails

Wählen Sie in der Tabelle oben die Umgebung aus, um die Vorfälle in einer Umgebung für den ausgewählten Zeitraum aufzurufen. Dadurch wird die Ansicht Umgebungsdetails geöffnet:

Vorfallansicht.

Wenn Sie einen Vorfall oder erkannten Traffic sehen und eine Sicherheitsaktion erstellen möchten, um Anfragen im Zusammenhang mit dem Vorfall oder erkannten Traffic zu blockieren oder zu melden, klicken Sie auf Sicherheitsaktion erstellen oben auf der Seite. Dadurch wird die Seite Sicherheitsaktionen geöffnet.

Die Ansicht Umgebungsdetails hat zwei Tabs:

  • Vorfälle: Hier wird eine Liste der Vorfälle in der Umgebung sowie Informationen zu diesen Vorfällen angezeigt.
  • Erkannter Traffic: Zeigt Details zum erkannten Missbrauchstraffic im Zusammenhang mit den Vorfällen an.

Vorfälle

Auf dem Tab Vorfälle der Ansicht Umgebungsdetails (siehe oben) werden die folgenden Optionen angezeigt:

  • Umgebung: Ändern Sie die Umgebung, in der Vorfälle angezeigt werden sollen.
  • Proxy: Wählen Sie Alle auswählen aus, um Vorfälle für alle Proxys aufzurufen, oder wählen Sie einen oder mehrere einzelne Proxys aus, um nur Vorfälle für ausgewählte Proxys aufzurufen.
  • Archivierte Vorfälle einschließen: Wenn diese Option ausgewählt ist, werden in der Liste der Vorfälle archivierte Vorfälle angezeigt. Archivierte Vorfälle werden mit einem Symbol daneben angezeigt: Archiviert-Symbol.

    Um archivierte Vorfälle aus der Liste auszublenden, heben Sie die Auswahl Archivierte Vorfälle einschließen auf. Sie möchten archivierte Vorfälle möglicherweise ausblenden, wenn viele Vorfälle angezeigt werden und Sie nicht alle sehen möchten, oder wenn Sie Vorfälle ausblenden möchten, die Sie bereits untersucht haben.

In der Vorfallansicht wird auch Folgendes angezeigt:

  • Name des Vorfalls: Ein generierter Name, der den Vorfall zusammenfasst.
  • Risikostufe: Die Risikostufe des Vorfalls.

  • Wichtigste Erkennungsregeln: Eine Liste der wichtigsten Erkennungsregeln, die durch den Vorfall ausgelöst wurden.

  • Vorfall-Traffic: Die Gesamtzahl der Ereignisse: API-Aufrufe, die durch eine der Erkennungsregeln im Zusammenhang mit dem Vorfall getaggt wurden.
  • Erstes Ereignis erkannt: Datum und Uhrzeit der Erkennung des ersten Ereignisses für den Vorfall.
  • Letztes Ereignis erkannt: Datum und Uhrzeit der Erkennung des letzten Ereignisses für den Vorfall.
  • Dauer: Die Dauer des Vorfalls, vom ersten Ereignis bis zum letzten Ereignis.
  • UUID: Die Universally Unique Identifier des Vorfalls.

Details zu Vorfällen

Klicken Sie in der Tabelle auf den Namen eines Vorfalls, um dessen Details aufzurufen. Dadurch wird der Bereich Übersicht der Ansicht Details zu Vorfällen angezeigt:

Sie können oben auf der Seite auf Sicherheitsaktion erstellen klicken, um eine Sicherheitsaktion als Reaktion auf den Vorfall zu erstellen.

Die Ansicht Details zu Vorfällen hat zwei Tabs, Übersicht und Attribute. Informationen zum Tab „Übersicht“ finden Sie unter Übersicht und Informationen zu Attributen unter Attribute.

Ansicht "Details zu Vorfällen".

Übersicht

Im Bereich Übersicht werden grundlegende Informationen zum Vorfall angezeigt, darunter:

  • Name des Vorfalls: Der Name des Vorfalls.
  • Risikostufe: Die Risikostufe des Vorfalls.
  • Betroffene Proxys: Die Anzahl der vom Vorfall betroffenen Proxys. Klicken Sie auf Proxys anzeigen, um die betroffenen Proxys aufzurufen.
  • Dauer: Die Dauer des Vorfalls, vom ersten bis zum letzten Ereignis. Außerdem wird das Datum und die Uhrzeit angezeigt, zu der das Ereignis zum ersten Mal erkannt wurde.
  • IP-Adressen (Anzahl): Die Anzahl der eindeutigen IP-Adressen, die für diesen Vorfall erkannt wurden. Klicken Sie auf IP-Adressen ansehen, um weitere Informationen zu den IP-Adressen aufzurufen.
  • Statistiken: Details zu Missbrauchserkennungsereignissen können Statistiken zu generativer KI enthalten, die mit Large Language Models (LLMs) von Google Cloud erstellt wurden. Das LLM fasst den erkannten Traffic pro Vorfall zusammen, damit Sie den Sicherheitsvorfall besser nachvollziehen können. Außerdem enthält es zusätzlichen Kontext und Informationen zum Vorfall, Links zu unterstützenden Dokumenten und Empfehlungen für die nächsten Schritte. Geben Sie Feedback, indem Sie auf das Daumen-hoch- oder Daumen-runter-Symbol klicken und optional eine Erklärung hinzufügen.

    Zusammenfassungen und Empfehlungen basieren auf den Daten der letzten 14 Tage, auch wenn der Vorfall schon länger als 14 Tage zurückliegt.
    Diese generativen KI-Erkenntnisse werden automatisch in die Missbrauchserkennung einbezogen, wenn das Projekt und Ihr Nutzerkonto für die Verwendung der Cloud AI Companion API eingerichtet sind. Weitere Informationen finden Sie unter Cloud AI Companion API in einem Google Cloud-Projekt aktivieren und IAM-Rollen in einem Google Cloud-Projekt zuweisen. Nutzerkonten benötigen außerdem eine zusätzliche Berechtigung, um Statistiken aufrufen zu können. Weitere Informationen finden Sie unter Erforderliche Rollen und Berechtigungen für die Missbrauchserkennung.

    Wenn Sie die Statistiken zu generativer KI deaktivieren möchten, deaktivieren Sie die Cloud AI Companion API für dieses Projekt. Folgen Sie dazu der Anleitung unter Dienste deaktivieren.
  • Ereignisse: Zeigt ein Zeitreihendiagramm der Ereignisse im Vorfall an. Für jeden Zeitpunkt im Diagramm ist der entsprechende y-Wert die Gesamtzahl der Ereignisse in einem kurzen Zeitraum um diesen Zeitpunkt herum. Wenn Sie den Mauszeiger über einen Punkt im Diagramm bewegen, wird die Anzahl der Ereignisse im aktuellsten Zeitraum unter Wert angezeigt. Sie können die Werte für verschiedene Zeiträume sehen. Bewegen Sie dazu den Cursor nach links oder rechts und beobachten Sie, wo sich die Werte ändern.

    Im Bereich Ereignisse werden auch die Gesamtzahlen für den Umgebungstraffic und den Vorfall-Traffic angezeigt.

  • Erkannte Regeln: Zeigt bis zu fünf der wichtigsten Gruppen erkannter Regeln an, einschließlich der folgenden Informationen:
    • Dominante Regeln: Die wichtigsten Erkennungsregeln, die durch den Vorfall ausgelöst wurden.
    • API-Ereignisse für dominante Regeln: Die Anzahl der API-Ereignisse, die durch die dominanten Regeln getaggt wurden.
    • Gesamtzahl der erkannten Regeln: Die Anzahl der vom Vorfall ausgelösten Erkennungsregeln.

    Klicken Sie unten auf der Karte auf Alle Regeln anzeigen, um alle Regeln aufzurufen.

  • Wichtigste erkannte Länder: Eine Karte mit den Ländern, die die Ereignisquellen des Vorfalls waren. Unterhalb der Karte sehen Sie ein Diagramm, in dem bis zu fünf dieser Länder und der Prozentsatz des gesamten Traffics aus diesen Ländern zu sehen sind.

    Hinweis:Wenn das Herkunftsland der Ereignisse nicht ermittelt werden kann, wird auf der Karte nicht festgelegt angezeigt.

    Klicken Sie unten auf der Karte auf Alle Länder anzeigen, um alle Länder zu sehen.

  • IP-Adressen: Sehen Sie sich Details zu Vorfällen nach den Quell-IP-Adressen für Ereignisse im Vorfall an. Wählen Sie Alle IP-Adressen anzeigen aus, um alle IP-Adressen in der Liste aufzurufen. Hinweis:Im Bereich IP-Adressen werden eindeutige IP-Adressen angezeigt, auch wenn mehrere Vorfälle derselben IP-Adresse entsprechen.

    Unter IP-Adressen werden die folgenden Spalten angezeigt:

    • IP-Adresse: Die IP-Adresse für den Vorfall. Klicken Sie auf Ansehen, wenn die IP-Adresse nicht sichtbar ist. Klicken Sie auf die IP-Adresse, um die Details aufzurufen. Dort sehen Sie erkannte Regeln, das Datum der ersten und letzten Erkennung, den Traffic und Attribute für Vorfälle, die mit der IP-Adresse beobachtet wurden.

      Der Tab Details enthält auch Informationen zu den zugehörigen Logs für eingehenden Zugriff. Weitere Informationen finden Sie unter Zugriffslogs für eingehenden Traffic in der Missbrauchserkennung.

      Sie können sich auch Rohdaten für den Vorfall ansehen, einschließlich Zeitstempeln, Anforderungspfaden und Antwortstatuscodes für Anfragen, die dem Vorfallsbericht zugrunde liegen. Klicken Sie auf die IP-Adresse und wählen Sie dann den Tab Rohdaten aus, um die Rohdaten aufzurufen. Die angezeigten Rohdaten sind auf 1.000 Zeilen beschränkt und stellen eine Stichprobe dar, die nicht unbedingt die neuesten Daten enthält.

      Weitere Informationen zu den Detailfeldern finden Sie in der Referenz zu Analytics-Dimensionen und den Dimensionen der Security Stats API.
    • Standort: Standort der IP-Adresse.
    • Erkannter Traffic: Die Gesamtzahl der Anfragen von der IP-Adresse.
    • % der Aufrufe: Prozentsatz der Anfragen von der IP-Adresse aus allen Aufrufen in der Umgebung.
    • Erstes Ereignis erkannt: Das erste Mal, dass ein Ereignis in dem Vorfall erkannt wurde.
    • Zeitpunkt der letzten Erkennung: Das letzte Mal, dass ein Ereignis in dem Vorfall erkannt wurde.

  • Unter API-Schlüssel werden Vorfälle nach API-Schlüssel aufgelistet. Wählen Sie Alle API-Schlüssel anzeigen aus, um alle API-Schlüssel in der Liste zu sehen. Die Liste enthält die folgenden Spalten:

    • API-Schlüssel: Der API-Schlüssel für den Vorfall. Klicken Sie auf Ansehen, wenn der Schlüssel nicht sichtbar ist. Klicken Sie auf den Schlüssel, um die erkannten Regeln, das Datum der ersten und letzten Erkennung, den Traffic und die Attribute für Vorfälle mit dem API-Schlüssel aufzurufen.

      Sie können auch Rohdaten für den Vorfall aufrufen, einschließlich Gateway-Ablauf-IDs, Zeitstempeln und Pfaden für Anfragen, die dem Vorfallsbericht zugrunde liegen. Klicken Sie auf den API-Schlüssel und wählen Sie dann den Tab Rohdaten aus, um die Rohdaten aufzurufen. Die angezeigten Rohdaten sind auf 1.000 Zeilen beschränkt und stellen eine Stichprobe dar, die nicht unbedingt die neuesten Daten enthält.

      Weitere Informationen zu den Detailfeldern finden Sie in der Referenz zu Analytics-Dimensionen und den Dimensionen der Security Stats API.
    • App: Die Entwickleranwendung oder AppGroup-Anwendung, die mit dem API-Schlüssel verknüpft ist.
    • Erkannter Traffic: Die Gesamtzahl der Anfragen vom API-Schlüssel.
    • % der Aufrufe: Prozentsatz der Anfragen vom API-Schlüssel aus allen Aufrufen in der Umgebung.
    • Erstes Ereignis erkannt: Das erste Mal, dass ein Ereignis mit einer Anfrage mit diesem API-Schlüssel im Vorfall erkannt wurde.
    • Letztes Ereignis erkannt: Das letzte Mal, dass ein Ereignis mit einer Anfrage mit diesem API-Schlüssel im Vorfall erkannt wurde.

Hohe Anzahl an Fehlalarmen vermeiden

Wenn Sie eine große Anzahl von Falschmeldungen sehen und interne IP-Adressen von den Missbrauchserkennungsregeln der erweiterten API-Sicherheit als Anomalien gekennzeichnet werden, folgen Sie der Anleitung in diesem Abschnitt, um das Problem zu beheben.

Standardmäßig verwendet Apigee die erste öffentliche IP-Adresse, die im X-Forwarded-For-Header (XFF) in den API-Anfragen aufgeführt ist. Bei Organisationen mit erheblichem internen API-Traffic kann die XFF-Überschrift jedoch private IP-Adressen enthalten, die vor öffentlichen IP-Adressen aufgeführt sind. (z. B. bei Verwendung einer öffentlichen Load-Balancer-IP-Adresse). In diesem Fall ignoriert Apigee standardmäßig die privaten IP-Adressen im XFF-Header und zeigt die öffentliche Load-Balancer-IP-Adresse als Traffic-Quelle an. Dies kann dazu führen, dass Apigee dieser öffentlichen IP-Adresse eine künstlich große Menge an Traffic zuordnet, die dann in der Funktion zur Missbrauchserkennung von Advanced API Security als anomales Traffic-Muster gekennzeichnet werden kann.

Sie können dieses Problem beheben, indem Sie die Auflösung der Client-IP-Adresse für die Umgebung konfigurieren, um anzugeben, welche IP-Adresse Apigee als Quell-IP verwenden soll. Wenn Sie die Client-IP-Auflösung verwenden, kann Apigee die tatsächliche Quell-IP-Adresse für Ihren API-Traffic melden. Sie können Apigee beispielsweise anweisen, immer die erste IP-Adresse in Ihrem XFF-Header zu verwenden, auch wenn es sich um eine private IP-Adresse handelt.

Vorfälle archivieren

Damit Sie zwischen den Vorfällen, die Sie bereits untersucht haben, und denen, die Sie nicht untersucht haben, besser unterscheiden können, können Sie die Vorfälle archivieren, die nicht mehr Ihre Aufmerksamkeit erfordern. Wenn ein Vorfall archiviert wird, wird er in der Liste Umgebungsdetails > Vorfälle ausgeblendet (sofern Archivierte Vorfälle einschließen nicht ausgewählt ist). Durch das Archivieren wird kein Vorfall gelöscht. Sie können ihn jederzeit wiederherstellen, wenn Sie Ihre Meinung ändern.

Wenn Sie einen Vorfall archivieren möchten, wählen Sie oben in der Ansicht Details zu Vorfällen die Option Archivieren aus. Danach ändert sich das Label für die Schaltfläche Archiv in Wieder aktivieren. Schaltfläche "Wieder aktivieren"

Vorfälle aus dem Archiv wiederherstellen

So aktivieren Sie einen archivierten Vorfall wieder:

  1. Klicken Sie in der Ansicht Umgebungsdetails > Vorfälle auf das Symbol neben dem Vorfall, den Sie wieder aktivieren möchten: Archiviert-Symbol.
  2. Klicken Sie oben in der Liste der Vorfälle auf Wieder aktivieren.

Wenn Sie sich in der Ansicht Details zum Vorfall für den Vorfall befinden, klicken Sie auf Wieder aktivieren.

Erkannter Traffic

Erkannter Traffic ist Traffic, der eine Regel zur Missbrauchserkennung ausgelöst hat. In der Ansicht Erkannter Traffic werden Informationen zu Vorfällen angezeigt. Das sind bestimmte Instanzen von erkanntem Traffic. Auf der Seite werden Vorfälle mit Letztes erkanntes Ereignis in den letzten 14 Tagen angezeigt. Weitere Informationen zum Zeitraum der in der Benutzeroberfläche angezeigten Daten finden Sie unter Einschränkungen für Vorfälle und angezeigte Daten.

Wählen Sie zum Öffnen der Ansicht Erkannter Traffic in der Ansicht Umgebungsdetails die Option Erkannter Traffic aus:

Ansicht „Missbrauch“

In der Ansicht Erkannter Traffic werden Daten für Folgendes angezeigt:

  • Traffic insgesamt: Die Gesamtzahl der Anfragen.
  • Erkannter Traffic: Die Anzahl der Anfragen von IP-Adressen, bei denen ein Missbrauch festgestellt wurde.
  • % des erkannten Traffics: Der Prozentsatz des erkannten Traffics am Gesamttraffic.
  • Anzahl erkannter IP-Adressen: Die Anzahl der unterschiedlichen IP-Adressen, die dem erkannten Missbrauch entsprechen. Mehrere Anfragen von derselben IP-Adresse werden nur als einer gezählt.

Die Ansicht Erkannter Traffic zeigt auch eine Tabelle mit den Details jeder IP-Adresse an, die dem erkannten Missbrauch entspricht. Beachten Sie, dass die IP-Adressen aus Datenschutzgründen standardmäßig nicht angezeigt werden. Wählen Sie oben in der Tabelle Alle IP-Adressen anzeigen aus, um sie anzuzeigen.

Jede Zeile der IP-Adresstabelle wird angezeigt:

  • IP-Adresse: IP-Adresse des erkannten Missbrauchs. Klicken Sie auf Ansehen, um die Adresse aufzurufen. Wenn die IP-Adresse angezeigt wird, klicken Sie darauf, um Details aufzurufen. Dort sehen Sie erkannte Regeln, das Datum der ersten und letzten Erkennung sowie Attribute für erkannten Traffic von der IP-Adresse.

    Der Tab Details enthält auch Informationen zu den zugehörigen Logs für eingehenden Zugriff. Weitere Informationen finden Sie unter Ingress-Zugriffslogs in der Missbrauchserkennung.

    Sie können auch Rohdaten für den Vorfall aufrufen, einschließlich Zeitstempeln, Anforderungspfaden und Antwortstatuscodes für Anfragen, die dem Vorfallsbericht zugrunde liegen. Klicken Sie auf die IP-Adresse und wählen Sie dann den Tab Rohdaten aus, um die Rohdaten aufzurufen. Die angezeigten Rohdaten sind auf 1.000 Zeilen beschränkt und stellen eine Stichprobe dar, die nicht unbedingt die neuesten Daten enthält.

    Weitere Informationen zu den Detailfeldern finden Sie in der Referenz zu Analytics-Dimensionen und den Dimensionen der Security Stats API.
  • Standort: Der Standort der IP-Adresse.
  • Top-App-Schlüssel: Der App-Schlüssel, der am häufigsten in Anfragen von der IP-Adresse verwendet wird. Hinweis: App-Schlüssel ist ein anderer Begriff für API-Schlüssel.
  • Erkennungsregeln: Eine Liste aller Erkennungsregeln, die durch den Missbrauch ausgelöst wurden.
  • Top-URL: Die URL, die die meisten Anfragen von der IP-Adresse erhalten hat.
  • Erkannter Traffic: Die Anzahl der Anfragen von der IP-Adresse.
  • % des erkannten Traffics: Der Prozentsatz der Anfragen von der IP-Adresse aus allen Anfragen in der Umgebung.
  • Erstes Ereignis erkannt: Das erste Mal, dass ein Ereignis in einer Anfrage von der IP-Adresse während des oben auf der Seite Sicherheitspunktzahlen ausgewählten Zeitraums erkannt wurde.
  • Letztes Ereignis erkannt: Das letzte Mal, dass ein Ereignis in einer Anfrage von der IP-Adresse während des oben auf der Seite Sicherheitspunktzahlen ausgewählten Zeitraums erkannt wurde.

Attribute

In der Ansicht Attribute können Sie die Details eines Vorfalls oder erkannten Traffics aufschlüsseln. Attribute – auch als Dimensionen bezeichnet – sind Gruppierungen der Daten, mit denen Sie den Vorfall auf unterschiedliche Weise betrachten können. Mit dem Attribut „API-Produkte“ können Sie beispielsweise die Daten nach API-Produkt anzeigen.

Wenn Sie die Attribute für einen Vorfall aufrufen möchten, wählen Sie oben in der Ansicht Details zu Vorfällen den Tab Attribute aus.

Wenn Sie die Attribute für eine bestimmte API-Adresse oder einen bestimmten API-Schlüssel in einem Vorfall oder erkannten Traffic aufrufen möchten, klicken Sie auf der Übersichtsseite in der Ergebnistabelle auf die IP-Adresse oder den API-Schlüssel.

Bereich "Attributes" mit ausgewählten API-Produkten.

Im linken Bereich werden alle Attribute und die Anzahl der verschiedenen Werte für jedes Attribut angezeigt. Sie können ein Attribut auswählen, um die zugehörigen Vorfalldetails aufzurufen.

Die Abbildung oben zeigt die Ansicht Attribute mit ausgewählter Option Länder/Regionen. Im Bereich Länder/Regionen werden Diagramme für den Prozentsatz der API-Aufrufe angezeigt, die für die einzelnen Regionen durchgeführt wurden.

Weitere Informationen zum Wert (not set) finden Sie unter Was bedeutet es, wenn ein Attribut den Wert (not set) hat.

Im Feld Filter können Sie die im Bereich angezeigten Daten für ein Attribut nach verschiedenen Eigenschaften filtern.

Im Allgemeinen wird im Bereich für ein Attribut eine Tabelle angezeigt, die die Vorfalldaten nach den Werten des Attributs anzeigt. Die Spalten der Tabelle enthalten Folgendes:

  • Gesamtzahl der Aufrufe: Gesamtzahl der API-Aufrufe.
  • % der Aufrufe: Prozentsatz aller Aufrufe für jeden Wert des Attributs.
  • Zeit der letzten Erkennung: Der Zeitpunkt, zu dem zuletzt ein Ereignis im Zusammenhang mit dem Vorfall erkannt wurde.

Für einige Attribute enthält die Tabelle zusätzliche Spalten.

Weitere Informationen zu den einzelnen Attributen, einschließlich:

  • API-Produkte: Sehen Sie sich Details nach API-Produkt an.
  • Länder/Regionen: Rufen Sie Details zu Vorfällen nach den Ländern und Regionen auf, aus denen die Ereignisse stammen.
  • AppGroup-Apps: Details nach zugehöriger AppGroup-App ansehen. Wenn dem Antrag keine AppGroup zugeordnet ist, wird in den Spalten AppGroup-App und AppGroup-Name (not set) angezeigt. Weitere Informationen finden Sie unter Entwickler-Apps.
  • AppGroups: Details nach zugehörigen AppGroups nach Namen ansehen. Wenn keine AppGroup mit der Anfrage verknüpft ist, wird in den Spalten AppGroup-Name und AppGroup-App (not set) angezeigt. Weitere Informationen finden Sie unter Entwickler.
  • Entwickler: Rufen Sie Details nach Entwicklernauf. Dies sind die Personen, die die Apps entwickeln. Entwickler enthält die Spalte Apps, in der die Anwendungen für jeden Entwickler aufgeführt sind. Wenn die App einer AppGroup gehört, wird in der Spalte Entwickler (not set) und in der Spalte Apps die AppGroup-Apps angezeigt. Weitere Informationen finden Sie auf dem Tab AppGroups names (Namen von AppGroups).
  • Entwickler-Apps: Sehen Sie sich Details nach Anwendung an. In der Spalte E-Mail-Adresse des Entwicklers werden die E-Mail-Adressen der Entwickler der einzelnen Apps aufgeführt. Wenn die App einer AppGroup gehört, wird in der Spalte Entwickler (not set) und in der Spalte Apps die AppGroup-Apps angezeigt. Weitere Informationen finden Sie auf dem Tab AppGroups-Apps.
  • Proxys: Sehen Sie sich Details nach Proxy an.
  • Antwortcodes: Rufen Sie Details nach Antwortcode auf.
  • Regeln: Sehen Sie sich Details nach Erkennungsregeln an.
  • User-Agents: Rufen Sie Details nach User-Agent auf, dem Software-Agent, der den API-Aufruf durchgeführt hat.

Was bedeutet es, wenn ein Attribut den Wert (not set) hat?

Gelegentlich hat ein Attribut den Wert (not set). Dafür kann es verschiedene Gründe geben. Für Apigee sind möglicherweise nicht genügend Informationen vorhanden, um den Wert des Attributs zu bestimmen (z. B. das Land eines API-Aufrufs). Alternativ gilt das Attribut in einem bestimmten Fall möglicherweise nicht. Weitere Informationen finden Sie unter Was bedeutet ein Analytics-Entity-Wert "(nicht festgelegt)"?.

Ingress-Zugriffslogs bei der Missbrauchserkennung

Wenn Sie Cloud Logging für Apigee-Logs für eingehenden Traffic aktiviert haben, enthält die Detailseite für eine IP-Adresse oder einen API-Schlüssel einen Link direkt zu Cloud Logging mit einem Filter, der für die aktuell ausgewählte IP-Adresse festgelegt ist.

Weitere Informationen zur Verwendung finden Sie unter Logs mit dem Log-Explorer aufrufen. Vorgeschlagene Filter:

  • Wenn Sie alle Anomalietypen sehen möchten, rufen Sie alle Anrufe auf.
  • Wenn Sie nur Fehler sehen möchten, beschränken Sie die Ergebnisse auf den Schweregrad Error (Fehler).
Wenn Cloud Logging für Apigee-Ingress-Zugriffslogs nicht aktiviert ist, enthält dieses Feld einen Link mit weiteren Informationen zu Cloud Logging.

Informationen und wichtige Preisinformationen zur Verwendung von Cloud Logging-Ingress-Zugriffslogs für Apigee-Instanzen finden Sie unter Apigee-Zugriffslogs protokollieren.

Einschränkungen bei der Missbrauchserkennung

Die Missbrauchserkennung unterliegt den folgenden Einschränkungen.

  • Vorfälle, deren letztes erkanntes Ereignis mehr als 14 Tage in der Vergangenheit liegt, werden nicht in der Benutzeroberfläche zur Missbrauchserkennung angezeigt. Weitere Informationen dazu, welche Vorfälle und Daten in der Benutzeroberfläche angezeigt werden, finden Sie unter Einschränkungen für Vorfälle und angezeigte Daten.
  • Wenn Sie die Advanced API zum ersten Mal für eine Organisation aktivieren oder sie wieder aktivieren, dauert es eine gewisse Zeit, bis Ereignisse in Vorfällen geclustert wurden. Danach kommt es zu gelegentlichen Verzögerungen.
  • Es kann einen Moment dauern, bis die Attributseite Details zu Vorfällen für Organisationen mit hohem Traffic geladen wurde.
  • AppGroups werden in Apigee Hybrid derzeit nicht unterstützt.