Rilevamento di comportamenti illeciti

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Il rilevamento di comportamenti illeciti di Advanced API Security ti consente di visualizzare gli incidenti di sicurezza che coinvolgono le tue API. Un incidente di sicurezza è un gruppo di eventi con pattern simili che potrebbero rappresentare una minaccia alla sicurezza. Advanced API Security utilizza modelli di machine learning per rilevare pattern che sono un segno di attività dannose, tra cui scraping e anomalie delle API, e raggruppa gli eventi in base a pattern simili.

Quando Advanced API Security rileva un incidente di sicurezza, segnala quanto segue:

• Il livello di rischio e la durata dell'incidente
• I proxy interessati dall'incidente
• Gli indirizzi IP degli eventi di incidente
• Le regole di rilevamento che sono state attivate dall'incidente
• I paesi di origine dell'incidente

e altre informazioni correlate all'incidente.

Puoi accedere al rilevamento degli abusi tramite la UI di Apigee, come descritto di seguito, oppure tramite l'API Incidents o l' API Security stats.

Consulta Ruoli e autorizzazioni richiesti per il rilevamento di abusi per i ruoli e le autorizzazioni necessari per utilizzare il rilevamento di abusi.

Per utilizzare questa funzionalità, devi attivare il componente aggiuntivo. Se sei un cliente con abbonamento, puoi attivare il componente aggiuntivo per la tua organizzazione. Per maggiori dettagli, consulta Gestire la sicurezza avanzata delle API per le organizzazioni con abbonamento. Se sei un cliente con pagamento a consumo, puoi attivare il componente aggiuntivo negli ambienti idonei. Per saperne di più, vedi Gestire il componente aggiuntivo Advanced API Security.

Attivare i modelli di machine learning per il rilevamento di abusi

Apigee ti chiede di aiutarci a migliorare i modelli di machine learning per il rilevamento di abusi nella tua organizzazione consentendoci di addestrare i modelli sui tuoi dati. L'addestramento dei modelli sui tuoi dati contribuisce a migliorare la loro precisione nel rilevamento degli incidenti di sicurezza. Il corso di formazione verrà applicato solo alla tua organizzazione. I tuoi dati non verranno condivisi con altri clienti Google Cloud a scopo di addestramento.

Quando apri per la prima volta la pagina Rilevamento abusi nell'interfaccia utente di Apigee, vedrai una richiesta di attivazione per consentire ai modelli di machine learning di Advanced API Security di utilizzare i dati sul traffico API per l'addestramento del modello. Devi attivare esplicitamente l'utilizzo del modello per il rilevamento di abusi. Tieni presente che se non scegli di attivare l'addestramento del modello, non vedrai alcun rilevamento dalla regola Rilevamento avanzato delle anomalie. Questa regola non funziona se non viene attivato l'addestramento del modello.

Per informazioni sui ruoli necessari per gestire l'attivazione del machine learning, consulta Ruoli e autorizzazioni richiesti per il rilevamento di abusi.

Utilizzare un modello di machine learning per il rilevamento avanzato di anomalie per il rilevamento di abusi

Per visualizzare le anomalie rilevate in Rilevamento abusi, devi attivare l'addestramento del modello di machine learning Advanced Anomaly Detection sui dati di traffico API.

Il modello utilizza solo i tuoi dati per l'addestramento. I tuoi dati non vengono mai condivisi con altri clienti di Google Cloud .

Per attivare l'utilizzo dei dati sul traffico API per l'addestramento del modello di rilevamento delle anomalie, seleziona questa opzione quando aggiungi il rilevamento delle anomalie alla configurazione del rilevamento di abusi.

Apri la pagina Rilevamento di comportamenti illeciti.

Per aprire la pagina Rilevamento di comportamenti illeciti:

• Se utilizzi l'interfaccia utente Apigee nella console Cloud: seleziona Sicurezza API avanzata > Rilevamento abusi.
• Se utilizzi la UI Apigee classica: seleziona Analizza > Sicurezza API > Rilevamento abusi.

Viene visualizzata la pagina principale Rilevamento di comportamenti illeciti:

Modificare le autorizzazioni per consentire ad Apigee di migliorare i modelli di machine learning

Puoi modificare le autorizzazioni per consentire ad Apigee di migliorare i tuoi modelli di machine learning in qualsiasi momento, facendo clic su Impostazioni in alto a destra della pagina Rilevamento abusi e selezionando l'opzione per attivare o disattivare questa funzionalità.

Pagina principale Rilevamento di comportamenti illeciti

Nella parte superiore della pagina, puoi selezionare uno dei seguenti periodi di tempo recenti in cui visualizzare gli incidenti: gli ultimi 1 giorno, 1 settimana o 2 settimane.

La tabella nella pagina mostra gli ambienti della tua organizzazione interessati da incidenti di sicurezza durante l'intervallo di tempo selezionato.

Ogni riga della tabella mostra anche quanto segue:

• Ambiente: l'ambiente in cui si è verificato l'abuso.
• Incident totali: il numero totale di incidenti nell'ambiente durante l'intervallo di tempo selezionato. Per saperne di più sugli incidenti e sui dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative a incidenti e dati visualizzati.

• Livello di rischio: mostra il numero di incidenti a tre livelli di rischio: grave, moderato e basso. Il livello di rischio si basa su diverse caratteristiche di un incidente, ad esempio il numero di regole rilevate, i relativi tipi e le dimensioni relative dell'incidente rispetto al traffico legittimo. Il livello di rischio ha lo scopo di aiutarti a stabilire la priorità degli incidenti da esaminare, in modo da poterti concentrare su quelli più critici.

  Il livello di rischio può essere uno dei seguenti:

  • Grave:gli incidenti gravi presentano un rischio elevato. Ti consigliamo di dare la priorità alla loro analisi.
  • Moderato: gli incidenti moderati presentano alcuni rischi, ma meno di quelli con rischio grave, e ti consigliamo di dare la priorità a questi rispetto a quelli a basso rischio.
  • Basso: gli incidenti a basso rischio possono essere esaminati per ultimi, dopo aver esaminato quelli a rischio più elevato.

  Il numero accanto a ogni livello di rischio indica il numero di incidenti a quel livello di rischio.

Dettagli ambiente

Per visualizzare gli incidenti in un ambiente per l'intervallo di tempo selezionato, seleziona l'ambiente nella tabella mostrata sopra. Viene visualizzata la pagina Dettagli ambiente:

Se vedi un incidente o un traffico rilevato e vuoi creare un' azione di sicurezza per bloccare o segnalare le richieste correlate all'incidente o al traffico rilevato, fai clic su Crea azione di sicurezza nella parte superiore della pagina. Si apre la pagina Azioni di sicurezza.

La visualizzazione Dettagli ambiente ha due schede:

• Incidenti: mostra un elenco degli incidenti nell'ambiente e le relative informazioni.
• Traffico rilevato: mostra i dettagli del traffico abusivo rilevato correlato agli incidenti.

Incidenti

La scheda Incidenti della visualizzazione Dettagli ambiente, mostrata sopra, visualizza le seguenti opzioni:

• Ambiente: modifica l'ambiente in cui visualizzare gli incidenti.
• Proxy: puoi utilizzare Seleziona tutto per visualizzare gli incidenti per tutti i proxy oppure selezionare uno o più proxy individuali per visualizzare gli incidenti solo per i proxy selezionati.
• Includi incidenti archiviati: se questa opzione è selezionata, l'elenco degli incidenti mostra gli incidenti archiviati. Gli incidenti archiviati vengono visualizzati con un'icona accanto:

  Per nascondere gli incidenti archiviati dall'elenco, deseleziona Includi incidenti archiviati. Potresti voler nascondere gli incidenti archiviati se vengono visualizzati molti incidenti e non vuoi visualizzarli tutti o se vuoi nascondere gli incidenti che hai già esaminato.

La visualizzazione Incidenti mostra anche quanto segue:

• Nome dell'incidente: un nome generato che riassume l'incidente.
• Livello di rischio: il livello di rischio dell'incidente.

• Principali regole di rilevamento: un elenco delle principali regole di rilevamento attivate dall'incidente.

• Traffico dell'incidente: il numero totale di eventi: chiamate API taggate da una delle regole di rilevamento correlate all'incidente.
• Primo evento rilevato: la data e l'ora in cui è stato rilevato il primo evento nell'incidente.
• Ultimo evento rilevato: la data e l'ora in cui è stato rilevato l'ultimo evento nell'incidente.
• Durata: la durata dell'incidente, dal primo evento all'ultimo.
• UUID: l'identificatore univoco universale dell'incidente.

Dettagli incidente

Per visualizzare i dettagli di un problema, fai clic sul relativo nome nella tabella. Viene visualizzato il riquadro Panoramica della visualizzazione Dettagli incidente:

Puoi fare clic su Crea azione di sicurezza nella parte superiore della pagina per creare un' azione di sicurezza in risposta all'incidente.

La visualizzazione Dettagli incidente ha due schede: Panoramica e Attributi. Consulta la sezione Panoramica per informazioni sulla scheda Panoramica e la sezione Attributi per informazioni sugli attributi.

Panoramica

Il riquadro Panoramica mostra le informazioni di base sull'incidente, tra cui:

• Nome incidente: il nome dell'incidente.
• Livello di rischio: il livello di rischio dell'incidente.
• Proxy interessati: il numero di proxy interessati dall'incidente. Fai clic su Visualizza proxy per visualizzare i proxy interessati.
• Durata: la durata dell'incidente, dal primo evento all'ultimo. Mostra anche la data e l'ora in cui l'evento è stato rilevato per la prima volta.
• Indirizzi IP (conteggio): il numero di indirizzi IP univoci rilevati per questo incidente. Fai clic su Visualizza indirizzi IP per visualizzare ulteriori informazioni sugli indirizzi IP.
• Approfondimenti: i dettagli dell'incidente di rilevamento di abusi potrebbero includere approfondimenti sull'AI generativa creati utilizzando modelli linguistici di grandi dimensioni (LLM) di AI generativa di Google Cloud. L'LLM riepiloga il traffico rilevato per incidente per aiutarti a comprendere meglio l'incidente di sicurezza, fornisce contesto e informazioni aggiuntive sull'incidente, link alla documentazione di supporto e consiglia i passaggi successivi. Fornisci il tuo feedback facendo clic sull'icona Mi piace o Non mi piace e fornendo una spiegazione facoltativa.
  
  I riepiloghi e i consigli si basano sui dati degli ultimi 14 giorni, anche se l'incidente è iniziato più di 14 giorni fa.
  Questi approfondimenti sull'AI generativa vengono inclusi automaticamente nel rilevamento di abusi se il progetto e il tuo account utente sono configurati per utilizzare l'API Cloud AI Companion. Consulta Abilitare l'API Cloud AI Companion in un progetto Google Cloud e Concedere ruoli IAM in un progetto Google Cloud. Gli account utente richiedono anche un'autorizzazione aggiuntiva per visualizzare gli approfondimenti. Consulta la sezione Ruoli e autorizzazioni richiesti per il rilevamento di abusi.
  
  Per disattivare gli approfondimenti dell'AI generativa, disattiva l'API Cloud AI Companion per questo progetto seguendo le istruzioni riportate in Disattivazione dei servizi.
• Eventi: mostra un grafico delle serie temporali degli eventi nell'incidente. Per ogni punto temporale nel grafico, il valore y corrispondente è il numero totale di eventi in un breve periodo di tempo intorno a quel momento. Se passi il cursore sopra un punto del grafico, il numero di eventi nel periodo di tempo più recente viene visualizzato sotto Valore. Puoi vedere i valori in cui cambiano i periodi di tempo spostando il cursore a sinistra o a destra e osservando dove cambiano i valori.

  Il riquadro Eventi mostra anche i conteggi totali del traffico di ambiente e incidenti.

• Regole principali rilevate: mostra fino a cinque dei principali gruppi di regole rilevati, incluse le seguenti informazioni:
  • Regole dominanti: le regole di rilevamento più significative attivate dall'incidente.
  • Eventi API delle regole dominanti: il numero di eventi API taggati dalle regole dominanti.
  • Regole totali rilevate: il numero di regole di rilevamento attivate dall'incidente.

  Per visualizzare tutte le regole, fai clic su Visualizza tutte le regole nella parte inferiore della scheda.

• Paesi principali rilevati: una mappa che mostra i paesi che sono stati fonti di eventi nell'incidente. Sotto la mappa è presente un grafico che mostra fino a cinque di questi paesi e la percentuale del traffico totale proveniente da questi paesi.

  Nota:se non è possibile determinare il paese di origine degli eventi, la mappa mostra (not set).

  Per visualizzare tutti i paesi, fai clic su Visualizza tutti i paesi nella parte inferiore della scheda.

• Indirizzi IP: visualizza i dettagli dell'incidente in base agli indirizzi IP di origine per gli eventi nell'incidente. Seleziona Mostra tutti gli indirizzi IP per visualizzare tutti gli indirizzi IP nell'elenco. Nota:il riquadro Indirizzi IP mostra indirizzi IP univoci, anche se più di un incidente corrisponde allo stesso indirizzo IP.

  Indirizzi IP mostra le seguenti colonne:

  • Indirizzo IP: l'indirizzo IP dell'incidente. Fai clic su Visualizza se l'indirizzo IP non è visibile. Una volta visualizzato l'indirizzo IP, fai clic per visualizzare i Dettagli, che mostrano le regole rilevate, le date della prima e dell'ultima rilevazione, il traffico e gli attributi per gli incidenti visualizzati con l'indirizzo IP.
    
    La scheda Dettagli include anche informazioni sui log di accesso Ingress correlati. Per informazioni, consulta Log di accesso in entrata nel rilevamento di abusi.
    
    Puoi anche visualizzare i dati non elaborati relativi all'incidente, inclusi timestamp, percorsi delle richieste e codici di stato della risposta per le richieste alla base del report sull'incidente. Dopo aver fatto clic sull'indirizzo IP, seleziona la scheda Dati non elaborati per visualizzare i dati non elaborati. I dati non elaborati mostrati sono limitati a 1000 righe e sono un campione, non necessariamente i dati più recenti.
    
    Consulta il riferimento alle dimensioni di Analytics e le dimensioni dell'API Security Stats per informazioni sui campi dei dettagli.
  • Posizione: la posizione dell'indirizzo IP.
  • Traffico rilevato: numero totale di richieste dall'indirizzo IP.
  • % di chiamate: percentuale di richieste dall'indirizzo IP rispetto a tutte le chiamate nell'ambiente.
  • Primo evento rilevato: la prima volta che è stato rilevato un evento nell'incidente.
  • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento nell'incidente.

• Chiavi API elenca gli incidenti per chiave API. Seleziona Mostra tutte le chiavi API per visualizzare tutte le chiavi API nell'elenco. L'elenco include le seguenti colonne:

  • Chiave API: la chiave API per l'incidente. Fai clic su Visualizza se la chiave non è visibile. Una volta visualizzata la chiave, fai clic per visualizzare le regole rilevate, le date del primo e dell'ultimo rilevamento, il traffico e gli attributi per gli incidenti rilevati con la chiave API.
    
    Puoi anche visualizzare i dati non elaborati relativi all'incidente, inclusi gli ID flusso del gateway, i timestamp e i percorsi delle richieste alla base del report sull'incidente. Dopo aver fatto clic sulla chiave API, seleziona la scheda Dati non elaborati per visualizzare i dati non elaborati. I dati non elaborati mostrati sono limitati a 1000 righe e sono un campione, non necessariamente i dati più recenti.
    
    Consulta il riferimento alle dimensioni di Analytics e le dimensioni dell'API Security Stats per informazioni sui campi dei dettagli.
  • App: l'applicazione sviluppatore o l'applicazione AppGroup associata alla chiave API.
  • Traffico rilevato: numero totale di richieste dalla chiave API.
  • % di chiamate: percentuale di richieste dalla chiave API sul totale delle chiamate nell'ambiente.
  • Primo evento rilevato: la prima volta che è stato rilevato nell'incidente un evento con una richiesta con questa chiave API.
  • Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento con una richiesta con questa chiave API nell'incidente.

Ridurre il numero elevato di falsi positivi

Se noti un numero elevato di falsi positivi e indirizzi IP interni segnalati come anomalie dalle regole di rilevamento degli abusi di Advanced API Security, segui le indicazioni in questa sezione per risolvere il problema.

Per impostazione predefinita, Apigee utilizza il primo indirizzo IP pubblico elencato nell'intestazione X-Forwarded-For (XFF) nelle richieste API. Tuttavia, per le organizzazioni con un traffico API interno significativo, l'intestazione XFF potrebbe includere IP privati elencati prima degli IP pubblici. (ad esempio, quando utilizzi un indirizzo IP del bilanciatore del carico pubblico). In questo caso, il comportamento predefinito di Apigee è ignorare gli IP privati nell'intestazione XFF e visualizzare l'indirizzo IP del bilanciatore del carico pubblico come origine del traffico. Ciò potrebbe comportare l'attribuzione da parte di Apigee di una quantità di traffico artificialmente elevata a quell'indirizzo IP pubblico, che potrebbe quindi essere contrassegnato come pattern di traffico anomalo nella funzionalità di rilevamento degli abusi di Advanced API Security.

Puoi mitigare questo problema configurando la risoluzione dell'indirizzo IP client per l'ambiente in modo da indicare quale indirizzo IP Apigee deve utilizzare come IP di origine. L'utilizzo delle guide alla risoluzione dell'IP client consente ad Apigee di segnalare il vero indirizzo IP di origine per il traffico API. Ad esempio, puoi indicare ad Apigee di utilizzare sempre il primo indirizzo IP nell'intestazione XFF, anche se si tratta di un indirizzo IP privato.

Archivia incidenti

Per distinguere gli incidenti che hai già esaminato da quelli che non hai ancora esaminato, puoi archiviare quelli che non richiedono più la tua attenzione. L'archiviazione di un incidente lo nasconde dall'elenco Dettagli ambiente > Incidenti (a condizione che Includi incidenti archiviati non sia selezionato). L'archiviazione non elimina un incidente: puoi sempre annullare l'archiviazione se cambi idea.

Per archiviare un incidente, seleziona Archivia nella parte superiore della visualizzazione Dettagli incidente. Dopo averlo fatto, l'etichetta del pulsante Archivia cambia in Annulla archiviazione.

Rimuovere dall'archivio gli incidenti

Per annullare l'archiviazione di un incidente archiviato:

1. Nella visualizzazione Dettagli ambiente > Incidenti, fai clic sull'icona accanto all'incidente che vuoi ripristinare:
2. Nella parte superiore dell'elenco degli incidenti, fai clic su Rimuovi dall'archivio.

In alternativa, se ti trovi nella visualizzazione Dettagli incidente dell'incidente, fai clic su Annulla archiviazione.

Traffico rilevato

Il traffico rilevato è il traffico che ha attivato una regola di rilevamento di abusi. La visualizzazione Traffico rilevato mostra informazioni sugli incidenti, che sono istanze specifiche di traffico rilevato. La pagina mostra gli incidenti con Ultimo evento rilevato negli ultimi 14 giorni. Per ulteriori informazioni sull'intervallo di tempo dei dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative agli incident e ai dati visualizzati.

Per aprire la visualizzazione Traffico rilevato, seleziona Traffico rilevato nella visualizzazione Dettagli ambiente:

La visualizzazione Traffico rilevato mostra i dati relativi a:

• Traffico totale: il numero totale di richieste.
• Traffico rilevato: il numero di richieste provenienti da indirizzi IP di abusi rilevati.
• % del traffico rilevato: la percentuale di traffico rilevato rispetto al traffico totale.
• Conteggio indirizzi IP rilevati: il numero di indirizzi IP distinti corrispondenti all'abuso rilevato. Più richieste dallo stesso indirizzo IP vengono conteggiate una sola volta.

La visualizzazione Traffico rilevato mostra anche una tabella che elenca i dettagli di ogni indirizzo IP corrispondente all'abuso rilevato. Tieni presente che per impostazione predefinita gli indirizzi IP non vengono visualizzati per motivi di privacy. Per visualizzarli, seleziona Mostra tutti gli indirizzi IP nella parte superiore della tabella.

Ogni riga della tabella degli indirizzi IP mostra:

• Indirizzo IP: indirizzo IP dell'abuso rilevato. Fai clic su Visualizza per vedere l'indirizzo. Una volta visualizzato l'indirizzo IP, fai clic per visualizzare i dettagli, che mostrano le regole rilevate, le date del primo e dell'ultimo rilevamento e gli attributi per il traffico rilevato dall'indirizzo IP.
  
  La scheda Dettagli include anche informazioni sui log di accesso Ingress correlati. Per informazioni, consulta Log di accesso in entrata nel rilevamento di abusi.
  
  Puoi anche visualizzare i dati non elaborati relativi all'incidente, inclusi timestamp, percorsi delle richieste e codici di stato della risposta per le richieste alla base del report sull'incidente. Dopo aver fatto clic sull'indirizzo IP, seleziona la scheda Dati non elaborati per visualizzare i dati non elaborati. I dati non elaborati mostrati sono limitati a 1000 righe e sono un campione, non necessariamente i dati più recenti.
  
  Consulta il riferimento alle dimensioni di Analytics e le dimensioni dell'API Security Stats per informazioni sui campi dei dettagli.
• Posizione: la posizione dell'indirizzo IP.
• Chiave app principale: la chiave app utilizzata più di frequente nelle richieste dall'indirizzo IP. Nota:la chiave dell'app è un altro termine per chiave API.
• Regole di rilevamento: un elenco di tutte le regole di rilevamento attivate dall'abuso.
• URL principale: l'URL che ha ricevuto il maggior numero di richieste dall'indirizzo IP.
• Traffico rilevato: il numero di richieste dall'indirizzo IP.
• % del traffico rilevato: la percentuale di richieste dall'indirizzo IP sul totale delle richieste nell'ambiente.
• Primo evento rilevato: la prima volta che è stato rilevato un evento in una richiesta dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.
• Ultimo evento rilevato: l'ultima volta che è stato rilevato un evento in una richiesta dall'indirizzo IP durante l'intervallo di tempo selezionato nella parte superiore della pagina Punteggi di sicurezza.

Attributi

La visualizzazione Attributi ti consente di esaminare in dettaglio un incidente o il traffico rilevato. Attributi: noti anche come dimensioni, sono raggruppamenti dei dati che ti consentono di visualizzare l'incidente in modi diversi. Ad esempio, l'attributo Prodotti API consente di visualizzare i dati per prodotto API.

Per visualizzare gli attributi di un incidente, seleziona la scheda Attributi nella parte superiore della visualizzazione Dettagli incidente.

Per visualizzare gli attributi di un indirizzo API o di una chiave API specifici in un incidente o nel traffico rilevato, fai clic sull'indirizzo IP o sulla chiave API nella tabella dei risultati della pagina di panoramica.

Il riquadro a sinistra mostra tutti gli attributi e il numero di valori distinti per ciascun attributo. Puoi selezionare un attributo per visualizzarne i dettagli dell'incidente.

L'immagine sopra mostra la visualizzazione Attributi con Paesi/Regioni selezionato. Il riquadro Paesi/Regioni mostra i grafici della percentuale di chiamate API effettuate per ogni regione.

Consulta Che cosa significa quando un attributo ha il valore (not set) se vedi (not set) per qualsiasi valore.

Il campo Filtro consente di filtrare i dati visualizzati nel riquadro per un attributo in base a varie proprietà.

In generale, il riquadro di un attributo mostra una tabella che riporta i dati sugli incidenti in base ai valori dell'attributo. Le colonne della tabella includono:

• Chiamate totali effettuate: numero totale di chiamate API.
• % di chiamate: percentuale di tutte le chiamate per ogni valore dell'attributo.
• Ora dell'ultimo rilevamento: l'ultima volta che è stato rilevato un evento correlato all'incidente.

Per alcuni attributi, la tabella ha colonne aggiuntive.

Consulta le dimensioni per informazioni su ciascun attributo, tra cui:

• Prodotti API: Visualizza i dettagli per prodotto API.
• Paesi/regioni: visualizza i dettagli in base ai paesi e alle regioni in cui hanno avuto origine gli eventi del problema.
• App AppGroup: visualizza i dettagli per app AppGroup correlata. Se alla richiesta non è associato alcun AppGroup, le colonne App AppGroup e Nome AppGroup mostrano (not set). Consulta invece le informazioni sulle app per sviluppatori.
• AppGroups: visualizza i dettagli per AppGroups correlati per nome. Se alla richiesta non è associato alcun gruppo di app, le colonne Nome gruppo di app e App gruppo di app mostrano (not set). Consulta invece le informazioni per gli sviluppatori.
• Sviluppatori: visualizza i dettagli per sviluppatori, ovvero le persone che sviluppano le app. Sviluppatori include una colonna etichettata App, che elenca le applicazioni per ogni sviluppatore. Se l'app è di proprietà di un AppGroup, la colonna Sviluppatore mostra (not set) e la colonna App mostra le app di AppGroup. Per ulteriori informazioni, consulta la scheda Nomi AppGroups.
• App per sviluppatori: visualizza i dettagli per applicazione. La colonna Email sviluppatore elenca le email degli sviluppatori di ogni app. Se l'app è di proprietà di un AppGroup, la colonna Sviluppatore mostra (not set) e la colonna App mostra le app di AppGroup. Per ulteriori informazioni, consulta la scheda App di AppGroups.
• Proxy: visualizza i dettagli per proxy.
• Codici di risposta: visualizza i dettagli per codice di risposta.
• Regole: visualizza i dettagli in base alle regole di rilevamento.
• User agent: visualizza i dettagli per user agent, ovvero l'agente software che ha effettuato la chiamata API.

Che cosa significa quando un attributo ha il valore (not set)?

Di tanto in tanto, un attributo ha il valore (not set). Ci sono diversi motivi per cui questo potrebbe verificarsi. Ad esempio, Apigee potrebbe non disporre di informazioni sufficienti per determinare il valore dell'attributo, ad esempio il paese di origine di una chiamata API. In alternativa, l'attributo potrebbe non essere applicabile in un caso specifico. Per ulteriori informazioni, consulta Che cosa significa il valore "(not set)" di un'entità di analisi?

Log di accesso in entrata nel rilevamento di comportamenti illeciti

Se hai abilitato Cloud Logging per i log di accesso in entrata di Apigee, la pagina dei dettagli di un indirizzo IP o di una chiave API fornisce un link direttamente a Cloud Logging con un filtro impostato per l'indirizzo IP attualmente selezionato.

Per informazioni sull'utilizzo, consulta Visualizza i log utilizzando Esplora log. Filtri suggeriti:

• Per visualizzare tutti i tipi di anomalie, visualizza tutte le chiamate.
• Per trovare solo gli errori, limita i risultati alla gravità Errore.

Se non hai attivato Cloud Logging per i log di accesso in entrata di Apigee, questo campo fornisce un link per ulteriori informazioni su Cloud Logging.

Consulta Registrazione dei log di accesso di Apigee per informazioni e importanti implicazioni relative ai prezzi quando utilizzi i log di accesso in entrata di Cloud Logging per le istanze Apigee.

Limitazioni del rilevamento di comportamenti illeciti

Il rilevamento degli abusi presenta le seguenti limitazioni.

• Gli incidenti il cui ultimo evento rilevato risale a più di 14 giorni prima non vengono visualizzati nell'interfaccia utente di rilevamento degli abusi. Per saperne di più sugli incidenti e sui dati visualizzati nell'interfaccia utente, consulta la sezione Limitazioni relative agli incidenti e ai dati visualizzati.
• Quando attivi l'API avanzata per un'organizzazione per la prima volta o la riattivi, si verifica un ritardo durante il raggruppamento degli eventi in incidenti. Dopodiché, si verificheranno ritardi periodici.
• Il caricamento della pagina degli attributi Dettagli incidente potrebbe richiedere un po' di tempo per le organizzazioni con un volume di traffico elevato.
• Al momento AppGroups non è supportato in Apigee Hybrid.