滥用行为检测

本页面适用于 Apigee 和 Apigee Hybrid。

查看 Apigee Edge 文档。

Advanced API Security 的滥用行为检测工具使您可以查看涉及 API 的安全事件。安全事件是一组具有类似模式、可能表示 API 安全威胁的事件。Advanced API Security 使用机器学习模型检测代表恶意活动迹象的模式（包括 API 爬取和异常），并根据类似模式将事件聚类。

当 Advanced API Security 检测到安全事件时，会报告以下内容：

• 事件的风险级别和持续时间
• 受事件影响的代理
• 突发事件的 IP 地址
• 由突发事件触发的检测规则
• 事件的来源国家/地区

以及事件的其他相关信息。

您可以通过 Apigee 界面（如下所述）或通过 Incidents API 或 Security Stats API 访问滥用行为检测

如需了解使用滥用行为检测所需的角色和权限，请参阅 滥用行为检测所需的角色和权限。

如需使用此功能，您必须启用该插件。如果您是订阅客户，则可以为组织启用该插件。如需了解详情，请参阅管理订阅组织的 Advanced API Security。如果您是随用随付客户，则可以在符合条件的环境中启用该插件。如需了解详情，请参阅管理 Advanced API Security 插件。

选择启用机器学习模型以进行滥用行为检测

Apigee 请求您帮助我们根据您的数据训练机器学习模型，从而改进机器学习模型以在组织中进行滥用行为检测。根据您的数据训练模型有助于提高其检测安全突发事件的准确性。训练仅适用于您的组织。我们不会将您的数据与任何其他 Google Cloud 客户共享，以用于训练目的。

首次在 Apigee 界面中打开滥用行为检测页面时，您会看到一个选择加入请求，用于允许 Advanced API Security 的机器学习模型使用您的 API 流量数据进行模型训练。您必须明确选择启用此模型来检测滥用行为。请注意，如果您未选择启用模型训练，则不会看到高级异常检测规则的任何检测结果。如果未选择启用模型训练，此规则将无法生效。

如需了解管理机器学习启用状态所需的角色，请参阅滥用行为检测所需的角色和权限。

使用机器学习模型进行滥用行为检测高级异常检测

如需在滥用行为检测中查看检测到的异常，您必须选择启用高级异常检测机器学习模型，以便其根据您的 API 流量数据进行训练。

模型仅使用您的数据进行训练。我们绝不会与任何其他 Google Cloud 客户共享您的数据。

如需选择使用您的 API 流量数据进行异常值检测模型训练，请在将异常值检测添加到滥用行为检测配置时选择相应选项。

打开滥用行为检测页面

如要打开滥用行为检测页面，请执行以下操作：

• 如果您使用的是 Cloud 控制台中的 Apigee 界面：请选择 Advanced API Security > 滥用行为检测。
• 如果您使用的是经典版 Apigee 界面：请选择分析 > API 安全 > 滥用行为检测。

此时将显示滥用行为检测页面：

更改权限以允许 Apigee 改进机器学习模型

您可以随时更改权限来允许 Apigee 改进机器学习模型，方法是点击滥用行为检测页面右上角的设置，然后选择启用或停用此功能的选项。

滥用行为检测主页

在页面的顶部，您可以选择以下某个最近的时间段，以查看该时间段内的突发事件：过去 1 天、1 周或 2 周。

页面中的表显示了所选时间段内组织中受安全事件影响的环境。

表的每一行还会显示以下信息：

• 环境：发生滥用行为的环境。
• 事件总数：所选时间段内环境中的事件总数。如需详细了解界面中显示哪些突发事件和数据，请参阅所显示突发事件和数据的限制。

• 风险级别：显示三个风险级别的事件数量：严重、中等和低。风险级别基于事件的不同特征，例如检测到的规则数量和类型，以及事件与合法流量相比的相对大小。风险级别旨在帮助您确定哪些事件需要优先调查，以便您可以专注于最严重的事件。

  风险级别包括：

  • 严重：严重事件具有高风险。我们建议您优先调查这些事件。
  • 中等：中等风险事件存在一些风险，但风险性低于严重事件，我们建议您优先于低风险事件调查这此类事件。
  • 低：在调查风险较高的事件后，可以最后调查低风险事件。

  每个风险级别旁边的数字表示处于该风险级别的突发事件数量。

环境详情

如需查看环境中所选时间范围内的突发事件，请在上面所示的表中选择相应环境。 系统会打开环境详情视图：

如果您看到突发事件或检测到的流量，并且想要创建安全操作以阻止或标记与突发事件或检测到的流量相关的请求，请点击页面顶部的创建安全操作。这将打开安全操作页面。

环境详情视图有两个标签页：

• 突发事件：显示环境中的突发事件列表及其相关信息。
• Detected traffic（检测到的流量）：显示检测到的与突发事件相关的滥用行为流量的详细信息。

突发事件

上面所示的环境详情视图的突发事件标签页显示以下选项：

• 环境：更改要查看其中事件的环境。
• 代理：您可以使用全选以显示所有代理的突发事件，也可以选择一个或多个单独的代理以仅显示所选代理的突发事件。
• 包括归档的突发事件：选择此选项后，突发事件列表会显示归档的突发事件。归档的突发事件旁边会显示图标：

  如要在列表中隐藏归档的突发事件，请取消选择包含归档的突发事件。如果显示了许多突发事件，并且您不希望查看所有突发事件，或者想要隐藏已调查的突发事件，则可能需要隐藏已归档的突发事件。

突发事件视图还会显示以下内容：

• 事件名称：一个生成的名称，该名称概括了事件。
• 风险级别：事件的风险级别。

• 检测规则（按检测次数排序）：突发事件触发的检测规则（按检测次数排序）列表。

• 事件流量：活动总数：与事件相关的其中一个检测规则标记的 API 调用次数。
• 第一次检测到活动：检测到事件的第一次活动的日期和时间。
• 最后一次检测到活动：检测到事件的最后一次活动的日期和时间。
• 时长：事件的持续时间，即其第一次活动到最后一次活动之间的时长。
• UUID：事件的通用唯一标识符。

事件详细信息

如需查看事件的详细信息，请在表格中点击其名称。系统会显示突发事件详情视图的概览窗格：

您可以点击页面顶部的创建安全操作，以创建 安全操作来响应突发事件。

突发事件详情视图有两个标签页：概览和属性。 如需了解概览标签页，请参阅概览；如需了解属性，请参阅属性。

概览

概览窗格显示事件的基本信息，包括以下内容：

• 事件名称：事件的名称。
• 风险级别：事件的风险级别。
• 受影响的代理：受事件影响的代理数量。点击查看代理以查看受影响的代理。
• 时长：突发事件的持续时间，即其第一次活动到最后一次活动之间的时长。它还会显示首次检测到事件的日期和时间。
• IP 地址数：系统检测到的此突发事件的唯一 IP 地址的数量。点击查看 IP 地址，以查看有关 IP 地址的更多信息。
• 分析洞见：滥用行为检测突发事件详细信息可能包括使用 Google Cloud 生成式 AI 大语言模型 (LLM) 创建的生成式 AI 分析洞见。LLM 会汇总每起突发事件中检测到的流量，以帮助您更好地了解安全突发事件，提供有关突发事件的更多上下文和信息、指向支持文档的链接，并建议后续步骤。点击“我喜欢”图标或“不喜欢”图标，并提供可选说明，以提供反馈。
  
  数据分析摘要和建议基于过去 14 天的数据，即使突发事件发生时间距今超过 14 天。
  如果项目和您的用户账号已设置为使用 Cloud AI Companion API，这些生成式 AI 分析洞见会自动纳入滥用行为检测。请参阅在 Google Cloud 项目中启用 Cloud AI Companion API 和在 Google Cloud 项目中授予 IAM 角色。 用户账号还需要额外的权限才能查看分析洞见。请参阅滥用行为检测所需的角色和权限。
  
  如需停用生成式 AI 分析洞见，请按照停用服务中的说明为此项目停用 Cloud AI Companion API。
• 活动：显示事件中活动的时序图。对于图中的每个时间点，对应的 y 值就是该时间点前后的一小段时间内的活动总数。如果将鼠标悬停在图中的某个点上，则最近时间段内的活动数量会显示在值下方。您可以将光标向左或向右移动并观察值的变化，便可以看到时间段变化时的值。

  事件窗格还会显示环境和事件流量总量。

• 检测到次数最多的规则：显示被检测到次数最多的五组规则，包括以下信息：
  • 主导规则：突发事件触发的最重要的检测规则。
  • 主导规则 API 活动：主导规则标记的 API 活动数量。
  • 检测到的规则总数：突发事件触发的检测规则数量。

  如要查看所有规则，请点击卡片底部的查看所有规则。

• 检测到次数最多的国家/地区：地图中显示突发事件活动的来源国家/地区。地图下方有一个图表，最多可显示五个国家/地区以及来自这些国家/地区总流量的百分比。

  注意：如果无法确定活动的来源国家/地区，地图会显示未设置。

  如需查看所有国家/地区，请点击卡片底部的查看所有国家/地区。

• IP 地址：按突发事件活动来源 IP 地址查看事件详细信息。选择显示所有 IP 地址可查看列表中的所有 IP 地址。 注意：IP 地址窗格显示唯一的 IP 地址，即使多个突发事件对应于同一 IP 地址也是如此。

  IP 地址显示以下列：

  • IP 地址：事件的 IP 地址。 如果 IP 地址未显示，请点击查看。显示 IP 地址后，点击该 IP 地址即可查看详细信息，其中显示了检测到的规则、首次和最后一次检测日期、流量以及与该 IP 地址相关的突发事件的属性。
    
    在详细信息标签页中，您还可以查看有关相关入站流量访问日志的信息。如需了解详情，请参阅滥用行为检测中的入站流量访问日志。
    
    您还可以查看突发事件的原始数据，包括突发事件报告所依据的请求的时间戳、请求路径和响应状态代码。点击 IP 地址后，选择原始数据标签页以查看原始数据。显示的原始数据数量上限为 1,000 行，并且是示例，不一定是最新的数据。
    
    如需了解详细信息字段，请参阅分析维度参考文档和安全统计信息 API 维度。
  • 位置：IP 地址的位置。
  • Detected traffic：来自该 IP 地址的请求总数。
  • 调用百分比：来自该 IP 地址的请求占环境中所有调用的百分比。
  • First event detected：首次在突发事件中检测到活动的时间。
  • Last event detected：最后一次在突发事件中检测到活动的时间。

• API 密钥会按 API 密钥列出事件。 选择显示所有 API 密钥可查看列表中的所有 API 密钥。该列表包含以下列：

  • API 密钥：突发事件的 API 密钥。如果密钥未显示，请点击查看。显示密钥后，点击该密钥即可查看检测到的规则、首次和最后一次检测日期、流量，以及使用该 API 密钥时发生的突发事件的属性。
    
    您还可以查看突发事件的原始数据，包括网关流程 ID、时间戳以及突发事件报告中请求的路径。点击 API 密钥后，选择原始数据标签页以查看原始数据。显示的原始数据数量上限为 1,000 行，并且是示例，不一定是最新的数据。
    
    如需了解详细信息字段，请参阅分析维度参考文档和安全统计信息 API 维度。
  • 开发者应用：与 API 密钥关联的开发者应用。
  • 检测到的流量：来自该 API 密钥的请求总数。
  • 调用百分比：来自该 API 密钥的请求占环境中所有调用的百分比。
  • 第一次检测到的活动：首次在突发事件中检测到包含此 API 密钥的请求的活动的时间。
  • 最后一次检测到的活动：最后一次在突发事件中检测到包含此 API 密钥的请求的活动的时间。

缓解大量误报

如果您看到大量误报，并且内部 IP 地址被 Advanced API Security 的滥用行为检测规则标记为异常，请按照本部分中的指南缓解此问题。

默认情况下，Apigee 会使用 API 请求的 X-Forwarded-For (XFF) 标头中列出的第一个公共 IP 地址。不过，对于具有大量内部 API 流量的组织，XFF 标头可能会包含在公共 IP 之前列出的专用 IP。例如，使用公共负载均衡器 IP 地址时。在这种情况下，Apigee 的默认行为是忽略 XFF 标头中的专用 IP，并将公共负载均衡器 IP 地址显示为流量来源。 这可能会导致 Apigee 将大量人为流量归因于该公共 IP 地址，然后在 Advanced API Security 的滥用行为检测功能中将其标记为异常流量模式。

您可以通过为环境配置 客户端 IP 地址解析来缓解此问题，以指明 Apigee 应使用哪个 IP 地址作为源 IP。使用客户端 IP 解析功能可指导 Apigee 报告 API 流量的真实来源 IP 地址。例如，您可以告知 Apigee 始终使用 XFF 标头中的第一个 IP 地址，即使该地址是专用 IP 地址。

归档突发事件

为了帮助您区分已调查的突发事件和尚未调查的突发事件，您可以归档不再需要注意的突发事件。通过归档突发事件，可以从环境详情 > 突发事件列表中隐藏突发事件（前提是您未选择包括归档的突发事件）。归档不会删除突发事件：如果您改变主意，可以随时取消归档。

如需归档突发事件，请在突发事件详情视图顶部，选择归档。执行此操作后，归档按钮标签将更改为取消归档。

取消归档突发事件

要取消归档已归档的突发事件，请执行以下操作：

1. 在环境详情 > 突发事件视图中，点击要取消归档的突发事件旁边的图标：
2. 在突发事件列表的顶部，点击取消归档。

或者，如果您处于突发事件的突发事件详情视图中，请点击取消归档。

检测到的流量

检测到的流量是指触发了滥用行为检测规则的流量。检测到的流量视图会显示有关突发事件的信息，这些事件是检测到的流量的特定实例。该页面会显示过去 14 天内检测到上次活动的突发事件。如需详细了解界面中显示的数据的时间范围，请参阅所显示突发事件和数据的限制。

如需打开检测到的流量视图，请在环境详情视图中选择检测到流量：

Detected Traffic（检测到的流量）视图显示以下各项的数据：

• 总流量：请求总数。
• Detected traffic：来自检测到的滥用行为 IP 地址的请求数。
• 检测到的流量百分比：检测到的流量在总流量中所占的百分比。
• Detected IP address count：与检测到的滥用行为对应的不同 IP 地址的数量。来自同一 IP 地址的多个请求只会计入一次。

Detected Traffic 视图还会显示一个表，其中列出了与检测到的滥用行为对应的每个 IP 地址的详细信息。请注意，默认情况下，出于隐私保护考虑，不会显示 IP 地址。如需显示 IP 地址，请选择表顶部的 Display all IP addresses。

IP 地址表格的每一行显示：

• IP 地址：检测到的滥用行为的 IP 地址。点击查看可以查看该地址。 显示 IP 地址后，点击该 IP 地址以查看详细信息，其中会显示检测到的规则、首次和最后检测日期以及来自该 IP 地址的检测到流量的属性。
  
  此外，详细信息标签页还包含有关相关入站流量访问日志的信息。如需了解详情，请参阅滥用行为检测中的入站流量访问日志。
  
  您还可以查看突发事件的原始数据，包括突发事件报告所依据的请求的时间戳、请求路径和响应状态代码。点击 IP 地址后，选择原始数据标签页以查看原始数据。显示的原始数据数量上限为 1,000 行，并且是示例，不一定是最新的数据。
  
  如需了解详细信息字段，请参阅分析维度参考文档和安全统计信息 API 维度。
• 位置：IP 地址的位置。
• Top app key：来自该 IP 地址的请求中最常使用的应用密钥。注意：应用密钥是 API 密钥的另一种术语。
• 检测规则：滥用行为触发的所有检测规则列表。
• 最常用网址：从该 IP 地址接收最多请求的网址。
• Detected traffic：来自该 IP 地址的请求数。
• 检测到的流量百分比：来自该 IP 地址的请求占环境中所有请求的百分比。
• 第一次检测到的活动：在安全分数页面顶部选择的时间范围内，首次在来自该 IP 地址的请求中检测到活动的时间。
• 最后一次检测到的活动：在安全分数页面顶部选择的时间范围内，最后一次在来自该 IP 地址的请求中检测到活动的时间。

属性

借助属性视图，您可以深入查看突发事件或检测到的流量的详细信息。属性（也称为维度）是数据的分组，可让您以不同的方式查看事件。例如，API 产品属性使您可以按 API 产品查看数据。

如需查看突发事件的属性，请选择突发事件详情视图顶部的属性标签页。

如需查看突发事件或检测到的流量中特定 API 地址或 API 密钥的属性，请点击该概览页面结果表格中的 IP 地址或 API 密钥。

左侧窗格显示所有属性以及每个属性的不同值的数量。您可以选择一个属性来查看其事件详情。

上图显示选择了国家/地区的属性视图。国家/地区窗格显示每个地区的 API 调用百分比的图表。

如果您看到任何值显示为 (not set)，请参阅当属性的值为 (not set) 时，这意味着什么。

您可以使用过滤条件字段按各种属性对窗格中显示的数据进行过滤。

通常，属性的窗格会显示一个表格，其中按属性值显示事件数据。表格中的列包括：

• 调用总数：API 调用总数。
• % of calls：属性的每个值的所有调用所占的百分比。
• 上一次检测时间：上一次检测到与事件相关的活动的时间。

对于某些属性，该表还有其他列。

如需了解各个属性，请参阅维度，其中包括：

• API 产品：按 API 产品查看详细信息。
• 国家/地区：按突发事件来源国家/地区查看详细信息。
• 开发者：按开发者（开发应用的人员）查看详细信息。开发者包含一个标记为应用的列，其中列出了每个开发者的应用。如果应用所有者是 AppGroup 而非开发者，开发者列会显示 (not set)，应用列会显示 AppGroup 应用。
• 开发者应用：按应用查看详细信息。 开发者列会列出每个应用的开发者。如果应用由 AppGroup 拥有，开发者应用列会显示 AppGroup 应用，而开发者列会显示 (not set)。
• 代理：按代理查看详细信息。
• 响应代码：按响应代码查看详细信息。
• 规则：按检测规则查看详细信息。
• 用户代理：按用户代理（进行 API 调用的软件代理）查看详细信息。

如果属性的值为 (not set)，这意味着什么？

有时，属性的值为 (not set)。可能发生这种情况的原因有以下几种。一个原因是，Apigee 可能没有足够的信息来确定属性的值，例如 API 调用的来源国家/地区。或者，该属性可能不适用于特定情况。如需了解详情，请参阅分析实体值“(not set)”意味着什么？。

滥用行为检测中的入站流量访问日志

如果您已为 Apigee 入站流量访问日志启用 Cloud Logging，则 IP 地址或 API 密钥的详情页面会提供一个直接指向 Cloud Logging 的链接，其中包含针对当前所选 IP 地址设置的过滤条件。

如需了解用法信息，请参阅 使用 Logs Explorer 查看日志。建议的过滤条件：

• 如需查看所有异常类型，请查看所有调用。
• 如需仅查找错误，请将结果限制为错误严重级别。

如果您尚未为 Apigee 入站流量访问日志启用 Cloud Logging，则此字段会提供一个链接，以便您详细了解 Cloud Logging。

如需了解有关使用 Apigee 实例的 Cloud Logging 入站流量访问日志的信息和重要的定价影响，请参阅记录 Apigee 访问日志。

滥用行为检测的限制

滥用行为检测具有以下限制。

• 上次检测到事件的时间超过过去 14 天的突发事件不会显示在滥用行为检测界面中。如需详细了解界面中显示哪些突发事件和数据，请参阅所显示突发事件和数据的限制。
• 当您首次为组织启用 Advanced API 或重新启用该 API 时，在事件聚簇到突发事件中时会出现延迟。之后将会定期出现延迟。
• 对于具有大量流量的组织，事件详情属性页面可能需要一小段时间才能加载完成。