本頁面由 Cloud Translation API 翻譯而成。

濫用行為偵測

本頁適用於 Apigee 和 Apigee Hybrid。

查看 Apigee Edge 說明文件。

您可以透過 Advanced API Security 的濫用偵測功能，查看涉及 API 的安全事件。安全事件是一組具有類似模式的事件，可能代表安全威脅。Advanced API Security 會使用機器學習模型，偵測惡意活動的模式 (包括 API 刮除和異常)，並根據類似模式將事件分組。

Advanced API Security 偵測到安全事件時，會回報以下資訊：

事件的風險等級和持續時間
受事件影響的 Proxy
事件的 IP 位址
事件觸發的偵測規則
事件的來源國家/地區

以及其他相關事件資訊。

您可以透過 Apigee UI (如以下所述) 或 Incidents API 或 Security stats API 存取濫用偵測功能。

如要瞭解使用濫用行為偵測功能所需的角色和權限，請參閱「偵測濫用行為所需的角色和權限」。

如要使用這項功能，您必須啟用加購項目。如果您是訂閱方案客戶，可以為機構啟用外掛程式。詳情請參閱「為訂閱機構管理進階 API 安全性」。如果您是預付費客戶，可以在符合資格的環境中啟用外掛程式。詳情請參閱「管理進階 API 安全性外掛程式」。

啟用濫用行為偵測機器學習模型

Apigee 希望您能協助改善機器學習模型，以便偵測貴機構中的濫用行為，方法是讓我們使用您的資料訓練模型。訓練模型時使用您的資料，有助於提高模型偵測安全事件的準確度。這項訓練只適用於貴機構。我們不會將您的資料提供給任何其他 Google Cloud 客戶，用於訓練目的。

您第一次在 Apigee UI 中開啟「Abuse detection」頁面時，會看到選擇加入要求，允許 Advanced API Security 的機器學習模型使用您的 API 流量資料進行模型訓練。您必須明確選擇啟用濫用行為偵測模型，請注意，如果您選擇不啟用模型訓練，就不會看到進階異常偵測規則偵測到的任何內容。如未選擇加入模型訓練，這項規則就無法運作。

如要瞭解管理機器學習功能啟用狀態所需的角色，請參閱偵測濫用行為所需的角色和權限。

使用機器學習模型偵測濫用行為和異常情形

如要查看「濫用行為偵測」功能偵測到的異常狀況，您必須選擇啟用進階異常偵測機器學習模型，讓模型根據 API 流量資料進行訓練。

模型只會使用您的資料進行訓練。我們絕不會將您的資料提供給任何其他 Google Cloud 客戶。

如要選擇使用 API 流量資料來訓練異常偵測模型，請在濫用偵測設定中新增異常偵測功能時，選取該選項。

開啟「濫用行為偵測」頁面

如何開啟「偵測濫用行為」頁面：

如果您使用的是 Cloud 控制台中的 Apigee UI：請依序選取「Advanced API Security」>「Abuse detection」。
如果您使用的是傳統版 Apigee UI：請依序選取「Analyze」>「API Security」>「Abuse detection」。

這會顯示主要的「濫用行為偵測」頁面：

變更權限，允許 Apigee 改善機器學習模型

您隨時可以變更權限，允許 Apigee 改善機器學習模型，方法是點選「濫用行為偵測」頁面右上方的「設定」，然後選取啟用或停用這項功能的選項。

主要的「濫用行為偵測」頁面

您可以在頁面頂端選取最近的時間範圍，查看事件：過去 1 天、1 週或2 週。

頁面中的表格會顯示貴機構在所選時間間隔內，受到安全事件影響的環境。

表格中的每個資料列也會顯示下列資訊：

環境：發生濫用行為的環境。
事件總數：所選時間範圍內環境中的事件總數。如要進一步瞭解 UI 中顯示的事件和資料，請參閱「事件和顯示資料的限制」。
風險等級：顯示三種風險等級 (嚴重、中等和低) 的事件數量。風險等級取決於事件的不同特徵，例如偵測到的規則數量、類型，以及與合法流量相比的事件相對規模。風險等級可協助您判斷要調查哪些事件，以便專注於最關鍵的事件。

風險等級可以是下列任一項目：
- 嚴重：嚴重事件代表高風險。建議您優先調查這些問題。
- 中等：中等事件的風險較低，但仍高於低風險事件，建議您將中等事件的優先順序置於低風險事件之前。
- 低：在調查高風險事件後，可最後調查低風險事件。
每個風險等級旁邊的數字代表該風險等級的事件數量。

環境詳細資料

如要查看所選時間範圍內環境中的事件，請在上述表格中選取所需環境。系統會開啟「環境詳細資料」檢視畫面：

如果您看到事件或偵測到的流量，並且想要建立安全性動作來封鎖或標記與事件或偵測到的流量相關的請求，請按一下頁面頂端的「建立安全性動作」。系統隨即會開啟「安全性操作」頁面。

「環境詳細資料」檢視畫面有兩個分頁：

事件：顯示環境中的事件清單和相關資訊。
偵測到的流量：顯示與事件相關的偵測到濫用流量詳細資料。

事件

如上圖所示，「環境詳細資料」檢視畫面的「事件」分頁會顯示下列選項：

環境：變更事件的檢視環境。
Proxy：您可以使用「Select all」來顯示所有 Proxy 的事件，也可以選取一或多個個別 Proxy，只顯示所選 Proxy 的事件。
Include archived incidents：選取這個選項後，事件清單會顯示封存事件。封存的事件會顯示旁邊的圖示：
如要隱藏清單中的已封存事件，請取消選取「納入已封存事件」。如果系統顯示許多事件，而您不想查看所有事件，或是想隱藏已調查的事件，不妨隱藏已封存的事件。

「Incidents」檢視畫面也會顯示下列資訊：

事件名稱：系統產生的事件摘要名稱。
風險等級：事件的風險等級。
熱門偵測規則：列出事件觸發的熱門偵測規則。
事件流量：事件總數：與事件相關的其中一個偵測規則標記的 API 呼叫。
偵測到第一個事件：事件中偵測到第一個事件的日期和時間。
上次偵測到的事件：事件中最後偵測到的事件日期和時間。
Duration：事件從第一個到最後一個的持續時間。
UUID：事件的通用唯一識別碼。

事件詳細資料

如要查看事件詳細資料，請在表格中按一下事件名稱。這會顯示「Incident details」檢視畫面的「Overview」窗格：

您可以按一下頁面頂端的「Create Security Action」，建立安全性動作來回應事件。

「事件詳細資料」檢視畫面包含兩個分頁：「總覽」和「屬性」。如要瞭解總覽分頁的資訊，請參閱「總覽」一文；如要瞭解屬性，請參閱「屬性」一文。

總覽

「總覽」窗格會顯示事件的基本資訊，包括：

事件名稱：事件名稱。
風險等級：事件的風險等級。
受影響的 Proxy：受事件影響的 Proxy 數量。按一下「查看 Proxy」，即可查看受影響的 Proxy。
Duration：事件持續時間，從第一個事件到最後一個事件。並顯示首次偵測到事件的日期和時間。
IP 位址 (計數)：系統偵測到與此事件相關的 IP 位址數量。按一下「查看 IP 位址」，即可進一步瞭解 IP 位址。
洞察資料：濫用行為偵測事件詳細資料可能包含使用 Google Cloud 生成式 AI 大型語言模型 (LLM) 建立的生成式 AI 洞察資料。LLM 會匯總每個事件中偵測到的流量，協助您進一步瞭解安全事件，並提供事件的其他背景資訊和相關資訊、相關文件的連結，以及建議的後續步驟。按一下「喜歡」或「不喜歡」圖示，並提供說明 (選填)，即可提供意見回饋。

洞察摘要和最佳化建議會根據過去 14 天的資料進行分析，即使事件發生時間早於 14 天也一樣。

注意：請謹慎使用洞察。洞察資料可能不準確或不完整。
如果專案和使用者帳戶已設定為使用 Cloud AI Companion API，這些生成式 AI 洞察資料就會自動納入濫用行為偵測功能。請參閱「在 Google Cloud 專案中啟用 Cloud AI Companion API」和「在 Google Cloud 專案中授予 IAM 角色」。使用者帳戶也需要額外的權限才能查看洞察資料。請參閱偵測濫用行為所需的角色和權限。

如要停用生成式 AI 洞察資料，請按照「停用服務」一節的操作說明，為這個專案停用 Cloud AI Companion API。
事件：顯示事件發生時間序列圖表。對於圖表中的每個時間點，對應的 y 值是該時間點附近短時間內的事件總數。如果將游標懸停在圖表中的某個資料點上，最近時間範圍內的事件數量會顯示在「值」下方。您可以將游標向左或向右移動，並觀察值變更的位置，查看時間範圍變更的值。

「事件」窗格也會顯示環境和事件流量總數。
偵測到的熱門規則：顯示偵測到的熱門規則群組 (最多五個)，包括下列資訊：
- 主要規則：事件觸發的最重要偵測規則。
- 主導規則 API 事件：主導規則標記的 API 事件數量。
- 偵測到的規則總數：事件觸發的偵測規則數量。
如要查看所有規則，請按一下資訊卡底部的「查看所有規則」。
偵測到的熱門國家/地區：顯示事件來源國家/地區的地圖。地圖下方會顯示一張圖表，最多會顯示五個國家/地區，以及來自這些國家/地區的總流量百分比。

注意：如果無法判斷事件的來源國家/地區，地圖會顯示「未設定」。

如要查看所有國家/地區，請按一下資訊卡底部的「查看所有國家/地區」。
IP 位址：依事件來源 IP 位址查看事件的事件詳細資料。選取「顯示所有 IP 位址」，即可查看清單中的所有 IP 位址。 注意：「IP 位址」窗格會顯示不重複的 IP 位址，即使有多起事件對應至相同的 IP 位址也不例外。
「IP 位址」會顯示下列欄位：
- IP 位址：事件的 IP 位址。如果畫面上未顯示 IP 位址，請按一下「View」。顯示 IP 位址後，請按一下該 IP 位址查看「詳細資料」，其中會顯示偵測到的規則、首次和最後偵測日期、流量，以及該 IP 位址所偵測到的事件屬性。
  
  「Details」分頁也包含相關Ingress 存取記錄的資訊。詳情請參閱「濫用行為偵測中的入站存取記錄」。
  
  您也可以查看事件的原始資料，包括事件報告底層要求的時間戳記、要求路徑和回應狀態碼。點選 IP 位址後，選取「Raw data」分頁標籤，即可查看原始資料。顯示的原始資料列數上限為 1,000 列，且屬於樣本，不一定是最新的資料。
  
  如需詳細欄位資訊，請參閱 Analytics 維度參考資料和安全性統計資料 API 維度。
- 位置：IP 位址的位置。
- 偵測到的流量：IP 位址傳送的要求總數。
- 呼叫百分比：在環境中，來自 IP 位址的請求在所有呼叫中所占的百分比。
- 首次偵測到事件：事件在事件中首次偵測到的時間。
- 上次偵測到事件：事件上次在事件中偵測到的時間。
「API 金鑰」會依據 API 金鑰列出事件。選取「顯示所有 API 金鑰」，即可查看清單中的所有 API 金鑰。清單包含下列資料欄：
- API 金鑰：事件的 API 金鑰。如果畫面上未顯示金鑰，請按一下「View」。顯示金鑰後，請按一下金鑰，查看使用 API 金鑰偵測到的事件的屬性、首次和最後偵測日期、流量。
  
  您也可以查看事件的原始資料，包括事件報告底層的閘道流程 ID、時間戳記和要求路徑。點選 API 金鑰後，選取「Raw data」分頁標籤，即可查看原始資料。顯示的原始資料列數上限為 1,000 列，且屬於樣本，不一定是最新的資料。
  
  如需詳細欄位資訊，請參閱 Analytics 維度參考資料和安全性統計資料 API 維度。
- 開發人員應用程式：與 API 金鑰相關聯的開發人員應用程式。
- 偵測到的流量：API 金鑰的請求總數。
- 呼叫百分比：環境中所有呼叫中，使用 API 金鑰的請求百分比。
- 首次偵測到的事件：事件首次在事件中偵測到含有此 API 索引鍵的要求。
- 上次偵測到的事件：上次在事件中偵測到含有此 API 金鑰要求的事件。

減少大量誤報

如果您發現大量的誤判，以及內部 IP 位址遭 Advanced API Security 濫用偵測規則標示為異常，請按照本節的說明緩解問題。

根據預設，Apigee 會使用 API 要求中 X-Forwarded-For (XFF) 標頭列出的首個公開 IP 位址。不過，如果機構有大量內部 API 流量，XFF 標頭可能會列出在公開 IP 之前的私人 IP。(例如，使用公開負載平衡器 IP 位址時)。在這種情況下，Apigee 的預設行為是忽略 XFF 標頭中的私人 IP，並將公開負載平衡器 IP 位址顯示為流量來源。這可能導致 Apigee 將大量人為流量歸給該公開 IP 位址，進而遭到 Advanced API Security 濫用偵測功能標示為異常流量模式。

您可以為環境設定用戶端 IP 位址解析，藉此指出 Apigee 應使用哪個 IP 位址做為來源 IP，以便緩解這個問題。使用用戶端 IP 解析功能，可讓 Apigee 回報 API 流量的實際來源 IP 位址。舉例來說，您可以要求 Apigee 一律使用 XFF 標頭中的第一個 IP 位址，即使該 IP 位址為私人 IP 也一樣。

封存事件

為了方便您區分已調查的事件和尚未調查的事件，您可以封存不再需要關注的事件。封存事件後，該事件就會從「環境詳細資料 > 事件」清單中隱藏 (前提是您未選取「包含已封存的事件」)。封存事件不會刪除事件：如果改變心意，您隨時可以取消封存。

如要封存事件，請選取「事件詳細資料」檢視畫面頂端的「封存」。完成後，「封存」按鈕標籤會變更為「取消封存」。「取消封存」按鈕。

取消封存事件

如要取消封存事件，請按照下列步驟操作：

在「環境詳細資料」>「事件」檢視畫面中，按一下要解除封存的事件旁邊的圖示：
按一下事件清單頂端的「取消封存」。

或者，如果您在事件的「事件詳細資料」檢視畫面中，請按一下「取消封存」。

偵測到車流

「偵測到的流量」是觸發濫用偵測規則的流量。「Detected Traffic」檢視畫面會顯示事件相關資訊，事件是指偵測到的特定流量。這個頁面會顯示過去 14 天內偵測到最後事件的事件。如要進一步瞭解 UI 中顯示資料的時間範圍，請參閱「事件和顯示資料的限制」。

如要開啟「Detected Traffic」檢視畫面，請在「Environment details」檢視畫面中選取「Detected Traffic」：

濫用行為檢視畫面。

「Detected Traffic」檢視畫面會顯示以下資料：

總流量：要求總數。
偵測到的流量：偵測到濫用行為的 IP 位址所傳送的要求數量。
偵測到的流量百分比：偵測到的流量占總流量的百分比。
偵測到的 IP 位址數量：與偵測到的濫用行為相對應的獨特 IP 位址數量。同一個 IP 位址提出的重複要求只會計為一次。

「Detected Traffic」檢視畫面也會顯示表格，列出與偵測到的濫用行為相對應的每個 IP 位址詳細資料。請注意，基於隱私權考量，系統預設不會顯示 IP 位址。如要查看這些資訊，請選取表格頂端的「顯示所有 IP 位址」。

IP 位址表格中的每一列會顯示：

IP 位址：偵測到的濫用行為 IP 位址。按一下「查看」即可查看地址。顯示 IP 位址後，按一下該 IP 位址即可查看詳細資料，包括偵測到的規則、首次和最後偵測日期，以及該 IP 位址偵測到的流量屬性。

「Details」分頁也包含相關Ingress 存取記錄的資訊。詳情請參閱「濫用行為偵測中的入站存取記錄」。

您也可以查看事件的原始資料，包括事件報告底層要求的時間戳記、要求路徑和回應狀態碼。點選 IP 位址後，選取「Raw data」分頁標籤，即可查看原始資料。顯示的原始資料列數上限為 1,000 列，且屬於樣本，不一定是最新的資料。

如需詳細欄位資訊，請參閱 Analytics 維度參考資料和安全性統計資料 API 維度。
位置：IP 位址的位置。
最常用的應用程式索引鍵：IP 位址要求中使用頻率最高的應用程式索引鍵。注意：應用程式金鑰是 API 金鑰的另一個名稱。
偵測規則：遭濫用行為觸發的所有偵測規則清單。
熱門網址：從 IP 位址收到最多請求的網址。
偵測到的流量：IP 位址傳送的要求數量。
偵測到的流量百分比：IP 位址在環境中所有請求所占的百分比。
首次偵測到事件：在 安全分數頁面頂端所選時間範圍內，首次在 IP 位址的請求中偵測到事件。
上次偵測到事件：在 安全分數頁面頂端所選時間範圍內，IP 位址要求中上次偵測到事件的時間。

屬性

您可以透過「屬性」檢視畫面，深入查看事件或偵測到的流量詳細資料。屬性 (也稱為維度) 是資料的群組，可讓您以不同方式查看事件。舉例來說，API 產品屬性可讓您依 API 產品查看資料。

如要查看事件的「屬性」，請選取「事件詳細資料」檢視畫面頂端的「屬性」分頁標籤。

如要查看事件或偵測到的流量中特定 API 位址或 API 金鑰的「屬性」，請按一下該總覽頁面結果表格中的 IP 位址或 API 金鑰。

左側窗格會顯示所有屬性，以及每個屬性的不重複值數量。您可以選取屬性，查看事件詳細資料。

上圖顯示「屬性」檢視畫面，已選取「國家/地區」。「國家/地區」窗格會顯示各個區域的 API 呼叫百分比圖表。

如果任何值顯示 (not set)，請參閱「屬性值為 (not set) 時代表什麼意思」。

您可以使用「篩選器」欄位，根據各種屬性篩選屬性資訊窗格中顯示的資料。

一般而言，屬性窗格會顯示表格，以屬性值顯示事件資料。表格的資料欄包括：

已發出的呼叫總數：API 呼叫總數。
呼叫百分比：屬性每個值的所有呼叫百分比。
上次偵測時間：上次偵測到與事件相關的事件時間。

針對部分屬性，表格會顯示額外的資料欄。

如要瞭解各項屬性，請參閱「維度」一文，包括：

API 產品：依 API 產品查看詳細資料。
國家/地區：依據事件發生地點的國家/地區查看詳細資料。
開發人員：查看開發人員提供的詳細資料，也就是開發應用程式的人員。「開發人員」包含標示為「應用程式」的資料欄，列出每位開發人員的應用程式。如果應用程式擁有者是 AppGroup 而非開發人員，則「開發人員」欄會顯示 (not set)，而「應用程式」欄會顯示 AppGroup 應用程式。
開發人員應用程式：按應用程式查看詳細資料。「Developer」欄會列出每個應用程式的開發人員。如果應用程式由 AppGroup 擁有，則「Developer App」欄會顯示 AppGroup 應用程式，而「Developer」欄會顯示 (not set)。
Proxy：依proxy查看詳細資料。
回應代碼：依回應代碼查看詳細資料。
規則：依偵測規則查看詳細資料。
使用者代理程式：依使用者代理程式 (也就是發出 API 呼叫的軟體代理程式) 查看詳細資料。

屬性值為 `(not set)` 代表什麼意思？

有時屬性會設為 (not set)。發生這種情況的原因有很多，首先，Apigee 可能沒有足夠的資訊來判斷屬性值，例如 API 呼叫的來源國家/地區。或者，屬性可能不適用於特定情況。詳情請參閱「數據分析實體值『(not set)』代表什麼意義？」。