Questa pagina si applica ad Apigee e Apigee hybrid.
Visualizza la documentazione di
Apigee Edge.
Advanced API Security utilizza le regole di rilevamento per rilevare pattern insoliti nel traffico API che potrebbero rappresentare attività dannose. Queste regole includono sia i modelli di machine learning addestrati su dati API reali sia le regole descrittive basate su tipi noti di minacce API.
La tabella seguente elenca le regole di rilevamento e le relative descrizioni.
| Regola di rilevamento | Descrizione |
|---|---|
Un modello di machine learning che rileva lo scraping delle API, ovvero il processo di estrazione di informazioni mirate dalle API per scopi dannosi. | |
| Un modello di machine learning per rilevare anomalie, ovvero pattern insoliti di eventi, nel traffico delle API. Consulta Informazioni sul rilevamento avanzato di anomalie. | |
| Brute Guessor | Elevata proporzione di errori di risposta nelle 24 ore precedenti |
| Flooder | Elevata proporzione di traffico da un indirizzo IP in una finestra di 5 minuti |
| Utenti che abusano di OAuth | Numero elevato di sessioni OAuth con un numero ridotto di agenti utente nelle ultime 24 ore |
| Abusatore di robot | Numero elevato di errori di rifiuto 403 nelle ultime 24 ore |
| Scraper di contenuti statici | Elevata proporzione di dimensioni del payload di risposta da un indirizzo IP in un intervallo di 5 minuti |
| TorListRule | Elenco di indirizzi IP dei nodi di uscita Tor. Un exit node Tor è l'ultimo nodo Tor attraverso il quale passa il traffico nella rete Tor prima di uscire su internet. Il rilevamento di nodi di uscita Tor indica che un agente ha inviato traffico alle tue API dalla rete Tor, possibilmente per scopi dannosi. |
Informazioni sul rilevamento avanzato di anomalie
L'algoritmo di rilevamento delle anomalie avanzato apprende dal traffico dell'API, tenendo conto di fattori come tassi di errore, volume di traffico, dimensioni delle richieste, latenza, geolocalizzazione e altri metadati sul traffico a livello di ambiente. Se si verificano cambiamenti significativi nei pattern di traffico (ad esempio un picco di traffico, tassi di errore o latenza), il modello segnala l'indirizzo IP che ha contribuito all'anomalia nel traffico rilevato.
Puoi anche combinare il rilevamento delle anomalie con le azioni di sicurezza per segnalare o negare automaticamente il traffico rilevato come anomalo dal modello. Per ulteriori informazioni, consulta il post della community "Utilizzare le azioni di sicurezza di Apigee Advanced API Security per segnalare e bloccare il traffico sospetto".
Comportamento del modello
Per ridurre il rischio che malintenzionati possano sfruttare il modello, non esponiamo dettagli specifici sul funzionamento del modello o su come vengono rilevati gli incidenti. Tuttavia, queste informazioni aggiuntive possono aiutarti a sfruttare al meglio il rilevamento delle anomalie:
- Trattamento della varianza stagionale: poiché il modello viene addestrato sui dati sul traffico, può riconoscere e tenere conto delle variazioni del traffico stagionale (ad esempio il traffico durante le festività), se i dati sul traffico includono dati precedenti per quel modello, ad esempio la stessa festività in un anno precedente.
- Anomalie emergenti:
- Per i clienti Apigee ed ibridi esistenti: Apigee consiglia di disporre di almeno 2 settimane di dati storici sul traffico API e, per risultati più accurati, è preferibile disporre di 12 settimane di dati storici. Il Rilevamento di anomalie avanzato inizia a rilevare le anomalie entro sei ore dall'attivazione dell'addestramento del modello.
- Nuovi utenti Apigee: il modello inizia a mostrare le anomalie 6 ore dopo l'attivazione, se disponi di almeno 2 settimane di dati storici. Tuttavia, ti consigliamo di procedere con cautela quando intervieni sulle anomalie rilevate finché il modello non dispone di almeno 12 settimane di dati per l'addestramento. Il modello viene addestrato continuamente sulla base dei tuoi dati storici sul traffico in modo da diventare più preciso nel tempo.
Limitazioni
Per il rilevamento avanzato di anomalie per il rilevamento di comportamenti illeciti:
- Le anomalie vengono rilevate a livello di ambiente. Il rilevamento delle anomalie a livello di singolo proxy non è supportato al momento.
- Al momento, il rilevamento delle anomalie non è supportato per i clienti VPC-SC.
Machine learning e regole di rilevamento
Advanced API Security utilizza modelli creati con gli algoritmi di machine learning di Google per rilevare le minacce alla sicurezza delle tue API. Questi modelli sono preaddestrati su set di dati di traffico delle API reali (inclusi i dati di traffico correnti, se abilitati) che contengono minacce alla sicurezza note. Di conseguenza, i modelli imparano a riconoscere pattern di traffico delle API insoliti, come scraping e anomalie delle API, e raggruppano gli eventi in base a pattern simili.
Due delle regole di rilevamento si basano su modelli di machine learning:
- Advanced API Scraper
- Rilevamento avanzato di anomalie