このページは Apigee と Apigee ハイブリッドに適用されます。
Apigee Edge のドキュメントを表示する。
Advanced API Security は検出ルールを使用して、悪意のあるアクティビティを表す可能性のある API トラフィックの異常なパターンを検出します。これらのルールには、実際の API データでトレーニングされた ML モデルと、既知の API 脅威の種類に基づく記述ルールの両方が含まれています。
次の表に、検出ルールと説明を示します。
| 検出ルール | 説明 |
|---|---|
悪意のある目的のために API から対象の情報を抽出するプロセスである API スクレイピングを検出する ML モデル。 | |
| API トラフィック内の異常(通常とは異なるイベントのパターン)を検出するための ML モデル。Advanced Anomaly Detection についてをご覧ください。 | |
| Brute Guessor | 過去 24 時間で、レスポンス エラーの割合が高い。 |
| Flooder | 5 分間の枠で、1 つの IP アドレスからのトラフィックの割合が高い。 |
| OAuth Abuser | 過去 24 時間で、少数のユーザー エージェントによる OAuth セッションの使用が多い。 |
| Robot Abuser | 過去 24 時間に 403 拒絶エラーが大量に発生した。 |
| Static Content Scraper | 5 分間の枠で、1 つの IP アドレスからのレスポンス ペイロード サイズの割合が高い。 |
| TorListRule | Tor の exit ノードの IP 一覧。Tor exit ノードは、トラフィックがインターネットを通過する前に Tor ネットワークを通過する最後の Tor ノードです。Tor exit ノードの検出は、エージェントが(おそらく悪意のある目的のために)Tor ネットワークから API にトラフィックを送信したことを示します。 |
Advanced Anomaly Detection について
Advanced Anomaly Detection アルゴリズムは API トラフィックを学習し、エラー率、トラフィック量、リクエスト サイズ、レイテンシ、位置情報などの要素や、その他のトラフィック メタデータを環境レベルで考慮します。トラフィック パターンに大きな変化(トラフィック、エラー率、レイテンシの急増など)があった場合は、異常の原因となった IP アドレスを [Detected Traffic] ビューで報告します。
異常検出をセキュリティ アクションと組み合わせて、モデルが異常として検出したトラフィックを自動的に報告または拒否することもできます。詳細については、Apigee Advanced API Security のセキュリティ アクションによって疑わしいトラフィックを報告してブロックする方法に関するコミュニティ投稿をご覧ください。
モデルの動作
不正な行為者がモデルを悪用するリスクを軽減するため、モデルの仕組みやインシデントの検出方法に関する詳細は公開されていませんが、異常検出を最大限に活用できるように以下の追加情報をご覧ください。
- 季節的な変動を考慮: モデルはお客様のトラフィック データに基づいてトレーニングされるため、そのデータに季節的なトラフィック変動(休日のトラフィックなど)に関する過去のデータ(たとえば、前年の同じ休日のデータ)が含まれていれば、そのパターンを認識して判断の材料にすることができます。
- 異常の検出:
- 既存の Apigee ユーザーとハイブリッド ユーザーの場合: 過去の API トラフィック データを少なくとも 2 週間分(より正確な結果が必要な場合は 12 週間分)用意することをおすすめします。Advanced Anomaly Detection は、モデル トレーニングを有効にしてから 6 時間以内に異常の検出を開始します。
- Apigee の新規ユーザー: 過去のデータが 2 週間分以上ある場合、オプトインから 6 時間後にモデルが異常の検出を開始します。ただし、モデルにトレーニング用のデータが 12 週間以上蓄積されるまで、検出された異常への対応は慎重に行うことをおすすめします。モデルは蓄積されるトラフィック データによって継続的にトレーニングされ、時間の経過とともに精度が向上します。
制限事項
不正行為検出の Advanced Anomaly Detection には次のような制限事項があります。
- 異常は環境レベルで検出されます。現時点では、個々のプロキシ レベルでの異常検出は行えません。
- 現時点では、VPC-SC のお客様は異常検出を利用できません。
ML と検出ルール
Advanced API Security は、Google の ML アルゴリズムで構築されたモデルを使用して、API に対するセキュリティ上の脅威を検出します。これらのモデルは、既知のセキュリティの脅威を含む実際の API トラフィック データセット(お客様のデータによるトレーニングを有効にした場合は、お客様の現在のトラフィック データも含まれます)によって事前トレーニングされています。その結果、モデルは通常と異なる API トラフィック パターン(API スクレイピングや異常など)を認識し、類似したパターンに基づいてイベントを分類できるようになります。
2 つの検出ルールは、次の ML モデルに基づいています。
- Advanced API Scraper
- Advanced Anomaly Detection