Esta página se aplica à Apigee e à Apigee híbrida.
Confira a documentação da
Apigee Edge.
A segurança avançada da API usa regras de detecção para detectar padrões incomuns no tráfego da API que possam representar atividades mal-intencionadas. Essas regras incluem modelos de machine learning treinados com dados reais de API e regras descritivas, com base em tipos conhecidos de ameaças de API.
A tabela a seguir lista as regras de detecção e as descrições delas.
| Regra de detecção | Descrição |
|---|---|
Um modelo de machine learning que detecta a raspagem de dados de API, que é o processo de extração de informações de destino de APIs para fins maliciosos. | |
| Um modelo de machine learning para detectar anomalias, padrões incomuns de eventos, no tráfego da API. Consulte Sobre a Detecção de anomalias avançada. | |
| Guessor brutal | Alta proporção de erros de resposta nas últimas 24 horas |
| Excesso | Alta proporção de tráfego de um endereço IP em uma janela de cinco minutos |
| Abusador de OAuth | Um grande número de sessões OAuth com um pequeno número de user agents nas últimas 24 horas |
| Abuso de robô | Um grande número de erros de rejeição 403 nas últimas 24 horas |
| Raspador de conteúdo estático | Alta proporção de tamanho de payload de resposta de um endereço IP em uma janela de cinco minutos |
| TorListRule | Lista de IPs de nós de saída do Tor. Um nó de saída do Tor é o último nó do Tor pelo qual o tráfego passa na rede do Tor antes de sair para a Internet. A detecção de nós de saída do Tor indica que um agente enviou tráfego da rede do Tor para suas APIs, possivelmente para fins maliciosos. |
Sobre a detecção de anomalias avançada
O algoritmo de detecção de anomalias avançadas aprende com o tráfego da API, considerando fatores como taxas de erro, volume de tráfego, tamanho da solicitação, latência, geolocalização e outros metadados de tráfego no nível do ambiente. Se houver mudanças significativas nos padrões de tráfego (por exemplo, um aumento no tráfego, taxas de erros ou latência), o modelo sinaliza o endereço IP que contribuiu para a anomalia em "Tráfego detectado".
Também é possível combinar a detecção de anomalias com ações de segurança para sinalizar ou negar automaticamente o tráfego detectado como anormal pelo modelo. Consulte a postagem da comunidade "Usar as ações de segurança da API Security avançada da Apigee para sinalizar e bloquear tráfego suspeito" para mais informações.
Comportamento do modelo
Para reduzir o risco de que agentes mal-intencionados possam explorar o modelo, não expomos detalhes específicos sobre como ele funciona ou como os incidentes são detectados. No entanto, essas informações adicionais podem ajudar você a aproveitar ao máximo a detecção de anomalias:
- Consideração da variação sazonal:como o modelo é treinado com seus dados de tráfego, ele pode reconhecer e considerar as variações sazonais (como o tráfego de feriados), se os dados de tráfego incluírem dados anteriores para esse padrão, como o mesmo feriado em um ano anterior.
- Mostrar anomalias:
- Para clientes da Apigee e híbridos:a Apigee recomenda que você tenha pelo menos duas semanas de dados históricos de tráfego da API e, para resultados mais precisos, é preferível ter 12 semanas de dados históricos. A Detecção de anomalias avançada começa a mostrar anomalias em até seis horas após ativar o treinamento de modelo.
- Novos usuários da Apigee:o modelo começa a mostrar anomalias seis horas após a ativação, se você tiver pelo menos duas semanas de dados históricos. No entanto, recomendamos ter cuidado ao agir em relação a anomalias detectadas até que o modelo tenha pelo menos 12 semanas de dados para treinamento. O modelo é treinado continuamente com seus dados históricos de tráfego para ficar mais preciso com o tempo.
Limitações
Para a Detecção de abuso e Detecção de anomalias avançada:
- As anomalias são detectadas no nível do ambiente. A detecção de anomalias no nível de proxy individual não é compatível no momento.
- No momento, a detecção de anomalias não é compatível com clientes do VPC-SC.
Regras de detecção e machine learning
A API Security avançada usa modelos criados com os algoritmos de aprendizado de máquina do Google para detectar ameaças à segurança das suas APIs. Esses modelos são pré-treinados em conjuntos de dados de tráfego de API reais (incluindo seus dados de tráfego atuais, se ativados) que contêm ameaças de segurança conhecidas. Como resultado, os modelos aprendem a reconhecer padrões de tráfego de API incomuns, como raspagem de dados e anomalias, e agrupam eventos com base em padrões semelhantes.
Duas das regras de detecção são baseadas em modelos de aprendizado de máquina:
- API Scraper avançada
- Detecção de anomalias avançada