本頁適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
Advanced API Security 快訊可讓您針對 API 安全性相關事件建立快訊,例如安全性分數變更或偵測到的 API 濫用事件。您可以使用 Cloud Monitoring 建立快訊。您可以設定快訊,在觸發快訊時透過簡訊、電子郵件或其他管道傳送通知給您。
如要進一步瞭解如何建立快訊,請參閱「建立以指標門檻為基礎的警告政策」一文;如要瞭解如何管理產生的快訊,請參閱「以指標為基礎的警告政策事件」。
必要的角色
如要在 Cloud Monitoring 中設定快訊和通知管道,您必須具備下列角色:
roles/monitoring.alertPolicyEditorroles/monitoring.notificationChannelEditor
限制
在警報方面,適用下列限制:
- 所有 Apigee 訂閱層級的警示政策數量上限為 500 個。
- 指標資料會保留 6 週。
- 指標門檻值條件評估的時間上限為 23 小時 30 分鐘。
- 從觸發快訊的事件發生到建立快訊並傳送通知,可能會延遲最多 4 分鐘。
如需完整的快訊限制清單,請參閱「快訊限制」。
以下各節會提供建立警示的範例。
範例:建立快訊,以便在 Proxy 安全分數降低時發出警示 (Risk Assessment v1)
這個範例會在Proxy Security Score低於指定門檻時建立快訊。如要建立快訊,請按照下列步驟操作:
- 按一下「選取指標」。
- 取消選取「僅顯示使用中的資源和指標」。
注意:如果貴機構沒有近期的 API 流量資料,除非取消選取這個選項,否則系統不會顯示下一個步驟的指標。
- 依下列步驟選取指標:
- 選取「Apigee API Security 設定檔環境關聯」。
- 在右側開啟的面板中,選取「安全性」
- 在右側的下一欄中,選取「Apigee API proxy 的安全性評分」。
- 按一下 [套用]。
- (選用) 如要限制快訊的資料,例如指定環境,您可以建立以下篩選器:
- 在「Add filters」>「New filter」下方,點選「Filter」欄位,然後選取要篩選的資源標籤,例如「env」。
- 在「比較子」欄位中選取比較子,例如 =。
- 在「Value」欄位中,選取資源標籤的值,例如環境名稱。
使用這個篩選器時,只有符合篩選條件的資料才會觸發快訊。如需可用篩選器的清單,請參閱「篩選器」。
- 在「Transform data」(轉換資料) 下方的「Rolling window function」(滾動週期函式) 欄位中,選取「sum」(總和)。
- 點選「下一步」。
- 在「Configure alert trigger」窗格中,設定下列項目:
- 在「Condition Types」下方,選取「Threshold」。
- 在「Alert trigger」(快訊觸發條件) 下方,選取「Any time series violates」(任何時間序列違反條件時)。
- 在「門檻位置」下方,選取「低於門檻」。
- 在「門檻值」欄位中輸入觸發快訊的門檻值,例如 600。
- 點選「下一步」。
- 在「設定通知」欄位中,點選「通知管道」欄位,然後選取通知管道,例如簡訊或電子郵件。如果您尚未設定任何管道,請按一下「管理通知管道」,然後新增管道。
- 按一下 [確定]。
- 在「說明文件」欄位中,輸入您想透過通知傳送的任何文字,例如觸發快訊的原因。例如,您可以輸入「安全分數已降至 600 以下」。
- 在「為警告政策命名」下方輸入警告政策的名稱。
- 按一下「下一步」,查看快訊政策的詳細資料。
- 如果一切都沒問題,請按一下「建立政策」建立快訊政策。
範例:針對偵測規則中偵測到的濫用流量增加情形建立快訊
本範例說明如何在任何單一偵測規則中,當偵測到濫用流量的要求數量超過指定門檻時,建立快訊。如要建立快訊,請按照下列步驟操作:
在 Google Cloud console中開啟「Create alerting policy」頁面。
- 按一下「選取指標」。
- 取消選取「僅顯示使用中的資源和指標」。
注意:如果貴機構沒有近期的 API 流量資料,除非取消選取這個選項,否則系統不會顯示下一個步驟的指標。
- 依下列步驟選取指標:
- 選取「Apigee API Security 偵測規則」。
- 在右側開啟的面板中,選取「安全性」
- 在右側的下一欄中,選取「Apigee API Security 偵測到的請求次數 (依規則劃分)」。
- 按一下 [套用]。
- (選用) 如要限制快訊的資料,例如指定環境,您可以建立下列篩選器:
- 在「Add filters」>「New filter」下方,按一下「Filter」欄位,然後選取要篩選的資源標籤,例如「env」。
- 在「比較子」欄位中選取比較子,例如 =。
- 在「Value」欄位中,選取資源標籤的值,例如環境名稱。
使用這個篩選器時,只有通過篩選器條件的資料 (例如環境中的資料) 才會觸發警示。如需可用篩選器的清單,請參閱「篩選器」。
- 在「Transform data」(轉換資料) 下方的「Rolling window function」(滾動週期函式) 欄位中,選取「sum」(總和)。
- 點選「下一步」。
- 在「Configure alert trigger」窗格中,設定下列項目:
- 在「Condition Types」下方,選取「Threshold」。
- 在「Alert trigger」(快訊觸發條件) 下方,選取「Any time series violates」(任何時間序列違反條件時)。
- 在「門檻位置」下方,選取「高於門檻」。
- 在「門檻值」欄位中輸入觸發快訊的門檻值,例如 100。
- 點選「下一步」。
- 在「設定通知」欄位中,點選「通知管道」欄位,然後選取通知管道,例如簡訊或電子郵件。如果您尚未設定任何管道,請按一下「管理通知管道」,然後新增管道。
- 按一下 [確定]。
- 在「說明文件」欄位中,輸入您想透過通知傳送的任何文字,例如觸發快訊的原因。例如,您可以輸入「Detected abuse traffic exceeded 100 for $(resource.label.env)」(偵測到的濫用流量超過 100 次)。這會使用標籤 $(resource.label.env),顯示資料觸發警示的環境。
- 在「為警告政策命名」下方輸入警告政策的名稱。
- 按一下「下一步」,查看快訊政策的詳細資料。
- 如果一切都沒問題,請按一下「建立政策」建立快訊政策。
範例:建立風險評估監控條件監控警報 (風險評估 v2)
本例會為風險評估監控條件建立新的 Cloud Monitoring 快訊政策,如果任何監控的 Proxy 安全分數低於特定門檻,就會發出快訊。
- 建立監控條件。
- 請按照「建立監控快訊」一文中的操作說明,建立新的監控快訊。網頁載入時,Apigee 會為您預先填入部分欄位。
- 如有需要,您可以變更設定來自訂警示政策。請按照「建立快訊政策」中的指示操作。您必須提供警示政策的名稱。
- 按一下「建立政策」即可儲存新的快訊政策。
安全性警示指標
下表說明可用於建立安全警示的指標:
| 資源 | 指標 | 說明 | 支援的篩選器 |
|---|---|---|---|
| Apigee 環境 | Apigee API Security 要求次數:apigee.googleapis.com/security/request_count |
自上次取樣以來,由進階 API 安全性處理的 API 要求數。 | location、org、env、proxy |
| Apigee 環境 | Apigee API Security 偵測到的要求次數:apigee.googleapis.com/security/detected_request_count |
自上次取樣後,由 Advanced API Security 濫用偵測功能偵測到的 API 要求數量。 | location、org、env、proxy |
| Apigee API Security 偵測規則 | Apigee API Security 根據規則偵測到的請求次數:apigee.googleapis.com/security/detected_request_count_by_rule |
自上次取樣以來,Advanced API Security 濫用偵測功能偵測到的 API 要求數量,並依偵測規則分組。 | location、org、env、proxy、detection_rule |
| Apigee API 安全性事件 | Apigee API Security 事件要求次數:apigee.googleapis.com/security/incident_request_count |
系統偵測到與 API 安全事件相關的 API 要求數量。這個值每小時會測量一次。 | location、org、env、proxy |
| Apigee API 安全性事件 | Apigee API Security 事件要求次數 (依檢測規則劃分):apigee.googleapis.com/security/incident_request_count_by_rule |
系統偵測到屬於 API 安全事件的 API 要求數量,並依偵測規則分組。這個值每小時會測量一次。 | location、org、env、incident_id、detection_rule |
| Apigee API Security Profile Environment Association | Apigee API 來源的安全性分數:apigee.googleapis.com/security/source_score |
適用於風險評估 v1。根據 Advanced API Security 來源評估,Apigee API Proxy 目前的安全性分數。 這個值至少每 3 小時會測量一次。 | location、org、env、profile |
| Apigee API Security Profile Environment Association | Apigee API Proxy 的安全性分數:apigee.googleapis.com/security/proxy_score |
適用於風險評估 v1。根據 Advanced API Security proxy 評估結果,Apigee API proxy 目前的安全性分數。這個值至少每 3 小時會測量一次。 | location、org、env、profile、proxy |
| Apigee API Security Profile Environment Association | Apigee API 目標的安全性分數:apigee.googleapis.com/security/target_score |
適用於風險評估 v1。根據 Advanced API Security 目標評估,Apigee API Proxy 目前的安全性分數。 這個值至少每 3 小時會測量一次。 | location、org、env、profile、target_server |
| Apigee API Security Profile Environment Association | Apigee 環境的安全性評分:apigee.googleapis.com/security/environment_score |
適用於風險評估 v1。根據來源、Proxy 和目標的 Advanced API Security 評估結果,Apigee 環境目前的總安全性分數。這個值至少每 3 小時會測量一次。 | location、org、env、profile |
| Apigee API 安全性評估結果 | 安全性分數:apigee.googleapis.com/security/score |
適用於風險評估 v2。根據安全性設定檔,評估已部署資源的目前安全性分數。 | location、org、scope、resource、security_profile |
篩選器
| 篩選標籤 | 說明 |
|---|---|
| 位置 | 資源位置:一律為全域。 |
| 組織 | Apigee 機構名稱 |
| env | Apigee 環境名稱 |
| 資料 | Apigee API Security 設定檔名稱 |
| proxy | Apigee API Proxy 名稱 |
| target_server | Apigee 目標伺服器名稱 |
| detection_rule | Apigee API 安全性偵測規則名稱 |
| 範圍 | 對於風險評估 v2,與評估資源相關聯的範圍 ID。 |
| 資源 | 對於風險評估 2.0,是評估資源的 ID。 |
| security_profile | 針對風險評估 2.0,用於評估資源的安全性設定檔 ID。 |