安全性報告

本頁適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

您可以透過「安全性報表」檢視畫面建立報表,找出 API 的安全性威脅。為了產生報表,Apigee 會掃描指定時間間隔內的 API 流量資料,並搜尋可能由惡意代理程式造成的異常流量模式。接著,Apigee 會顯示一份報告,列出所有可疑活動。您可以根據這些資訊採取行動,封鎖針對 API 的攻擊。

您可以在 Apigee UI 中建立安全性報表 (如以下所述),也可以使用安全性報表 API 建立。如果您使用 UI,報表的資料會限制在您選擇的環境中。不過,您也可以使用 API 建立環境群組報表。

如要瞭解執行安全性報告工作所需的角色,請參閱「 安全性報告的必要角色」。

如要使用這項功能,您必須啟用加購項目。如果您是訂閱客戶,可以為機構啟用外掛程式。詳情請參閱「 為訂閱機構管理進階 API 安全性」。如果您是預付費客戶,可以在符合資格的環境中啟用外掛程式。詳情請參閱「 管理進階 API 安全性外掛程式」。

機器人偵測

API 安全性最嚴重的威脅之一來自機器人:自動化指令碼會向 API 傳送惡意要求。Advanced API Security 會搜尋特定的 API 流量模式,也就是「偵測規則」,並根據實際 API 資料分析結果偵測機器人。

安全性報告資料延遲

資料流入 Apigee Analytics 管道的延遲時間平均為 15 到 20 分鐘。因此,如果安全報告的結束時間在過去 20 分鐘內,可能會傳回不正確的結果。

開啟「安全性報告」檢視畫面

如要開啟「安全性報告」檢視畫面,請按照下列步驟操作:

  • 如果您使用的是 Cloud 控制台中的 Apigee UI:請依序選取「進階 API 安全性」>「安全性報告」
  • 如果您使用的是傳統版 Apigee UI:請依序選取「Analyze」>「API Security」>「Security Reports」。傳統版 Apigee UI 和 Cloud 控制台的 Apigee UI 之間的資料欄名稱和行為可能會有些許差異。

這會顯示主要的「安全性報告」檢視畫面:

安全性報告主視窗。

您可以在頁面頂端選取下列項目:

  • 您要建立報表的環境。
  • 「報表類型」篩選器。選項如下:
    • 全部
    • 已啟用
    • 已失敗
    • 已過期

在這些選項下方,安全性報告會顯示在表格的各列中。每列都會顯示下列報表詳細資料:

  • 報表名稱:按一下報表名稱即可查看報表。
  • 報表的「狀態」,可能會是下列其中一種:
    • 執行中:報表目前正在執行,尚無法查看。
    • 已完成:報表已完成,可供查看或匯出。
    • 已過期:報表已過期,無法再透過 UI 查看或匯出。 如要在到期日後查看報表,請務必在該日期前匯出報表。30 天後,系統會將報表從可用報表清單中移除。

  • 「開始時間」和「結束時間」會顯示報表的開始和結束日期與時間。

  • 提交日期:提交報表要求的日期和時間。
  • 到期時間:報表到期並無法再透過 Apigee UI 查看的日期和時間。到期日為建立報表後的 7 天。 30 天後,這份報表就會從可用報表清單中移除。在到期日後,您將無法在 UI 中查看或匯出報表。
  • 檔案大小:報表檔案大小。您可能需要修改報表條件,才能建立檔案大小低於檔案大小上限的報表。如要瞭解檔案大小上限和縮減檔案大小的具體方式,請參閱「安全性報表的限制」。
  • 匯出:匯出/下載壓縮檔案格式的報表。只有在報表狀態為「已完成」時,才能匯出報表。

建立新的安全性報表

如要建立新的安全性報表,請先在「安全性報表」檢視畫面中按一下「+ 建立」。系統會開啟「Create Security Report Job」對話方塊,您可以按照下一節的說明設定報表選項。

安全性報表選項

您可以為安全性報表指定下列選項:

  • 報表名稱:報表名稱。
  • 報表日期範圍:報表的開始時間和結束時間。

    注意:報表的開始和結束時間必須是過去的時間,且最多可追溯至報表建立日期前一年。

  • 指標:報表的指標。您可以選擇下列指標和匯總函式,這些函式可計算指標的統計資料。
    指標 說明 匯總函式
    bot 在一分鐘間隔內,偵測到的機器人所使用的不同 IP 位址數量。 count_distinct
    bot_traffic 在 1 分鐘間隔內,從偵測到的機器人 IP 位址傳送的郵件數。 sum
    message_count

    Apigee 在一分鐘間隔內處理的 API 呼叫總數。

    注意: message_count 無法與其他指標或 bot_reason 維度搭配使用。

    		 sum
    response_size 回應酬載的大小 (以位元組為單位)。 sumavgminmax

  • 維度:維度可讓您根據相關的資料子集,將指標值分組。下表說明 Advanced API Security 報表專屬的維度。

    維度 說明
    bot_reason
    incident_id (預先發布版)
    security_action (預先發布版) 類型安全性動作。可能的值包括 ALLOW、DENY 和 FLAG。
    security_action_name 安全性動作的名稱。
    security_action_headers 與允許動作要求相關聯的標頭。

    注意:專屬於 Advanced API Security 的bot_reason 維度可為任何偵測規則組合。偵測到機器人時,bot_reason 會包含機器人流量與偵測規則相符的子集。

    注意: bot_reasonincident_id 僅適用於下列指標:

    • bot
    • bot_traffic
    • response_size

    如要瞭解 Advanced API Security 報表支援的其他維度,請參閱維度

    如要新增多個維度,請為每個要新增的維度按一下「+ 新增維度」。您也可以按一下維度欄位右側的向上或向下箭頭,變更維度在報表中顯示的順序。

  • 篩選器:篩選器可讓您將結果限制為特定值的指標。 如要建立篩選器,請設定下列欄位:
    • 選取篩選器的名稱。
    • 選取比較運算子。
    • 選取一個值。

    請參閱「篩選器」。

選取所有報表選項後,按一下「建立」建立報表工作。您可能需要等待一段時間,系統才會產生報表。您可以按一下窗格右上方的「重新整理」按鈕,查看完成的報表。

查看完成的報表

報告完成後,會顯示在表格中,如下所示:

表格中顯示的安全性報告。

如要查看這份報表,請按照下列任一做法:

  • 按一下報表名稱。
  • 按一下該報表資料列中的「匯出」
注意:機器人偵測功能的處理延遲時間平均為 15 到 20 分鐘。

範例:機器人 IP 位址報表

以下範例會建立報表,顯示偵測到的機器人的 IP 位址。如要建立這份報表,請使用下列設定:

  • 指標:bot,系統偵測到的機器人來源 IP 位址數量。
  • 匯總函式:count_distinct
  • 維度:已解析的用戶端 IP

完成的報告如下所示:

安全性報告:機器人 IP 位址報告

請注意,報表底部的表格列出 Advanced API Security 已識別為機器人的 IP 位址。

範例:機器人流量 (按機器人原因分類) 報表

下一個範例會建立機器人流量報表,其中包含 bot_reason 所代表的機器人來源 IP 位址的請求數量,以及導致偵測到機器人的一組偵測規則。如要建立報表,請使用下列設定:

  • 指標:bot_traffic
  • 匯總函式:sum
  • 維度:bot_reason

完成的報告如下所示:

安全性報告:依據機器人原因分類的機器人流量 \report

每個 bot_reason 都包含個別偵測規則的子集。如圖所示,導致最多機器人流量的偵測規則是下列規則集:

  • 泛洪
  • Brute Guessor
  • Robot Abuser

範例:機器人流量報表

下一個範例會建立不依維度分組的報表。如果您不想依維度將資料分組,可以將「維度」設為「環境」。由於資料一律會限制在所選環境,因此報表不會將資料分組。

  • 指標:漫遊器流量
  • 匯總函式:sum
  • 維度:環境
惡意機器人流量報表的安全性報告

這份報表會顯示報表時間範圍內,每個一分鐘間隔內,已識別為機器人來源的 IP 位址所產生的總流量。請注意,系統不會進行分組。

更多安全性報告範例

下表列出一些報表安全性範例,您可以使用不同的指標和維度建立這些報表:

檢舉 指標 維度
每個環境的所有機器人流量與機器人數報表 botbot_traffic environment
漫遊器流量與漫遊器數量報表 (針對不同漫遊器原因) botbot_traffic bot_reason
不同國家/地區的漫遊器流量與漫遊器數量報表 botbot_traffic ax_geo_country
不同網際網路服務供應商 (ISP) 的漫遊器流量與漫遊器數量報表 botbot_traffic ax_isp
機器人偵測報表 (詳細清單檢視畫面) bot_traffic Resolved Client IPax_ispbot_reasonrequest_uriclient_id
每個存取權杖的機器人流量 bot_traffic access_token
各 API Proxy 的機器人流量 bot_traffic apiproxy
每個使用者代理程式系列的漫遊器流量 bot_traffic ax_ua_agent_family
每個使用者代理程式的機器人流量 bot_traffic useragent
依據代理程式類型劃分的漫遊器流量 bot_traffic ax_ua_agent_type
每個裝置類別的機器人流量 bot_traffic ax_ua_device_category
每個 OS 系列的漫遊器流量 bot_traffic ax_ua_os_family
每個用戶端 ID 的漫遊器流量 bot_traffic client_id
每個 Proxy Basepath 的漫遊器流量 bot_traffic proxy_basepath
Proxy Path Suffix 的漫遊器流量 bot_traffic proxy_pathsuffix
每個要求 URI 的漫遊器流量 bot_traffic request_uri
依要求動詞劃分的漫遊器流量 bot_traffic request_verb
依回應狀態碼區分的機器人流量 bot_traffic response_status_code

安全性報告的限制

安全性報表有下列限制:

  • 資料流入 Apigee Analytics 管道的延遲時間平均為 15 到 20 分鐘。因此,如果建立的報表結束時間在過去 20 分鐘內,可能會傳回不正確的結果。
  • 機器人報表的時間範圍上限為 1 年。
  • 報表中可使用的指標數量上限為 25,維度數量上限為 25。
  • 非同步自訂報表 API 一樣,每份報表的資料上限為 31 MB。如果報表遇到大小限制,您可以執行下列操作:
    • 縮短報表的時間範圍。
    • 根據一組值篩選資料,將資料分割成較小的子集,然後為每個子集建立多份報表。
  • 基於隱私權考量,Resolved Client IP 維度無法與 ax_geo_cityax_geo_country 維度列於同一報表中。
  • 篩選 incident_id 的安全性報表工作必須將 incident_id 納入維度。
  • 下列指標只能透過 Security Reports API 取得,無法透過使用者介面取得:bot_first_detected (min)bot_last_detected (max)