Deteksi penyalahgunaan

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Dengan deteksi penyalahgunaan Advanced API Security, Anda dapat melihat insiden keamanan yang melibatkan API Anda. Insiden keamanan adalah sekumpulan peristiwa dengan pola serupa yang dapat mewakili ancaman keamanan. Advanced API Security menggunakan model machine learning untuk mendeteksi pola yang merupakan tanda aktivitas berbahaya, termasuk scraping dan anomali API, serta peristiwa cluster bersama-sama berdasarkan pola yang serupa.

Saat Advanced API Security mendeteksi insiden keamanan, Advanced API Security akan melaporkan hal berikut:

  • Tingkat risiko dan durasi insiden
  • Proxy yang terpengaruh oleh insiden tersebut
  • Alamat IP peristiwa insiden
  • Aturan deteksi yang dipicu oleh insiden
  • Negara asal insiden

dan informasi terkait lainnya tentang insiden tersebut.

Anda dapat mengakses deteksi penyalahgunaan melalui UI Apigee, seperti yang dijelaskan di bawah, atau melalui Incidents API atau Security Stats API

Lihat Peran yang diperlukan untuk deteksi penyalahgunaan untuk peran yang diperlukan untuk melakukan tugas deteksi penyalahgunaan.

Bantu tingkatkan kualitas model machine learning Anda untuk mendeteksi penyalahgunaan

Apigee meminta bantuan Anda dalam meningkatkan kualitas model machine learning untuk mendeteksi penyalahgunaan di organisasi Anda, dengan mengizinkan kami melatih model pada data Anda. Melatih model menggunakan data Anda akan membantu meningkatkan akurasinya dalam mendeteksi insiden keamanan. Pelatihan ini hanya akan berlaku untuk model Anda, dan tidak akan dibagikan kepada pelanggan Google Cloud lainnya.

Saat pertama kali membuka halaman Deteksi penyalahgunaan di UI Apigee, Anda akan melihat banner yang meminta izin untuk melatih model keamanan organisasi pada data Anda.

Untuk menggunakan fitur ini, Anda harus mengaktifkan add-on. Jika Anda adalah pelanggan Langganan, Anda dapat mengaktifkan add-on untuk organisasi Anda. Lihat Mengelola Keamanan API Lanjutan untuk organisasi Langganan untuk detail selengkapnya. Jika Anda adalah pelanggan Bayar sesuai penggunaan, Anda dapat mengaktifkan add-on di lingkungan yang memenuhi syarat. Untuk informasi selengkapnya, lihat Mengelola add-on Advanced API Security.

Buka halaman Deteksi penyalahgunaan

Untuk membuka halaman Deteksi penyalahgunaan:

  • Jika Anda menggunakan UI Apigee di Konsol Cloud: Pilih Advanced API security > Abuse detection.
  • Jika Anda menggunakan Apigee UI klasik: Pilih Analyze > API Security > Abuse detection.

Tindakan ini akan menampilkan halaman Deteksi penyalahgunaan utama:

Halaman utama deteksi penyalahgunaan.

Mengubah izin agar Apigee dapat meningkatkan kualitas model machine learning Anda

Anda dapat mengubah izin agar Apigee dapat meningkatkan model machine learning kapan saja, dengan mengklik Setelan di kanan atas halaman Deteksi penyalahgunaan, lalu memilih opsi untuk mengaktifkan atau menonaktifkan fitur ini.

Halaman Deteksi penyalahgunaan utama

Di bagian atas halaman, Anda dapat memilih salah satu jangka waktu terbaru berikut untuk melihat insiden: 12 jam terakhir, 1 hari, 1 minggu, atau 2 minggu terakhir.

Tabel di halaman ini menampilkan lingkungan di organisasi Anda yang terpengaruh oleh insiden keamanan selama interval waktu yang dipilih.

Setiap baris tabel juga menampilkan hal berikut:

  • Lingkungan: Lingkungan tempat penyalahgunaan terjadi.
  • Total insiden: Jumlah total insiden di lingkungan selama interval waktu yang dipilih. Lihat Batasan insiden dan data yang ditampilkan untuk informasi selengkapnya tentang insiden dan data yang ditampilkan di UI.

  • Tingkat risiko: Menampilkan jumlah insiden pada tiga tingkat risiko: parah, sedang, dan rendah. Tingkat risiko didasarkan pada berbagai karakteristik insiden, seperti jumlah aturan yang terdeteksi, jenisnya, dan ukuran relatif insiden dibandingkan dengan traffic yang sah. Tingkat risiko dimaksudkan untuk membantu Anda memprioritaskan insiden mana yang akan diselidiki, sehingga Anda dapat berfokus pada insiden yang paling penting.

    Tingkat risiko dapat berupa salah satu dari berikut ini:

    • Berat: Insiden serius memiliki risiko tinggi. Sebaiknya Anda memprioritaskan penyelidikan terkait hal tersebut.
    • Sedang: Insiden sedang menimbulkan beberapa risiko, tetapi lebih kecil daripada insiden dengan risiko berat, dan sebaiknya Anda memprioritaskannya daripada insiden berisiko rendah.
    • Rendah: Insiden berisiko rendah dapat diselidiki terakhir, setelah Anda menyelidiki insiden dengan risiko yang lebih tinggi.

    Angka di samping setiap tingkat risiko menunjukkan jumlah insiden di tingkat risiko tersebut.

Detail lingkungan

Untuk melihat insiden dalam lingkungan selama rentang waktu yang dipilih, pilih lingkungan dalam tabel yang ditunjukkan di atas. Tindakan ini akan membuka tampilan Environment details:

Tampilan insiden.

Jika Anda melihat insiden atau traffic yang terdeteksi, dan ingin membuat tindakan keamanan untuk memblokir atau menandai permintaan yang terkait dengan insiden atau traffic yang terdeteksi, klik Buat Tindakan Keamanan di bagian atas halaman. Tindakan ini akan membuka halaman Tindakan keamanan.

Tampilan Environment details memiliki dua tab:

  • Insiden: Menampilkan daftar insiden di lingkungan dan informasi tentang insiden tersebut.
  • Traffic yang terdeteksi: Menampilkan detail traffic penyalahgunaan yang terdeteksi yang terkait dengan insiden.

Insiden

Tab Incidents pada tampilan Environment details, yang ditunjukkan di atas, menampilkan opsi berikut:

  • Lingkungan: Ubah lingkungan untuk melihat insiden.
  • Proxy: Anda dapat memilih All untuk menampilkan insiden untuk semua proxy, atau satu proxy agar hanya menampilkan insiden untuk proxy yang dipilih.
  • Sertakan insiden yang diarsipkan: Jika opsi ini dipilih, daftar insiden akan menampilkan insiden yang diarsipkan. Insiden yang diarsipkan ditampilkan dengan ikon di sampingnya: Ikon yang diarsipkan.

    Untuk menyembunyikan insiden yang diarsipkan dari daftar, batalkan pilihan Sertakan insiden yang diarsipkan. Anda dapat menyembunyikan insiden yang diarsipkan jika ada banyak insiden yang ditampilkan dan Anda tidak ingin melihat semuanya, atau jika Anda ingin menyembunyikan insiden yang telah diselidiki.

Tampilan Insiden juga menampilkan hal berikut:

  • Nama insiden: Nama yang dibuat yang merangkum insiden.
  • Tingkat risiko: Tingkat risiko insiden.

  • Aturan pendeteksian: Daftar aturan deteksi yang dipicu oleh insiden.

  • Traffic insiden: Jumlah total peristiwa: Panggilan API yang diberi tag oleh salah satu aturan deteksi yang terkait dengan insiden.
  • Peristiwa pertama terdeteksi: Tanggal dan waktu peristiwa pertama dalam insiden terdeteksi.
  • Peristiwa terakhir terdeteksi: Tanggal dan waktu peristiwa terakhir dalam insiden terdeteksi.
  • Durasi: Durasi insiden, dari peristiwa pertama hingga terakhir.
  • UUID: ID unik universal untuk insiden.

Detail insiden

Untuk melihat detail insiden, klik namanya di tabel. Tindakan ini akan menampilkan panel Overview dari tampilan Incident details, seperti ditunjukkan di bawah:

Tampilan detail insiden.

Seperti pada tampilan Environment details, Anda dapat mengklik Create Security Action di bagian atas halaman untuk membuat tindakan keamanan sebagai respons terhadap insiden tersebut.

Tampilan Detail insiden memiliki dua tab, Ringkasan dan Atribut. Atribut—juga dikenal sebagai dimensi—adalah pengelompokan data yang memungkinkan Anda melihat insiden dengan cara yang berbeda. Misalnya, atribut produk API memungkinkan Anda melihat data insiden menurut produk API.

Tab Ringkasan dan Atribut dijelaskan di bawah.

Mengarsipkan insiden

Untuk membantu membedakan antara insiden yang telah diselidiki dan yang belum, Anda dapat mengarsipkan insiden yang tidak lagi memerlukan perhatian Anda. Mengarsipkan insiden akan menyembunyikannya dari daftar Environment details > Incidents (asalkan Sertakan insiden yang diarsipkan tidak dipilih). Pengarsipan tidak menghapus insiden: Anda selalu dapat membatalkan pengarsipannya jika Anda berubah pikiran.

Untuk mengarsipkan insiden, pilih Arsipkan di bagian atas tampilan Detail insiden. Setelah itu, label tombol Arsipkan akan berubah menjadi Batalkan pengarsipan. Tombol Batalkan pengarsipan.

Batalkan pengarsipan insiden

Untuk membatalkan pengarsipan insiden yang diarsipkan:

  1. Di tampilan Environment details > Incidents, klik ikon di samping insiden yang ingin Anda batalkan pengarsipannya: Ikon yang diarsipkan.
  2. Di bagian atas daftar insiden, klik Batalkan pengarsipan.

Atau, jika Anda berada di tampilan Incident details untuk insiden tersebut, klik Unarchive.

Tab Overview dan Attributes

Ringkasan

Panel Overview menampilkan informasi dasar tentang insiden, termasuk hal berikut:

  • Nama insiden: Nama insiden.
  • Tingkat risiko: Tingkat risiko insiden.
  • Proxy yang terpengaruh: Jumlah proxy yang terpengaruh oleh insiden. Klik Lihat proxy untuk melihat proxy yang terpengaruh.
  • Durasi: Durasi insiden, dari peristiwa pertama hingga terakhir.
  • Peristiwa: Menampilkan grafik deret waktu dari peristiwa dalam insiden. Untuk setiap titik waktu dalam grafik, nilai y yang sesuai adalah jumlah total peristiwa dalam jangka waktu singkat sekitar waktu itu. Jika Anda mengarahkan kursor ke sebuah titik dalam grafik, jumlah peristiwa dalam jangka waktu terakhir akan ditampilkan di bawah Nilai. Anda dapat melihat nilai periode waktu yang berubah dengan menggerakkan kursor ke kiri atau kanan dan mengamati perubahan nilai.

    Panel Events juga menampilkan informasi tentang peristiwa berikut:

    • Peristiwa pertama terdeteksi: Tanggal dan waktu peristiwa pertama dalam insiden terdeteksi.
    • Peristiwa terakhir terdeteksi: Tanggal dan waktu peristiwa terakhir dalam insiden terdeteksi.
    • Total traffic insiden: Jumlah total peristiwa yang terkait dengan insiden.

    Untuk melihat alamat IP yang terkait dengan insiden tersebut, klik Lihat Semua Alamat IP.

    Catatan: Kolom ini akan menampilkan alamat IP unik, meskipun jika ada lebih dari satu insiden yang sesuai dengan alamat IP yang sama.
  • Aturan teratas terdeteksi: Menampilkan hingga lima grup aturan teratas yang terdeteksi, termasuk informasi berikut:
    • Aturan dominan: Aturan deteksi paling signifikan yang dipicu oleh insiden.
    • Peristiwa API aturan dominan: Jumlah peristiwa API yang diberi tag oleh aturan dominan.
    • Total aturan yang terdeteksi: Jumlah aturan deteksi yang dipicu oleh insiden.

    Untuk melihat semua aturan, klik Lihat Semua Aturan di bagian bawah kartu.

  • Negara teratas yang terdeteksi: Peta yang menampilkan negara yang merupakan sumber peristiwa dalam insiden. Di bawah peta terdapat diagram yang menampilkan hingga lima negara tersebut dan persentase total traffic yang berasal dari negara-negara tersebut.

    Catatan: Jika negara asal peristiwa tidak dapat ditentukan, peta akan menampilkan not set.

    Untuk melihat semua negara, klik Lihat Semua Negara di bagian bawah kartu.

Atribut

Tampilan Attributes memungkinkan Anda melihat perincian detail insiden. Atribut—juga dikenal sebagai dimensi—adalah pengelompokan data yang memungkinkan Anda melihat insiden dengan cara yang berbeda. Misalnya, atribut produk API memungkinkan Anda melihat data insiden menurut produk API.

Untuk melihat Attributes, pilih Attributes di bagian atas tampilan Incident details.

Panel atribut dengan produk API dipilih.

Panel kiri menampilkan semua atribut dan jumlah nilai yang berbeda untuk setiap atribut. Anda dapat memilih atribut untuk melihat detail insidennya.

Gambar di atas menunjukkan tampilan Attributes dengan API Products dipilih. Panel API Products menampilkan grafik persentase panggilan API yang dilakukan untuk setiap produk API. Lihat Apa artinya jika suatu atribut memiliki nilai (not set) untuk mengetahui informasi tentang nilai (not set).

Kolom Filter memungkinkan Anda memfilter data yang ditampilkan di panel untuk atribut menurut berbagai properti.

Secara umum, panel untuk atribut menampilkan tabel yang menampilkan data insiden berdasarkan nilai atribut tersebut. Kolom tabel meliputi:

  • Total panggilan yang dilakukan: Jumlah total panggilan API.
  • % panggilan: Persentase semua panggilan untuk setiap nilai atribut.
  • Waktu deteksi terakhir: Terakhir kali peristiwa yang terkait dengan insiden terdeteksi.

Untuk beberapa atribut, tabel memiliki kolom tambahan.

Anda dapat memilih dari atribut berikut di panel sebelah kiri:

  • Produk API: Lihat detail insiden menurut produk API.
  • Kunci aplikasi: Melihat detail insiden berdasarkan kunci aplikasi—juga dikenal sebagai kunci API atau kunci konsumen—ID untuk klien.
  • Negara/Wilayah: Lihat detail insiden berdasarkan negara dan wilayah tempat peristiwa dalam insiden berasal.
  • Developer: Lihat detail insiden dari developer— orang-orang yang menggunakan API Anda untuk mengembangkan aplikasi. Selain tiga kolom yang dijelaskan di atas, Developer juga memiliki kolom berlabel Apps, yang memberikan jumlah aplikasi untuk setiap developer.
  • Aplikasi developer: Lihat detail insiden menurut aplikasi.

    Selain tiga kolom yang dijelaskan di atas, Aplikasi developer juga memiliki kolom Developer, yaitu orang yang membuat aplikasi.

  • Alamat IP: Melihat detail insiden berdasarkan alamat IP yang merupakan sumber peristiwa dalam insiden. Klik Lihat Semua Alamat IP untuk melihat alamat IP. Catatan: Panel Alamat IP menampilkan alamat IP unik, meskipun ada lebih dari satu insiden yang sesuai dengan alamat IP yang sama.

    Alamat IP akan menampilkan kolom berikut:

    • Alamat IP: Alamat IP untuk insiden.
    • Lokasi: Lokasi alamat IP.
    • Traffic yang terdeteksi: Jumlah total permintaan dari alamat IP.
    • % panggilan: Persentase permintaan dari alamat IP dari semua panggilan di lingkungan.
    • Peristiwa pertama terdeteksi: Saat pertama kali peristiwa terdeteksi dalam insiden.
    • Peristiwa terakhir terdeteksi: Terakhir kali peristiwa terdeteksi dalam insiden.
  • Proxy: Melihat detail insiden melalui proxy.
  • Kode respons: Melihat detail insiden berdasarkan kode respons.
  • Aturan: Melihat detail insiden dengan aturan deteksi.
  • Agen pengguna: Lihat detail insiden berdasarkan agen pengguna—agen software yang melakukan panggilan API.

Apa artinya jika suatu atribut memiliki nilai (not set)?

Terkadang, atribut memiliki nilai (not set). Ada beberapa alasan hal ini dapat terjadi. Pertama, Apigee mungkin tidak memiliki cukup informasi untuk menentukan nilai atribut—misalnya, negara asal panggilan API. Atau, atribut tersebut mungkin tidak berlaku dalam kasus tertentu. Lihat Apa yang dimaksud dengan nilai entitas analisis "(not set)"? untuk mengetahui informasi selengkapnya.

Traffic yang terdeteksi

Tampilan Traffic yang Terdeteksi menampilkan informasi tentang insiden yang Peristiwa terakhirnya terdeteksi berada dalam 14 hari terakhir. Lihat Batasan insiden dan data yang ditampilkan untuk mengetahui informasi selengkapnya tentang rentang waktu data yang ditampilkan di UI.

Untuk membuka tampilan Traffic yang Terdeteksi, pilih Traffic yang Terdeteksi di tampilan Detail lingkungan, seperti yang ditunjukkan di bawah:

Tampilan penyalahgunaan.

Tampilan Traffic yang Terdeteksi menampilkan data untuk:

  • Total traffic: Total jumlah permintaan.
  • Traffic yang terdeteksi: Jumlah permintaan dari alamat IP dari penyalahgunaan yang terdeteksi.
  • % traffic yang terdeteksi: Persentase yang mendeteksi traffic berasal dari total traffic.
  • Jumlah alamat IP yang terdeteksi: Jumlah alamat IP yang berbeda yang sesuai dengan penyalahgunaan yang terdeteksi. Beberapa permintaan dari alamat IP yang sama hanya akan dihitung sekali.

Tampilan Traffic yang Terdeteksi juga menampilkan tabel yang mencantumkan detail setiap alamat IP yang terkait dengan penyalahgunaan yang terdeteksi. Perlu diperhatikan bahwa secara default, alamat IP tidak ditampilkan untuk alasan privasi. Untuk melihatnya, pilih Display all IP addresses di bagian atas tabel.

Setiap baris tabel alamat IP menampilkan:

  • Alamat IP: Alamat IP dari penyalahgunaan yang terdeteksi. Klik Lihat untuk melihat alamat tersebut.
  • Location: Lokasi alamat IP.
  • Kunci aplikasi teratas: Kunci aplikasi yang paling sering digunakan dalam permintaan dari alamat IP. Catatan: kunci aplikasi adalah istilah lain untuk kunci API.
  • Aturan pendeteksian: Daftar semua aturan deteksi yang dipicu oleh penyalahgunaan.
  • URL teratas: URL yang menerima permintaan terbanyak dari alamat IP.
  • Traffic yang terdeteksi: Jumlah permintaan dari alamat IP.
  • % traffic yang terdeteksi: Persentase permintaan dari alamat IP dari semua permintaan di lingkungan.
  • Peristiwa pertama terdeteksi: Saat pertama kali peristiwa terdeteksi dalam permintaan dari alamat IP selama rentang waktu yang dipilih di bagian atas halaman Skor Keamanan.
  • Peristiwa terakhir terdeteksi: Terakhir kali peristiwa terdeteksi dalam permintaan dari alamat IP selama rentang waktu yang dipilih di bagian atas halaman Skor Keamanan.

Batasan pada deteksi penyalahgunaan

Deteksi penyalahgunaan memiliki batasan berikut.

  • Insiden dengan Peristiwa terakhir terdeteksi lebih dari 14 hari sebelumnya tidak ditampilkan di UI Deteksi penyalahgunaan. Lihat Batasan insiden dan data yang ditampilkan untuk informasi selengkapnya tentang insiden dan data yang ditampilkan di UI.
  • Saat Anda pertama kali mengaktifkan Advanced API untuk organisasi, atau mengaktifkannya kembali, akan ada penundaan saat peristiwa dikelompokkan ke dalam insiden. Setelah itu, akan ada penundaan berkala.
  • Halaman atribut Detail insiden dapat memerlukan waktu singkat untuk dimuat untuk organisasi dengan traffic dalam jumlah besar.