本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
您可以透過 Advanced API Security 快訊,針對與 API 安全性相關的事件建立快訊,例如安全性分數變更或偵測到 API 濫用事件。您可以使用 Cloud Monitoring 建立快訊。您可以設定快訊,在快訊觸發時透過簡訊、電子郵件或其他管道接收通知。
如要進一步瞭解如何建立快訊,請參閱「建立指標閾值快訊政策」一文;如要瞭解如何管理產生的快訊,請參閱「以指標為基礎的快訊政策事件」一文。
必要的角色
如要在 Cloud Monitoring 中設定快訊和通知管道,您必須獲派下列角色:
roles/monitoring.alertPolicyEditorroles/monitoring.notificationChannelEditor
限制
提醒功能有下列限制:
- 所有 Apigee 訂閱方案的警報政策數量上限為 500 項。
- 指標資料會儲存 6 週。
- 指標門檻值條件評估的時間範圍上限為 23 小時 30 分鐘。
- 從觸發快訊的事件發生到快訊建立並傳送通知,最多可能會有 4 分鐘的延遲。
如需快訊限制的完整清單,請參閱「快訊限制」。
以下各節提供範例,說明如何建立快訊。
範例:為 Proxy 安全性分數下降建立快訊 (風險評估第 1 版)
這個範例會在Proxy 安全性分數低於指定門檻時建立快訊。如要建立快訊,請按照下列步驟操作:
在 Google Cloud 控制台中,依序前往「Monitoring」(監控) >「Alerting」(快訊) >「Policies」(政策) >「Create alerting policy」(建立快訊政策) 頁面。
- 按一下「選取指標」。
- 取消選取「僅顯示活躍的資源和指標」。
注意:如果貴機構沒有近期 API 流量資料,除非取消選取這個選項,否則系統不會顯示下一個步驟中的指標。
- 選取指標,步驟如下:
- 選取「Apigee API Security Profile Environment Association」(Apigee API 安全性設定檔環境關聯)。
- 在右側開啟的窗格中,選取「安全性」。
- 在右側的下一個窗格中,選取「Apigee API proxy 的安全性分數」。
- 按一下 [套用]。
- (選用) 如要限制快訊的資料,例如指定環境,
可以按照下列步驟建立篩選器:
- 在「新增篩選器」>「新篩選器」下方,按一下「篩選器」欄位,然後選取要篩選的資源標籤,例如 env。
- 在「比較子」欄位中,選取比較子,例如「=」。
- 在「Value」(值) 欄位中,選取資源標籤的值,例如環境名稱。
使用這個篩選器後,只有通過篩選條件的資料才會觸發快訊。 如需可用篩選器的清單,請參閱「篩選器」。
- 在「Transform data」(轉換資料) 下方的「Rolling window function」(滾動週期函式) 欄位,選取「sum」(總和)。
- 點選「下一步」。
- 在「設定快訊觸發條件」窗格中,設定下列項目:
- 在「條件類型」下方,選取「門檻」。
- 在「快訊觸發條件」下方,選取「任何時間序列違反條件時」。
- 在「Threshold position」(門檻位置) 中選取「Below threshold」(低於門檻)。
- 在「Threshold value」(門檻值) 欄位中,輸入會觸發快訊的門檻,例如 600。
- 點選「下一步」。
- 在「設定通知」欄位中,按一下「通知管道」欄位,然後選取通知管道,例如簡訊或電子郵件。如果尚未設定任何管道,請按一下「管理通知管道」,然後新增一或多個管道。
- 按一下 [確定]。
- 在「Documentation」(說明文件) 欄位中,輸入要隨通知傳送的任何文字, 例如觸發快訊的原因說明。舉例來說,您可以輸入「安全分數低於 600 分」。
- 在「為警告政策命名」下方,輸入警告政策的名稱。
- 按一下「下一步」,然後查看快訊政策的詳細資料。
- 如果一切都沒問題,請按一下「建立政策」,建立快訊政策。
範例:針對偵測規則建立快訊,以便在偵測到的濫用流量增加時收到通知
這個範例說明如何建立快訊,當偵測到濫用流量的要求數量超過任何單一偵測規則的指定門檻時,系統就會發出快訊。如要建立快訊,請按照下列步驟操作:
在 Google Cloud 控制台中,依序前往「Monitoring」(監控) >「Alerting」(快訊) >「Policies」(政策) >「Create alerting policy」(建立快訊政策) 頁面。
- 按一下「選取指標」。
- 取消選取「僅顯示活躍的資源和指標」。
注意:如果貴機構沒有最近的 API 流量資料,除非取消選取這個選項,否則系統不會顯示下一個步驟中的指標。
- 選取指標,步驟如下:
- 選取「Apigee API Security 偵測規則」。
- 在右側開啟的窗格中,選取「安全性」。
- 在右側的下一個窗格中,選取「Apigee API Security detected request count by rule」(Apigee API Security 偵測到的要求數 (依規則))。
- 按一下 [套用]。
- (選用) 如要限制快訊的資料,例如指定環境,
可以按照下列步驟建立篩選器:
- 在「新增篩選器」>「新篩選器」下方,按一下「篩選器」欄位,然後選取要篩選的資源標籤,例如 env。
- 在「比較子」欄位中,選取比較子,例如「=」。
- 在「Value」(值) 欄位中,選取資源標籤的值,例如環境名稱。
使用這個篩選器時,只有通過篩選器條件的資料 (例如環境中的資料) 才會觸發快訊。如需可用篩選器清單,請參閱「篩選器」。
- 在「Transform data」(轉換資料) 下方的「Rolling window function」(滾動週期函式) 欄位,選取「sum」(總和)。
- 點選「下一步」。
- 在「設定快訊觸發條件」窗格中,設定下列項目:
- 在「條件類型」下方,選取「門檻」。
- 在「快訊觸發條件」下方,選取「任何時間序列違反條件時」。
- 在「門檻位置」下方,選取「高於門檻」。
- 在「Threshold value」(門檻值) 欄位中,輸入會觸發快訊的門檻,例如 100。
- 點選「下一步」。
- 在「設定通知」欄位中,按一下「通知管道」欄位,然後選取通知管道,例如簡訊或電子郵件。如果尚未設定任何管道,請按一下「管理通知管道」,然後新增一或多個管道。
- 按一下 [確定]。
- 在「Documentation」(說明文件) 欄位中,輸入要隨通知傳送的任何文字, 例如觸發快訊的原因說明。舉例來說,您可以輸入「Detected abuse traffic exceeded 100 for $(resource.label.env).」這會使用 $(resource.label.env) 標籤,顯示觸發快訊的環境資料。
- 在「為警告政策命名」下方,輸入警告政策的名稱。
- 按一下「下一步」,然後查看快訊政策的詳細資料。
- 如果一切都沒問題,請按一下「建立政策」,建立快訊政策。
範例:建立風險評估監控條件監控快訊 (風險評估 v2)
這個範例會為風險評估監控條件建立新的 Cloud Monitoring 快訊政策,當任何受監控的 Proxy 安全分數低於特定門檻時,就會發出快訊。
- 建立監控條件。
- 請按照「建立監控快訊」一文中的操作說明建立新的監控快訊。頁面載入時,Apigee 會為您預先填入部分欄位。
- 如要自訂警告政策,可以變更相關設定。請按照「建立快訊政策」一文中的指引操作。您必須提供快訊政策的名稱。
- 按一下「建立政策」即可儲存新的快訊政策。
安全性快訊指標
下表說明可用於建立安全性快訊的指標:
| 資源 | 指標 | 說明 | 支援的篩選器 |
|---|---|---|---|
| Apigee 環境 | Apigee API Security 要求次數:apigee.googleapis.com/security/request_count |
自上次取樣以來,進階 API 安全性處理的 API 要求數。 | 位置、機構、環境、Proxy |
| Apigee 環境 | Apigee API Security 偵測到的要求數量:apigee.googleapis.com/security/detected_request_count |
自上次取樣以來,Advanced API Security 濫用偵測功能偵測到的 API 要求數。 | 位置、機構、環境、Proxy |
| Apigee API Security 偵測規則 | Apigee API Security 偵測到的要求次數 (依規則):apigee.googleapis.com/security/detected_request_count_by_rule |
自上次取樣以來,Advanced API Security 濫用行為偵測功能偵測到的 API 要求數量,並依偵測規則分組。 | location、org、env、proxy、detection_rule |
| Apigee API 安全事件 | Apigee API Security 事件要求計數:apigee.googleapis.com/security/incident_request_count |
偵測到屬於 API 安全事件的 API 要求數量。系統每小時會測量一次這個值。 | 位置、機構、環境、Proxy |
| Apigee API 安全事件 | 依偵測規則劃分的 Apigee API Security 事件要求計數:apigee.googleapis.com/security/incident_request_count_by_rule |
偵測到的 API 要求數量,這些要求屬於 API 安全事件,並依偵測規則分組。系統每小時會測量一次這個值。 | location、org、env、incident_id、detection_rule |
| Apigee API 安全性設定檔環境關聯 | Apigee API 來源的安全分數:apigee.googleapis.com/security/source_score |
適用於風險評估第 1 版。根據 Advanced API Security 來源評估,Apigee API Proxy 目前的安全分數。 這項值至少每 3 小時會測量一次。 | 位置、機構、環境、設定檔 |
| Apigee API 安全性設定檔環境關聯 | Apigee API Proxy 的安全分數:apigee.googleapis.com/security/proxy_score |
適用於風險評估第 1 版。根據 Advanced API Security Proxy 評估,Apigee API Proxy 目前的安全分數。 這項值至少每 3 小時會測量一次。 | 位置、機構、環境、設定檔、Proxy |
| Apigee API 安全性設定檔環境關聯 | Apigee API 目標的安全分數:apigee.googleapis.com/security/target_score |
適用於風險評估第 1 版。根據 Advanced API Security 目標評估,Apigee API Proxy 目前的安全分數。 這項值至少每 3 小時會測量一次。 | location、org、env、profile、target_server |
| Apigee API 安全性設定檔環境關聯 | Apigee 環境的安全分數:apigee.googleapis.com/security/environment_score |
適用於風險評估第 1 版。根據來源、Proxy 和目標的 Advanced API Security 評估結果,計算 Apigee 環境目前的總體安全分數。這項值至少每 3 小時會測量一次。 | 位置、機構、環境、設定檔 |
| Apigee API 安全性評估結果 | 安全性分數:apigee.googleapis.com/security/score |
適用於風險評估第 2 版。已部署資源目前的安全性分數,以安全性設定檔為準。 | location、org、scope、resource、security_profile |
篩選器
| 篩選標籤 | 說明 |
|---|---|
| 位置 | 資源位置:一律為全域。 |
| 組織 | Apigee 機構名稱 |
| env | Apigee 環境名稱 |
| 資料 | Apigee API Security 設定檔名稱 |
| proxy | Apigee API Proxy 名稱 |
| target_server | Apigee 目標伺服器名稱 |
| detection_rule | Apigee API 安全性偵測規則名稱 |
| 範圍 | 如果是風險評估 v2,這是與評估資源相關聯的範圍 ID。 |
| 資源 | 如果是風險評估第 2 版,則為受評估資源的 ID。 |
| security_profile | 如果是風險評估 v2,這是用於評估資源的安全設定檔 ID。 |