このトピックでは、APIセキュリティページでリスク検出データとセキュリティイベントデータを表示および管理する方法について説明します。 ページでは、リスク統計、イベントタイプ、イベント詳細、API詳細の表示、高度な条件に基づくデータの検索、ステータスの変更、さらに分析するためのログのエクスポートなど、さまざまな操作を実行できます。
1. リスク検出データの表示
リスクとは、開発、管理、または構成の欠陥によって引き起こされるAPIセキュリティリスクまたはセキュリティ脅威を指します。 セキュリティリスクは、セキュリティイベントとは異なります。 セキュリティリスクは、攻撃が開始されたかどうかに関係なく検出できます。 セキュリティイベントは、攻撃が開始され、アラートが生成された場合にのみ検出できます。 APIセキュリティページの [リスク検出] タブで、リスク検出データを表示できます。 または、[概要] タブの [危険なサイトの統計] セクションの右上隅にある [詳細] をクリックして、[リスク検出] タブに移動します。
[リスク検出] タブのモジュール
API リクエストセキュリティ ページの リスク検出 タブで、APIリスク検出の分析統計とサポートされているフィルター条件を表示できます。 [リスク検出] タブは、リスク統計、リスクタイプ、およびAPIリスクの詳細のモジュールで構成されています。
リスク統計
このモジュールは、[リスク影響統計] および [リスク状況統計] セクションをサポートしています。 デフォルトの統計期間は前年です。
リスク影響統計セクションには、危険なドメイン名と危険なAPI、今日の高リスクと新しいイベント、今日の中リスクと新しいイベント、今日の低リスクと新しいイベントが表示されます。 アイテムの横にある番号をクリックすると、[APIリスクの詳細] セクションで詳細を表示できます。
[リスクステータスの統計] セクションには、次の項目が表示されます。 項目の下の番号をクリックすると、[APIリスクの詳細] セクションで詳細を表示できます。
リスクタイプ
このモジュールは、リスクのタイプと各タイプのリスク数を表示します。 リスクタイプをクリックすると、[APIリスクの詳細] セクションで詳細を表示できます。
APIリスクの詳細
このモジュールでは、[APIリスクの詳細] セクションでAPIリスクを検索できます。 次のいずれかの方法を使用できます。
基本検索
[APIリスクの詳細] セクションのリストの上にある
アイコンをクリックして、ドロップダウンリストを展開します。 ドロップダウンリストで、API 操作 または [リスクアイテムID] を選択します。 次に、API名またはリスクIDを入力し、[検索] をクリックしてAPIリスクを検索します。 ファジー検索がサポートされています。 高度な検索
[詳細] をクリックして、時間範囲、リスクレベル、ステータス、目的、ドメイン名、タイプなどの高度な検索条件を表示します。 条件を設定したら、[検索] をクリックしてAPIリスクを検索します。 設定できる検索条件を次の表に示します。
検索条件 | 説明 |
表示設定 | リストの |
時間範囲 | デフォルトの時間範囲は30日です。 時間範囲を30日に設定した場合、システムは現在の日付を除いて過去30日以内に生成されたデータを検索し、システムが検索を開始する前日に生成されたデータも検索します。 また、過去15分、過去30分、過去1時間、過去24時間、今日、昨日、または7日を選択して、データをすばやく検索することもできます。 指定できるカスタム時間範囲は、10分の精度をサポートします。 |
リスクレベル | 複数のオプションを選択できます。 |
Status | 複数のオプションを選択できます。 |
目的 | 複数のオプションを選択できます。 |
ドメイン名 | 選択できるオプションは1つだけです。 |
タイプ | 選択できるオプションは1つだけです。 |
右上隅にあるアイコンをクリックして、リストに表示するフィールドを指定します。 リスクタイプの詳細については、APIセキュリティモジュールで検出できるAPIリスクの種類は何ですか?
APIリスクの表示と管理
APIリスクを検索した後、次の操作を実行してAPIリスクを表示および管理できます。
APIリスクのステータスの変更
[ステータス] 列の
アイコンをクリックします。 [ModifyRisk Status] ダイアログボックスで、使用するステータスを選択し、[OK] をクリックします。 APIリスクのAPI詳細の表示
API列のリスクのソースAPIをクリックします。 APIの詳細パネルで、APIの詳細を表示します。 APIの詳細パネルの詳細については、「APIの詳細」をご参照ください。
APIリスクのリスク詳細の表示
[操作] 列の [詳細の表示] をクリックします。 表示されるパネルで、次の情報を表示できます。
基本情報
API、リスクアイテムID、最初に検出された日時、リスクの説明、提案、ドメイン名、目的などの基本情報を表示できます。 APIのリスクステータスも表示できます。
APIリスクステータスを変更できます。
APIリスクステータスは、[確認済み] 、[確認済み] 、[修正済み] 、[修正済み] 、または [無視] に変更できます。 [備考] フィールドに備考を入力することもできます。
リスク検証
[リスク検証] タブで、サンプルリクエストを表示できます。 次の操作を実行できます。
[リスク検証] タブで、サンプルリクエストを表示します。
[ブラウザ] をクリックして、ブラウザで新しいページを開きます。 次に、GETリクエストを表示できます。
[コマンドライン] をクリックして、サンプルリクエストをコマンドラインに変換します。 [コピー] をクリックして、リクエストに手動でアクセスします。
[コードのコピー] をクリックして、サンプルリクエストをコピーします。
操作レコード
[操作記録] タブで、リスクの処理記録を表示できます。
APIリスクデータのエクスポート
Alibaba Cloudアカウントを使用してデータをエクスポートする必要があります。
[APIリスクの詳細] セクションのリストの右上隅にある
アイコンをクリックします。 APIセキュリティモジュールは、エクスポートタスクを作成します。 [APIセキュリティ] ページの右上隅にある [レコードのエクスポート] をクリックします。 ダウンロードするファイルを見つけて、[操作] 列の [ダウンロード] をクリックします。
検索条件を指定した場合、エクスポートされたファイルには条件を満たすデータのみが格納されます。 検索条件を指定しない場合、エクスポートされたファイルにはすべてのデータが含まれます。
エクスポートされたファイルは、Web Application Firewall (WAF) コンソールに3日間一時的に保存されます。 3日後、ファイルをダウンロードできなくなります。 エクスポートしたファイルをタイムリーにダウンロードすることを推奨します。
ダウンロードしたファイルは、ブラウザのデフォルトの場所に保存されます。 デフォルトの場所でファイルを表示できます。
2. セキュリティイベントデータの表示
API呼び出し中にエラーが発生するか、攻撃が開始されると、セキュリティイベントが生成されます。 例えば、ログオンインターフェイスに対してブルートフォース攻撃が開始されるか、またはSMS送信インターフェイスを悪用することによってSMSフラッディング攻撃が開始されると、セキュリティイベントが生成される。 組み込みイベントはIPアドレスによって検出されます。 同じCIDRブロック、API、およびタイプのイベントが同じ日に生成された場合、イベントは集約され、イベントに対して1つのアラートが生成されます。 APIセキュリティページの [セキュリティイベント] タブで、セキュリティイベントデータを表示できます。 または、[概要] タブの [攻撃されたサイトの統計] セクションの右上隅にある [詳細] をクリックして、[セキュリティイベント] タブに移動します。
[セキュリティイベント] タブのモジュール
API リクエストセキュリティ ページの [セキュリティイベント] タブで、API攻撃イベントの分析統計とサポートされているフィルター条件を表示できます。 [セキュリティイベント] タブは、攻撃の影響統計、イベントタイプ、APIセキュリティイベントの詳細のモジュールで構成されています。
攻撃の影響統計
このモジュールには、[攻撃されたドメイン名] と [攻撃されたAPI] 、[高リスクイベント] と [今日の新しいイベント] 、[中リスクイベント] と [今日の新しいイベント] 、[低リスクイベント] と [今日の新しいイベント] の項目が表示されます。 アイテムの横にある番号をクリックすると、[APIセキュリティイベントの詳細] セクションで詳細を表示できます。 デフォルトの統計期間は前年です。
イベントタイプ
このモジュールは、イベントのタイプと各タイプのイベントの数を表示します。 イベントタイプをクリックすると、[APIセキュリティイベントの詳細] セクションで詳細を表示できます。
APIセキュリティイベントの詳細
このモジュールでは、[APIセキュリティイベントの詳細] セクションでAPIセキュリティイベントを検索できます。 次のいずれかの方法を使用できます。
基本検索
[APIセキュリティイベントの詳細] セクションのリストの上にある
アイコンをクリックして、ドロップダウンリストを展開します。 ドロップダウンリストで、API 操作 または [イベントID] を選択します。 次に、API名またはイベントIDを入力し、[検索] をクリックしてAPIセキュリティイベントを検索します。 ファジー検索がサポートされています。 高度な検索
[詳細] をクリックして、時間範囲、イベントレベル、ステータス、目的、ドメイン名、タイプなどの高度な検索条件を表示します。 条件を設定した後、[検索] をクリックしてAPIセキュリティイベントを検索します。 設定できる検索条件を次の表に示します。
検索条件 | 説明 |
表示設定 | リストの |
時間範囲 | デフォルトの時間範囲は30日です。 時間範囲を30日に設定した場合、システムは現在の日付を除いて過去30日以内に生成されたデータを検索し、システムが検索を開始する前日に生成されたデータも検索します。 また、過去15分、過去30分、過去1時間、過去24時間、今日、昨日、または7日を選択して、データをすばやく検索することもできます。 指定できるカスタム時間範囲は、10分の精度をサポートします。 |
イベントレベル | 複数のオプションを選択できます。 |
Status | 複数のオプションを選択できます。 |
目的 | 複数のオプションを選択できます。 |
ドメイン名 | 選択できるオプションは1つだけです。 |
タイプ | 選択できるオプションは1つだけです。 |
API呼び出しの目的の詳細については、APIセキュリティモジュールによって分類されるAPI呼び出しの目的は何ですか?
APIセキュリティモジュールで検出できるセキュリティイベントの詳細については、APIセキュリティモジュールで検出できる例外イベントの種類は何ですか。
APIセキュリティイベントの表示と管理
APIセキュリティイベントを検索した後、次の操作を実行してAPIセキュリティイベントを管理できます。
APIセキュリティイベントのステータスの変更
[ステータス] 列の
アイコンをクリックします。 [ModifyEvent Status] ダイアログボックスで、使用するステータスを選択し、[OK] をクリックします。 APIセキュリティイベントのAPI詳細の表示
API列のセキュリティイベントのソースAPIをクリックします。 APIの詳細パネルで、APIの詳細を表示します。 APIの詳細パネルの詳細については、「APIの詳細」をご参照ください。
APIセキュリティイベントの詳細の表示
[操作] 列の [詳細の表示] をクリックします。 表示されるパネルで、次の情報を表示できます。
基本情報
API、イベントID、ドメイン名などの基本情報を表示できます。 セキュリティイベントのステータスを表示することもできます。
セキュリティイベントのステータスを変更できます。
セキュリティイベントのステータスを [確認済み] 、[確認済み] 、または [無視] に変更できます。 [備考] フィールドに備考を入力することもできます。
イベントの詳細
[イベントの詳細] タブでは、攻撃元、開始時刻 /終了時刻、攻撃、イベントの説明、サンプルリクエストデータ、サンプルレスポンスデータ、および提案の情報を表示できます。
[ログの詳細] をクリックすると、セキュリティイベントのログの詳細が表示されます。
操作レコード
[操作記録] タブで、セキュリティイベントの処理記録を表示できます。
APIセキュリティイベントデータのエクスポート
Alibaba Cloudアカウントを使用してデータをエクスポートする必要があります。
[APIセキュリティイベントの詳細] セクションのリストの右上隅にある
アイコンをクリックします。 APIセキュリティモジュールは、エクスポートタスクを作成します。 [APIセキュリティ] ページの右上隅にある [レコードのエクスポート] をクリックします。 ダウンロードするファイルを見つけて、[操作] 列の [ダウンロード] をクリックします。
検索条件を指定した場合、エクスポートされたファイルには条件を満たすデータのみが格納されます。 検索条件を指定しない場合、エクスポートされたファイルにはすべてのデータが含まれます。
エクスポートされたファイルは、WAFコンソールに3日間一時的に保存されます。 3日後、ファイルをダウンロードできなくなります。 エクスポートしたファイルをタイムリーにダウンロードすることを推奨します。
ダウンロードしたファイルは、ブラウザのデフォルトの場所に保存されます。 デフォルトの場所でファイルを表示できます。