如何设置API安全_Web应用防火墙-阿里云帮助中心

API安全模块基于内置检测机制和自定义检测策略，自动梳理已接入Web应用防火墙（Web Application Firewall，简称WAF）防护的业务的API资产，检测API风险（例如未授权访问、敏感数据过度暴露、内部接口泄露等），并通过报表还原API异常事件，提供详细的风险处理建议和API生命周期管理参考数据，帮助您实现API安全防护。

使用限制

通过ALB、MSE或FC接入WAF的防护对象暂不支持该功能。

功能介绍

API安全模块为您提供下表描述的功能。

说明

API安全所有的计算和分析均离线完成，不会主动探测接口，对业务运行无任何影响。

功能	说明
资产总览及生命周期管理	API安全通过离线分析业务访问日志，自动检测流量中存在的所有API，并支持根据接口特征，自动识别API业务用途。您可以通过API概览查看API安全事件、API风险、API资产总览、API资产列表详情。
风险检测	检测API存在的未授权访问、敏感数据暴露等各类安全风险，并提供详细的风险分析及安全处置建议。
安全事件检测	监控分析API的调用行为，及时发现各类异常访问或攻击行为。
自定义API安全策略	在内置检测机制的基础上，API安全支持自定义符合业务特征的检测策略，使得识别出的API资产更符合您的实际业务情况，进一步提高API安全检测的准确率与召回率。
自定义生效对象	支持防护对象级别开启API安全，灵活控制API安全的生效对象。

通过单击以下问题，了解更多关于API安全的能力介绍：

API安全如何划分API业务用途？
- 登录认证
- 手机验证码认证
- 数据保存
- 数据查询
- 数据导出
- 数据分享
- 数据更新
- 数据删除
- 数据增加
- 下线注销
- 信息发送
- 信息认证
- 邮件信息发送
- 邮箱验证码认证
- 账号密码认证
- 账号注册

API安全支持检测哪些敏感数据？

敏感数据级别	敏感数据类型
非敏感数据（N）	不涉及。
特级敏感数据（L0）	与一级敏感数据（L1）或二级敏感数据（L2）相同。单次响应中一级敏感数据（L1）较多时，升级为特级敏感数据（L0）。单次响应中二级敏感数据（L2）较多时，升级为一级敏感数据（L1）或特级敏感数据（L0）。
一级敏感数据（L1）	身份证、储蓄卡、手机号、护照号、港澳通行证、车牌号、军官证、身份证（中国香港）、身份证（马来西亚）、身份证（新加坡）、信用卡、SSN、JDBC连接串、PEM证书、KEY私钥、Linux-Passwd文件、Linux-Shadow文件。
二级敏感数据（L2）	姓名（简体中文）、地址（中国内地）、邮箱、电话号码（中国内地）、姓名（中文繁体）、姓名（英文）、电话号码-美国、宗教信仰、IP地址、MAC地址、IPv6地址、GPS位置、IMEI、营业执照号码、税务登记证号码、组织机构代码、统一社会信用代码、车辆识别代码。
三级敏感数据（L3）	性别、民族、省份（中国内地）、城市（中国内地）、未校验的身份证号、SwiftCode、日期、URL链接。

API安全支持检测哪些API风险类型？

风险类型	说明
疑似内部接口暴露	内部接口（例如用于内部办公、开发测试、运营管理的接口）暴露在公网。
缺乏访问限速机制	接口在应对高频访问时，缺少安全防护机制，可能导致暴力破解、恶意爬虫等。
敏感数据过度暴露	接口暴露过多的敏感数据，可能导致大规模数据泄漏。
缺乏异常处理机制	检测到程序报错信息，可能存在SQL注入、泄漏应用配置等风险。
缺乏访问控制机制	接口对不符合日常基线的访问（例如异常地区访问）缺乏控制机制。
敏感数据接口缺乏鉴权机制	接口缺少鉴权机制，可以被未授权的访问者访问，用于获取敏感数据。

API安全支持检测哪些异常事件类型？

事件类型	说明
来自异常地区的接口调用	例如，日常访问该接口的请求集中在北京地区，某天发现来自美国的请求调用了该接口。
来自异常源IP的接口调用	例如，日常访问该接口的IP集中在192.0.XX.XX，某天发现192.1.XX.XX调用了该接口。
来自异常终端的接口调用	例如，日常访问该接口的客户端主要是浏览器，某天发现有请求通过Python脚本调用了该接口。
来自异常时段的接口调用	例如，日常访问该接口的请求活跃时间集中在09:00~17:00，某天发现有请求在03:00调用了该接口。
针对登录接口的暴力破解	有攻击者暴力破解了账号密码。
针对登录接口的撞库攻击	有攻击者批量登录，试图撞库。
未授权访问获取敏感信息	有调用者在未授权的情况下，访问接口获取了敏感数据。
过多的敏感数据获取	某调用者通过该接口获取了大量的敏感数据。
异常的批量注册行为	该接口上发生了大量账号注册行为，疑似垃圾注册。
异常的批量导出行为	该接口上发生了大量下载或导出文件的行为。
异常的高频访问行为	该接口被调用的频率远高于正常频率。
验证码暴力破解	该接口上发生了暴力破解验证码的行为。
短信接口资源滥用	短信发送接口被高频调用，导致短信资源被恶意消耗。
邮箱接口资源滥用	邮件发送接口被高频调用，可能遭受了邮件炸弹攻击。
遍历爬取接口数据	该接口上发生了遍历某个参数，高频爬取接口数据的行为。
不符合规范的接口调用	调用请求中的某个参数不符合接口参数规范，例如，正常情况下参数A是整数格式，但发现调用请求中的参数A使用了字符串格式。

前提条件

已开通中国内地的WAF 3.0实例。具体操作，请参见开通包年包月WAF 3.0、开通按量付费WAF 3.0。

步骤一：查看基础检测数据

包年包月实例默认开启基础检测，在开通API安全前，您可以通过基础检测，查看安全事件总览、资产总览和安全事件列表数据，帮助您了解您的API安全信息。如果您不希望了解相关数据，您也可以直接跳过该步骤。

说明

按量付费实例暂不支持基础检测功能。

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地）。
在左侧导航栏，选择防护配置 > 场景防护 > API安全。
在基础检测区域，查看基础检测数据。
- 安全事件总览：包括API安全事件总数、高危事件数、中危事件数和低危事件数。
- 资产总数：包括API资产总数、活跃API数、失活API数。
- 安全事件列表：通过卡片，查看安全事件的名称、API路径、域名、攻击源和产生时间。
如果您希望查看传输敏感数据API数，或查看安全事件的更多风险详情和处置建议，您可以开通API安全。具体操作，请参见步骤二：开通API安全。
如果您不希望进行基础检测，您也可以单击基础检测开关，关闭该功能。

步骤二：开通API安全

重要

API安全会检测符合指定特征的请求响应内容，用于判断API是否存在数据泄露风险。开通API安全，就意味着授权WAF进行相关分析。开通前，请根据实际业务评估是否开通。

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地）。
在左侧导航栏，选择防护配置 > 场景防护 > API安全。
开通API安全。
- 申请免费体验API安全
  说明
  - 每个阿里云账号可享受一次试用机会。如果您的阿里云账号已经试用过API安全功能，则不支持重复申请试用。
  - API安全的免费体验时长为开通免费试用后的7天内。免费体验期间生成的API安全分析数据仅供您在体验期间使用。体验结束后，如果您未购买正式版本，WAF不会保存相关数据。
  在API安全页面，单击申请体检。按照API安全解决方案试用申请页面的提示，填写试用申请信息并单击提交。
  阿里云工程师在收到您的申请后，将通过您提交的联系方式联系您，与您确认试用关事宜相。试用申请经审核通过后，您的WAF实例会自动开通API安全功能。
- 开通正式版API安全
  在API安全页面，单击立即开通。在立即开通面板，将API安全设置为开启，单击立即购买并完成支付。
开通API安全后，WAF实例将会自动检测业务请求中关联的API，分析API存在的风险和调用情况，并通过API安全页面向您展示分析结果。

步骤三：查看API安全数据

查看概览数据

在API安全页面的概览页签，查看API安全分析数据。

数据类型	说明
API安全事件	通过统计数据，介绍API安全事件的总数及其今日新增数，包括高危风险事件数、中危风险事件数、低危风险事件数。
API风险	介绍API风险的总数及其较昨日变化数，包括高危风险数、中危风险数、低危风险数。
API资产总览	通过统计数据，介绍API资产相关信息，包括： API资产总数、今日新增资产数、近七天趋势活跃API、今日新增活跃API数、近七天趋势失活API 新增API 机器请求API 跨境敏感数据请求API 敏感数据类型的分布
API资产列表	查看WAF检测发现的所有开放API列表，了解API的开放规模和访问热度等。 API资产列表包含以下信息： API：API接口地址。域名：API接口所属的域名。请求方法：API接口的调用方法。近30天调用量：近30天内的请求次数总和。敏感数据等级：根据敏感数据分级，设置敏感数据标签。更多信息，请参见API安全支持检测哪些敏感数据？。敏感数据类型：不同敏感数据分级，对应不同的敏感数据类型。更多信息，请参见API安全支持检测哪些敏感数据？。机器请求数：机器请求API的总访问量。跨境请求数：跨境敏感数据请求API的总访问量。服务对象：通过API接口的访问聚集度分析，分为三类：内部办公：面向内部员工提供服务的API接口。三方合作：面向第三方生态合作方提供的API接口。公共服务：面向互联网提供服务的API接口。业务用途：API安全按照业务类型，对检测发现的API设置功能标签。更多信息，请参见API安全如何划分API业务用途？。风险/事件：该接口所识别到的脆弱性风险以及攻击事件。首次发现时间：API接口首次被发现的时间。最近活跃时间：30天内API接口活跃时间。备注：用户可以备注接口对应的业务方等信息。您可以在API资产列表进行如下操作：设置API资产列表展示项单击图标，选择要在列表中展示的数据字段。搜索API资产高级搜索单击高级搜索，设置时间、敏感数据等级、敏感数据类型、活跃状态或关注状态等搜索条件。简单搜索在API资产列表上方的搜索框，单击图标，选择API或域名，并输入对应的API接口地址或所属域名。筛选API资产单击列表表头请求方法、服务对象、业务用途后的图标，选择要查看的类别。设置API排序单击列表表头近30天调用量、机器请求数、跨境请求数、风险/事件后的图标。关注API资产定位到目标API，单击关注列的图标。填写API备注信息定位到目标API，单击备注列的图标，填写备注信息后，单击图标。查看API资产对应的风险或事件详情定位到目标API，单击风险/事件列下的数字，在API风险详情列表，查看风险或时间详情。更多信息，请参见API风险详情。查看API资产详情单击目标API名称，在API详情面板，查看如下API详情：基本信息支持查看API、域名、请求方法、敏感数据类型、服务对象、业务用途、首次发现时间、最近活跃时间、备注信息等。支持修改备注信息。请求样例在请求样例页签，执行如下操作：单击复制代码，复制请求样例。查看请求参数类型、响应敏感信息样例。单击浏览器打开，直接使用浏览器打开GET请求。单击命令行，将请求样例转换为命令行。单击一键复制，手工访问该样例。风险及事件在风险及事件页签，单击风险检测或安全事件。定位到目标风险或事件，单击操作列的查看详情，在详情页处置风险。防护建议在防护建议页签，查看API调用基线曲线图和防护建议。您可以根据该建议，配置对应防护策略。流量分析支持查看该API资产的如下流量分析数据：近30天的总调用量、机器请求量、跨境请求量。近30天访问流量趋势。总流量、机器流量、跨境流量的Top 20访问源IP。 Referer统计、客户端类型统计、客户端类型统计数据。导出API数据仅阿里云主账号支持该功能。单击API列表右上角的图标，API安全将为您创建一个导出任务。单击API安全页面右上角的导出记录。定位到要下载的文件，单击操作列的下载。说明如果您设置了查询条件，则导出文件只包含查询到的数据，否则包含所有数据。导出文件生成后将暂存在WAF控制台，三天后会过期，过期文件不支持下载。请您在文件有效期内及时下载文件。下载的文件被保存在浏览器的默认保存位置，您可以前往默认保存位置查看下载的文件。

查看风险检测数据

在API安全页面的风险检测页签，查看API风险检测分析数据。

数据类型	用途及说明	支持的操作
API风险总览	通过统计数据，了解API风险总数及其较昨日变化数，包括高危风险数、中危风险数、低危风险数。	单击高危风险数、中危风险数或低危风险数后的立即查看，查看今日新增的风险。
API风险趋势	通过趋势图，了解最近30天内高风险、中风险、低风险API的风险变化趋势。	单击趋势图下的高风险、中风险、低风险，设置要展示的数据。
API风险类型统计	通过饼图，了解API风险类型统计数据。	单击饼图右侧具体风险类型，设置要展示的数据。
API风险详情	查看WAF检测发现的所有API风险详情，了解API的风险名称、等级等信息。 API风险列表包含以下信息：风险ID 风险类型：关于风险类型的更多信息，请参见API安全支持检测哪些API风险类型？。类型：API风险的来源类型，包括内置、自定义。 API：API风险涉及的资产。域名：API资产的所属域名。业务用途：API安全按照业务类型，对检测发现的API设置功能标签。更多信息，请参见API安全如何划分API业务用途？。首次发现时间状态：API风险状态包括：待确认、已确认、误报、忽略。安全事件：API风险涉及的安全事件数。	设置API风险列表展示项单击图标，选择要在列表中展示的数据字段。搜索API风险高级搜索单击高级搜索，设置时间、敏风险类型、风险等级、状态等搜索条件。简单搜索在API风险列表上方的搜索框，单击图标，选择API、域名或风险ID，并输入对应的API接口地址、所属域名或ID。筛选API风险单击列表表头类型、业务用途后的图标，选择要查看的风险类别。 API风险排序单击列表表头风险等级、首次发现时间、安全事件后的图标。修改API风险状态定位到目标风险ID，单击状态列的图标，选择要修改的风险状态后，单击确定。查看API风险详情定位到目标风险ID，单击操作列的查看详情。在风险详情页面，查看如下详情：基本信息支持查看API、风险ID、首次发现时间、最近活跃时间、风险描述、检测逻辑、处置建议、域名、业务用途、状态等。支持修改风险状态。风险状态设置为已确认、误报或忽略时，可填写备注信息；设置为忽略时，须填写忽略至的时间。风险验证在风险验证页签，执行如下操作：单击复制代码，复制请求样例。单击浏览器打开，直接使用浏览器打开GET请求。单击命令行，将请求样例转换为命令行。单击一键复制，手工访问该样例。操作记录记录风险事件的处置信息。查看风险涉及的API资产具体操作，请参见查看API资产详情。导出API数据具体操作，请参见导出API数据。

查看安全事件数据

在API安全页面的安全事件页签，查看API安全事件分析数据。

数据类型	用途及说明	支持的操作
API安全事件总览	通过统计数据，了解API安全事件的总数及其今日新增数，包括高危风险事件数、中危风险事件数、低危风险事件数。	单击高危风险事件数、中危风险事件数或低危风险事件数后的立即查看，查看昨日新增的安全事件。
API安全事件趋势	通过趋势图，了解最近30天内高风险事件、中风险事件、低风险事件的变化趋势。	单击趋势图下的高风险、中风险、低风险，设置要展示的数据。
API事件类型统计	通过饼图，了解API事件类型统计数据。	单击饼图右侧具体事件类型，设置要展示的数据。
API安全事件详情	查看WAF检测发现的所有API安全事件，了解API安全事件的名称、等级等信息。 API安全事件列表包含以下信息：事件ID 事件类型：关于安全事件类型的更多信息，请参见API安全支持检测哪些异常事件类型？。类型：API安全事件的来源类型，包括内置、自定义。 API：API安全事件涉及的资产。域名：API资产的所属域名。业务用途：API安全按照业务类型，对检测发现的API设置功能标签。更多信息，请参见API安全如何划分API业务用途？。攻击源IP 攻击次数事件发生时间状态：API事件状态包括：待确认、已确认、误报、忽略。关联风险	设置API安全事件列表展示项单击图标，选择要在列表中展示的数据字段。搜索API安全事件高级搜索单击高级搜索，设置时间、事件类型、事件等级、状态、攻击源IP等搜索条件。简单搜索在API安全事件列表上方的搜索框，单击图标，选择API、域名或事件ID，并输入对应的API接口地址、所属域名或ID。筛选API安全事件单击列表表头类型、业务用途后的图标，选择要查看的安全事件类别。 API安全事件排序单击列表表头风险等级、首次发现时间、攻击事件、事件时间后的图标。修改API安全事件状态定位到目标安全事件ID，单击状态列的图标，选择要修改的安全事件状态后，单击确定。查看API安全事件详情定位到目标安全事件ID，单击操作列的查看详情。在安全事件详情页面，查看如下详情：基本信息支持查看API、风险ID、域名、业务用途、状态等。支持修改安全事件状态。安全事件状态设置为已确认、误报或忽略时，可填写备注信息。事件详情在事件详情页签，执行如下操作：查看攻击源、攻击开始时间、结束时间、攻击次数、事件说明、请求数据、响应数据、处置建议等。单击日志详情，查看该事件的日志信息。操作记录记录安全事件的处置信息。导出API数据具体操作，请参见导出API数据。查看风险涉及的API资产具体操作，请参见查看API资产详情。

步骤四：配置API安全策略

在内置检测机制的基础上，API安全支持自定义符合业务特征的检测策略。您可以配置鉴权凭据特征策略、攻击检测模型策略、业务用途策略、API生命周期，使得识别出的API资产更符合您的实际业务情况，进一步提高API安全检测的准确率与召回率。

配置鉴权凭据特征策略

在API安全页面的策略配置＞鉴权凭据特征配置页签，单击新建策略。配置鉴权凭据的特征检测策略后，内置模型检测Request请求中是否包含指定的参数名，从而确认是请求否携带鉴权凭据，可以提升API安全对于未鉴权风险识别的准确率。

创建鉴权凭据特征策略的各配置项说明如下表所示。

配置项	说明
特征字符	设置用于鉴权凭据的参数名。例如，如果请求Body示例为 `xxx=123&yyy=456`，那么`xxx`和`yyy`就是参数名。
位置	设置要鉴权的位置。可选项： GET参数名 POST参数名 Cookie参数名
状态	设置鉴权凭据特征策略状态，默认开。

配置攻击检测模型策略

在API安全页面的策略配置＞攻击检测模型配置页签，单击新建策略。当内置模型无法满足需求时，可以根据业务情况来自定义攻击检测模型，从而提高异常事件的检出率。

配置攻击检测模型策略的各配置项说明如下表所示。

配置项	说明
规则名称	为该规则设置一个名称。支持中文和大小写英文字母，可包含数字、半角句号（.）、下划线（_）和短划线（-）。
匹配条件	设置该规则要匹配的请求特征。单击新增条件，添加一个条件。一个规则中最多可以添加五个条件。如果定义了多个条件，则只有当多个条件同时满足时，才算命中规则。每个条件由匹配字段、逻辑符和匹配内容组成。关于匹配字段和逻辑符的更多说明，请参见支持的匹配字段说明。
统计时长	设置攻击检测的统计时长，默认值为15分钟。
访问量	设置网站最大访问量，统计维度为API粒度。
去重统计	设置重复参数的告警统计规则。可选项：不统计：不对参数进行去重统计，即满足其他配置项要求时，则触发告警。统计指定参数：对指定参数进行去重统计，即在满足其他配置项要求的同时，如果指定参数不同取值的个数超过指定阈值，则触发告警。参数位置：设置去重的参数位置，可选项：GET参数、POST参数。参数名称：设置去重的参数名称。阈值：设置指定参数不同取值的最大个数。统计所有参数：对所有参数进行去重统计，即在满足其他配置项要求的同时，如果任意参数不同取值的个数超过指定阈值，则触发告警。排除参数名：设置不需要去重统计的参数名，多个参数间用半角逗号（,）分隔。通常填写正常业务调用所需要的参数，比如时间戳或者页码等。阈值：设置参数不同取值的最大个数。配置示例登录接口请求Body为`username=admin&pass=****`时：如果需要检测暴力破解攻击，可选择统计指定参数并进行如下配置：参数位置：POST参数参数名称：pass 阈值：30 表示在指定统计时长内，如果访问量超过阈值，同时POST参数pass的不同取值超过30个时，则触发告警。如果需要检测撞库攻击，可以选择统计所有参数并进行如下配置：排除参数名：无需设置，表示不排除任何参数。阈值：30 表示在指定统计时长内，如果访问量超过阈值，同时参数username或者pass**的不同取值超过30个时，则触发告警。
事件等级	设置攻击检测的事件等级。可选项：高危、中危、低危。
状态	设置攻击检测模型规则的状态，默认开。

支持的匹配字段说明

匹配字段	支持的逻辑符	说明
URL	等于多值之一、不等于任一值包含多值之一、不包含任一值长度等于、长度大于、长度小于	请求的统一资源定位标识URL（Uniform Resource Locator），表示被请求的资源的路径。对应匹配内容以`/`开头，不包含域名，例如，`/login.php`。
IP	属于、不属于	请求的来源IP，即发起请求的客户端的IP地址。匹配内容填写要求如下：支持使用IPv4地址（例如，`1.XX.XX.1`）、IPv6地址（例如，`2001:db8:ffff:ffff:ffff:ffff:ffff:ffff`）。支持使用IP网段格式（例如，`1.XX.XX.1/16`）。每输入一个IP地址，按回车进行确认。最多支持设置100个IP地址。说明单个规则最多可填写100个IP或IP网段。例如，某条规则中包含两条匹配字段为IP的匹配条件，则两条匹配条件中的IP或IP网段总数不能超过100个。多个IP或IP网段之间使用英文逗号（,）分隔。
User-Agent	包含多值之一、不包含任一值	发起请求的客户端的浏览器标识、渲染引擎标识和版本信息等浏览器相关信息。
请求方法	等于多值之一、不等于任一值	请求的方法，包括GET、POST、DELETE、PUT、OPTIONS、CONNECT、HEAD、TRACE、PATCH，支持多选。
请求长度	等于、值大于、值小于	请求的请求内容所包含的字节数。取值范围：0~8192。
响应长度	等于、值大于、值小于	请求的响应内容所包含的字节数。取值范围：0~8192。
GET参数	长度等于、长度大于、长度小于存在、不存在包含多值之一、不包含任一值	GET请求的参数。选择该匹配字段后，需设置具体的参数名。
POST参数		POST请求的参数。选择该匹配字段后，需设置具体的参数名。
Cookie参数		请求中的Cookie包含的参数。选择该匹配字段后，需设置具体的参数名。
鉴权	等于	用户是否已获得API资产的访问授权。
服务对象	等于多值之一、不等于任一值	API资产的服务对象，支持多选。
业务用途		API资产的业务用途，支持多选。
响应状态码		API资产的响应码状态。每输入一个响应码，按回车进行确认，最多支持设置50个响应码。
敏感数据类型		API资产的敏感数据类型，支持多选。
敏感数据等级		API资产的敏感数据等级，支持多选。

配置业务用途策略

在API安全页面的策略配置＞业务用途配置页签，配置API接口的业务用途策略，提高API安全对于具体业务场景的检测准确率。

业务用途策略内置多个场景的策略，包括数据更新、数据分享、手机短信发送、信息发送等场景。您可以根据业务需要，开启或关闭对应策略。内置策略不支持修改或删除。

业务用途策略支持自定义策略。您可以单击新建策略，创建符合业务情况的策略。配置业务用途策略的各配置项说明如下表所示。

配置项	说明
名称	为该规则设置一个名称。支持中文和大小写英文字母，可包含数字、半角句号（.）、下划线（_）和短划线（-）。
URL特征	设置业务场景的URL特征关键字，多个参数间用逗号（,）分隔。
参数名特征	设置业务场景的参数名特征关键字，多个参数间用逗号（,）分隔。
状态	设置鉴权凭据特征策略状态，默认开。

配置API生命周期

在API安全页面的策略配置＞生命周期管理页签，配置失活API的判断标准，使得失活API检测更符合业务情况。

您可以选择内置模型作为失活API标准，即近30天无访问量或访问量大幅下跌的API接口。
您也可以自定义日访问量和持续天数的阈值作为判定失活API的标准。例如：API接口的日访问量小于100次，且持续天数大于5天时，该API接口被判定为失活API。

步骤五：配置策略生效对象

如果是包年包月实例，所有接入WAF的防护对象默认生效API安全。如果您不希望该防护对象生效API安全，您可以在API安全页面的生效对象配置页签，将该防护对象移出已选择对象框。
如果是按量付费实例，您需要在API安全页面的生效对象配置页签，将需要生效API安全的防护对象添加到已选择对象框。

步骤六：查看更新后的API安全数据

完成步骤四：配置API安全策略和步骤五：配置策略生效对象的配置后，您可以在API安全页面的概览、风险检测、安全事件页签，查看配置了检测策略和生效对象后的安全数据。更多信息，请参见步骤三：查看API安全数据。