API安全

为帮助您管理站点下的各类API并检测潜在风险,ESA结合用户访问请求的采样日志和内置的机器学习模型,可以自动扫描站点下关联的API并且提供管理入口对API进行监控分析。

API发现

ESA基于机器学习来发现您对应站点下的API端点。

说明

为保证发现结果的有效性和时效性,本功能仅统计30天内被有效请求过的API。

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > API安全

  3. API安全页面选择API发现页签,将罗列出ESA已发现API数量和详细信息列表。image

评估API

为了帮助您快速分类API,ESA将已发现的API的状态分为:

  • 待评估:已发现的API默认标记为待评估状态,表示该API需要您手动分类是否需要进行管理。

  • 已忽略:您可以将识别到的已废弃、内部测试专用等类别的API标记为该状态。ESA将不会对这类API进行统计和分析。

  • 已管理:为保障您的业务安全,建议您将没有标记已忽略API标记为该状态。ESA将自动将这类API纳入API管理中。

您可以结合业务需要对已发现API进行评估:

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > API安全

  3. API安全页面选择API发现页签,单击待评估数据区的筛选按钮过滤出所有待评估API。image

  4. 在下方待评估API列表中,标记管理API或是忽略API。

API管理

API发现中标记为已管理API会自动纳入API管理列表中,ESA将针对API进行持续监控,帮助您了解站点下的API性能以及安全状态。

手动添加API

API发现功能可以快速扫描出站点中具有特定特征或被高频请求的API,但可能无法识别部分特殊的或被低频访问的API。您可以通过手动添加的方式补充API:

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > API安全

  3. API安全页面选择API发现页签,单击添加按钮后,填写:

    1. 方法:API对应的请求方法。可选择:GETPOSTPUTHEADOPTIONSDELETEPATCHCONNECTTRACE

    2. 主机名:API对应的主机名,如api.example.com

    3. 路径:API主机名中对应的路径,需以/开头,如/api/demo-test

  4. 继续点击添加按钮录入其他API信息。完成后点击确定添加即可。

说明

单次最多手动录入20API。

导入已发现API

  1. ESA控制台,选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择安全防护 > API安全

  3. API安全页面选择API发现页签,单击添加按钮后,单击API发现中添加

  4. API列表中勾选需要进行管理的API,点击确定添加即可。

不同套餐的支持情况

基础版

标准版

高级版

企业版

不支持

不支持

不支持

支持