为帮助您管理站点下的各类API并检测潜在风险,ESA结合用户访问请求的采样日志和内置的机器学习模型,可以自动扫描站点下关联的API并且提供管理入口对API进行监控分析。
API发现
ESA基于机器学习来发现您对应站点下的API端点。
为保证发现结果的有效性和时效性,本功能仅统计30天内被有效请求过的API。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择 。
在API安全页面选择API发现页签,将罗列出ESA已发现API数量和详细信息列表。
评估API
为了帮助您快速分类API,ESA将已发现的API的状态分为:
待评估:已发现的API默认标记为待评估状态,表示该API需要您手动分类是否需要进行管理。
已忽略:您可以将识别到的已废弃、内部测试专用等类别的API标记为该状态。ESA将不会对这类API进行统计和分析。
已管理:为保障您的业务安全,建议您将没有标记已忽略的API标记为该状态。ESA将自动将这类API纳入API管理中。
您可以结合业务需要对已发现API进行评估:
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择 。
在API安全页面选择API发现页签,单击待评估数据区的筛选按钮过滤出所有待评估API。
在下方待评估API列表中,标记管理API或是忽略该API。
API管理
在API发现中标记为已管理的API会自动纳入API管理列表中,ESA将针对API进行持续监控,帮助您了解站点下的API性能以及安全状态。
手动添加API
API发现功能可以快速扫描出站点中具有特定特征或被高频请求的API,但可能无法识别部分特殊的或被低频访问的API。您可以通过手动添加的方式补充API:
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择 。
在API安全页面选择API发现页签,单击添加按钮后,填写:
方法:API对应的请求方法。可选择:GET,POST,PUT,HEAD,OPTIONS,DELETE,PATCH,CONNECT,TRACE。
主机名:API对应的主机名,如
api.example.com
。路径:API在主机名中对应的路径,需以
/
开头,如/api/demo-test
。
继续点击添加按钮录入其他API信息。完成后点击确定添加即可。
单次最多手动录入20条API。
导入已发现API
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择 。
在API安全页面选择API发现页签,单击添加按钮后,单击从API发现中添加。
在API列表中勾选需要进行管理的API,点击确定添加即可。
不同套餐的支持情况
基础版 | 标准版 | 高级版 | 企业版 |
不支持 | 不支持 | 不支持 | 支持 |