本文介绍了如何在阿里云API安全查看和管理风险检测数据和安全事件数据。您可以学习如何查看风险统计、事件类型、详情以及进行高级搜索、修改状态、查看相关API资产等操作,并了解如何导出数据以供进一步分析。
一、查看风险检测数据
风险是指接口因开发缺陷,或者管理、配置缺陷而导致的安全风险或安全隐患。安全风险与安全事件的区别是,安全风险并不一定代表发生了攻击,而安全事件则代表被攻击产生的告警。通过单击风险检测页签或者风险站点统计表格右上角的查看更多按钮,您可以进入页签查看您的风险检测详情。
页面功能
在API安全页面的风险检测页签,可以查看API风险检测分析数据统计与条件搜索相关信息。该页签主要包含三个功能模块:风险统计、左侧风险类型栏、API风险详情。
风险统计
风险统计部分包括风险影响统计和风险状态统计,统计周期默认为近一年。
风险影响统计:包含风险域名数与风险API数,高风险及今日新增数、中风险及今日新增数、低风险及今日新增数。您可以单击对应数字在API风险详情处查看该条件下的API风险详细数据。
风险状态统计:包含待确认、待修复、已确认、已修复、忽略状态统计数。您可以单击对应数字在API风险详情处查看该条件下的列表详细数据。
左侧风险类型栏
左侧风险类型栏展示了您的API存在的风险类型及对应数量,您可以通过单击对应风险类型,在API风险详情处查看该风险类型的API详细数据。
API风险详情
API风险详情支持您通过如下方法,查找目标API风险:
简单搜索
在API风险列表上方的搜索框,单击
图标,选择API、或风险ID,并输入对应的API名称或ID,单击搜索钮进行查询操作。支持模糊搜索。高级搜索
单击更多筛选,设置时间、风险等级、状态、业务用途、域名、类型等搜索条件。完成搜索条件设置后单击搜索按钮进行查询操作,具体搜索条件下表所示。
条件名称 | 说明 |
设置展示项 | 单击列表右上角的 |
时间 | 默认时间范围为30天内的数据(从昨日起30天24小时整,加今日截止查询时有记录的数据),此外还支持的快捷查询包括最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天的数据。自定义时刻查询的最小粒度为10分钟。 |
风险等级 | 支持多选。 |
状态 | 支持多选。 |
业务用途 | 支持多选。 |
域名 | 单选。 |
类型 | 单选。 |
图标,选择要在列表中展示的数据字段。关于风险类型的更多信息,请参见API安全支持检测哪些API风险类型。
查看与管理API风险
定位到目标API风险后,您可以通过如下方法,查看与管理目标API风险:
修改API风险状态
单击状态列的
图标,选择要修改的风险状态后,单击确定。查看风险涉及的API资产
单击目标风险的来源API,在API详情页面,查看API资产。如果您想了解API详情页面的详细说明,请参见API详情。
查看API风险详情
单击目标风险ID操作列的查看详情,在风险详情页面,查看如下详情:
基本信息
支持查看API、风险ID、首次发现时间、风险描述、处置建议、域名、业务用途、状态、AI分析等。
风险状态说明
初始风险状态为待确认,可将其设置为已确认、待修复、待系统验证、已修复(人工验证)、忽略,并填写备注信息。
设置风险状态为待系统验证时,系统将依据以下规则自动识别风险是否修复,若满足以下条件,则状态将置为已修复(系统验证),否则置为验证未修复:
针对敏感接口未鉴权风险,检测到接口已有鉴权或没有敏感数据传输。
针对内部接口可未授权访问的风险,检测到接口不是内部接口或者已有鉴权。
针对其他风险,若风险最近检出时间距今超过7天,且近7天存在访问。
针对其他风险,若风险最近检出时间距今超过1天,且今天访问量大于100。
您可以参考以下安全团队与业务团队运营流程图,建立处理风险状态的标准化工作流。
风险验证
在风险验证页签,查看请求样例。执行如下操作:
在风险验证页签,查看请求样例。
单击浏览器打开,直接使用浏览器打开GET请求。
单击命令行,将请求样例转换为命令行。单击一键复制,手工访问该请求。
单击复制代码,复制请求样例。
操作记录
在操作记录页签,查看风险事件的处置记录。
导出API风险数据
单击API风险详情右上角的
图标,API安全将为您创建一个导出任务。单击API安全页面右上角的导出记录。定位到要下载的文件,单击操作列的下载。
如果您设置了查询条件,则导出文件只包含查询到的数据,否则包含所有数据。
导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。
下载的文件被保存在浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。
二、查看安全事件数据
安全事件是指接口发生了异常调用或攻击行为,比如登录接口被爆破攻击、短信发送接口被人滥用进行短信轰炸等。内置事件检测以IP为检测粒度,同时相同IP段、API、事件类型且在同一天的事件,会聚合成一条告警。通过单击安全事件页签,或受攻击站点统计表格右上角的查看更多按钮,您可以进入页签查看您的安全事件详情。
页面功能介绍
在API安全页面的安全事件页签,可以查看API攻击事件分析数据统计与条件搜索相关信息。该页签主要包含三个功能模块:攻击影响统计、左侧事件类型栏、API安全事件详情。
攻击影响统计
攻击影响统计包括受攻击的域名数、受攻击的API数、高危事件数及今日新增、中危事件数及今日新增、低危事件数及今日新增。您可以单击对应数字在API安全事件详情处查看该条件下的API安全事件的详细数据。统计数据默认统计周期为近一年。
左侧事件类型栏
左侧事件类型栏展示了您的API存在的事件类型及对应数量,您可以通过单击对应事件类型,在API安全事件详情处查看该事件类型的列表详细数据。
API安全事件详情
API安全事件详情支持您通过如下方法,查找目标API安全事件:
简单搜索
在API安全事件列表上方的搜索框,单击
图标,选择IP、API、或事件ID,并输入对应的IP、API名称或ID,单击搜索钮进行查询操作。支持模糊搜索。高级搜索
单击更多筛选,设置时间、事件等级、状态、业务用途、域名、类型等搜索条件。完成搜索条件设置后,单击搜索按钮进行查询操作,具体搜索条件如下表所示。
条件名称 | 说明 |
设置展示项 | 单击列表右上角的 |
时间 | 默认时间范围为30天内的数据(从昨日起30天24小时整,加今日截止查询时有记录的数据),此外还支持的快捷查询包括最近15分钟、最近30分钟、最近1小时、最近24小时、今天、昨天、7天的数据。自定义时刻查询的最小粒度为10分钟。 |
事件等级 | 支持多选。 |
状态 | 支持多选。 |
业务用途 | 支持多选。 |
域名 | 单选。 |
类型 | 单选。 |
关于业务用途类型的详细信息,请参见API安全如何划分API业务用途。
关于API安全支持检测哪些安全事件,请参见API安全支持检测哪些异常事件类型。
查看与管理API安全事件
定位到目标API安全事件后,您可以通过如下方法,管理API安全事件:
修改API安全事件状态
定位到目标安全事件ID,单击状态列的
图标,选择要修改的安全事件状态后,单击确定。查看事件涉及的API资产
单击目标安全事件的来源API,在API详情页面,查看API资产。如果您想了解API详情页面的详细说明,请参见API详情。
查看API安全事件详情
单击目标事件ID操作列的查看详情,在事件详情页面,查看如下详情:
基本信息
支持查看API、事件ID、域名、状态等。
支持修改安全事件状态。
安全事件状态设置为待确认、已确认或忽略时,可填写备注信息。
事件详情
在事件详情页签,查看攻击源、攻击开始时间、结束时间、攻击次数、事件说明、请求数据、响应数据、处置建议等。
单击日志详情,查看该事件的日志信息。
操作记录
记录安全事件的处置信息。
导出API安全事件数据
单击API安全事件详情右上角的
图标,API安全将为您创建一个导出任务。单击API安全页面右上角的导出记录。定位到要下载的文件,单击操作列的下载。
如果您设置了查询条件,则导出文件只包含查询到的数据,否则包含所有数据。
导出文件生成后将暂存在WAF控制台,三天后会过期,过期文件不支持下载。请您在文件有效期内及时下载文件。
下载的文件被保存在浏览器的默认保存位置,您可以前往默认保存位置查看下载的文件。