Topik ini menjelaskan cara melihat dan mengelola data deteksi risiko serta peristiwa keamanan di Alibaba Cloud API Security. Anda akan mempelajari cara melihat statistik dan detailnya, melakukan pencarian lanjutan, mengubah status, melihat aset API terkait, serta mengekspor data untuk analisis lebih lanjut.
I. Melihat data deteksi risiko
Risiko keamanan adalah kerentanan pada antarmuka yang disebabkan oleh bug dalam pengembangan, manajemen, atau konfigurasi. Risiko keamanan tidak berarti serangan telah terjadi, sedangkan peristiwa keamanan adalah peringatan yang dihasilkan oleh serangan. Anda dapat melihat detail risiko yang terdeteksi dengan mengklik tab Risk Detection atau tombol View More di pojok kanan atas tabel Risk Site Statistics.
Fitur halaman
Pada halaman API Security, buka tab Risk Detection untuk melihat data statistik dari analisis risiko API dan melakukan pencarian bersyarat. Tab ini memiliki tiga modul utama: Risk Statistics, daftar jenis risiko di sebelah kiri, dan API Risk Details.
Statistik risiko
Bagian statistik risiko mencakup Risk Impact Statistics dan Risk Status Statistics. Periode statistik secara default diatur ke tahun lalu.
Risk Impact Statistics: Menampilkan jumlah Nama Domain dan API yang berisiko. Juga menampilkan jumlah item berisiko tinggi, menengah, dan rendah, serta jumlah item baru yang ditambahkan hari ini untuk setiap tingkat risiko. Klik angka tersebut untuk melihat detail risiko API terkait di bagian API Risk Details.
Risk Status Statistics: Menampilkan jumlah risiko untuk setiap status: To Be Confirmed, To Be Fixed, Confirmed, Fixed, dan Ignored. Klik angka tersebut untuk melihat detail risiko dengan status terkait di bagian API Risk Details.
Daftar jenis risiko di sebelah kiri
Daftar jenis risiko di sebelah kiri menampilkan jenis-jenis risiko yang terkait dengan API Anda beserta jumlah masing-masing. Klik jenis risiko untuk melihat data API terperinci di bagian API Risk Details.
Detail risiko API
Di bagian API Risk Details, Anda dapat menemukan risiko API target menggunakan metode berikut:
Pencarian sederhana
Klik ikon
di kotak pencarian di atas daftar risiko API. Pilih API Operation atau Risk ID, masukkan nama API atau ID-nya, lalu klik tombol Search. Pencarian fuzzy didukung.Pencarian Lanjutan
Klik More Filters untuk mengatur kondisi pencarian seperti Time, Risk Level, Status, Business Purpose, Domain Name, dan Type. Kemudian, klik tombol Search. Tabel berikut menjelaskan kondisi pencarian tersebut.
Kondisi | Deskripsi |
Set Display Items | Klik ikon |
Time | Rentang waktu default adalah 30 hari terakhir. Ini mencakup 24 jam penuh selama 30 hari terakhir mulai dari kemarin, ditambah data yang direkam hari ini hingga waktu kueri. Opsi kueri cepat mencakup 15 menit terakhir, 30 menit, 1 jam, 24 jam, hari ini, kemarin, dan 7 hari. Granularitas minimum untuk kueri waktu kustom adalah 10 menit. |
Risk Level | Pilihan ganda didukung. |
Status | Pilihan ganda didukung. |
Business Purpose | Pilihan ganda didukung. |
Domain Name | Hanya satu pilihan yang didukung. |
Jenis | Hanya satu pilihan yang didukung. |
di pojok kanan atas daftar untuk memilih bidang data yang akan ditampilkan.Untuk informasi lebih lanjut tentang jenis risiko, lihat Jenis risiko API apa saja yang dideteksi oleh API Security?.
Menampilkan dan mengelola risiko API
Setelah menemukan risiko API tertentu, Anda dapat melihat dan mengelolanya menggunakan metode berikut:
Ubah status risiko API
Klik ikon
di kolom Status, pilih status ancaman, lalu klik OK.Lihat aset API yang terlibat dalam risiko
Klik API sumber dari risiko tertentu untuk melihat aset API di halaman detail API. Untuk deskripsi lengkap halaman detail API, lihat Detail API.
Lihat detail risiko API
Di kolom Actions untuk ID risiko target, klik View Details. Halaman detail risiko menampilkan informasi berikut:
Informasi Dasar
Lihat informasi seperti API, Risk ID, First Discovered, Risk Description, Recommended Action, Domain Name, Business Purpose, Status, dan AI Analysis.
Deskripsi Status Risiko
Status risiko awal adalah To Be Confirmed. Anda dapat mengubah status ini menjadi Confirmed, To Be Fixed, Pending System Verification, Fixed (Manual Verification), atau Ignore serta menambahkan catatan.
Saat Anda mengatur status risiko menjadi Pending System Verification, sistem secara otomatis menentukan apakah risiko telah diperbaiki berdasarkan aturan berikut. Jika kondisi terpenuhi, status berubah menjadi Fixed (System Verification). Jika tidak, status berubah menjadi Verification Failed:
Risiko Unauthenticated Access to Sensitive API terselesaikan ketika sistem mendeteksi bahwa API telah menerapkan autentikasi atau tidak lagi mentransmisikan data sensitif.
Untuk risiko Unauthorized Access to Internal API, sistem mendeteksi apakah API tidak lagi internal atau telah menambahkan autentikasi.
Risiko lainnya diidentifikasi jika Last Detection Time lebih dari 7 hari lalu dan API diakses dalam 7 hari terakhir.
Risiko lainnya ditandai jika Last Detection Time lebih dari satu hari lalu dan jumlah kunjungan hari ini lebih dari 100.
Tim keamanan dan bisnis dapat merujuk pada bagan alir berikut untuk menetapkan alur kerja standar dalam menangani status risiko.
Verifikasi Risiko
Di tab Risk Verification, Anda dapat melihat contoh permintaan dan melakukan operasi berikut:
Di tab Risk Verification, Anda dapat melihat contoh permintaan.
Klik Open In Browser untuk menjalankan permintaan GET di browser.
Klik Command Line untuk mengonversi contoh permintaan ke format baris perintah. Klik Copy untuk menyalin permintaan guna eksekusi manual.
Klik Copy Code untuk menyalin contoh permintaan.
Catatan Operasi
Di tab Operation Record, Anda dapat melihat catatan operasi untuk peristiwa risiko tersebut.
Ekspor data risiko API
Klik ikon
di pojok kanan atas API Risk Details untuk membuat tugas ekspor.Di pojok kanan atas halaman API Security, klik Export History. Temukan file yang ingin diunduh dan klik Download di kolom Actions yang sesuai.
Jika Anda mengatur kondisi pencarian, file yang diekspor hanya berisi data yang dikueri. Jika tidak, file tersebut berisi semua data.
File yang dihasilkan disimpan sementara di konsol WAF dan kedaluwarsa setelah tiga hari. Anda harus mengunduh file sebelum kedaluwarsa karena file yang kedaluwarsa tidak dapat diunduh.
File yang diunduh disimpan di lokasi unduhan default browser Anda.
II. Melihat data peristiwa keamanan
Peristiwa keamanan adalah panggilan tidak normal atau serangan terhadap API, seperti serangan brute-force pada API login atau penyalahgunaan API pesan teks untuk pembanjiran pesan. Peristiwa keamanan dikategorikan berdasarkan dimensi alamat IP dan akun menjadi dua jenis: IP Security Events dan Account Security Events.
Klik tab Security Events atau tombol View More di pojok kanan atas tabel Attacked Site Statistics untuk melihat detail peristiwa keamanan.
Untuk melihat Account Security Events, Anda harus mengonfigurasi Account ID Extraction untuk objek yang dilindungi. Untuk informasi lebih lanjut, lihat Konfigurasi Ekstraksi ID Akun.
Pengenalan fitur halaman
IP Security Events
Di halaman Security Events, buka tab IP Security Events untuk melihat statistik dari analisis peristiwa serangan API dan melakukan pencarian berdasarkan kondisi tertentu. Tab ini berisi tiga bagian utama: Attack Impact Statistics, daftar jenis peristiwa, dan API Security Event Details.
Attack Impact Statistics
Bagian Attack Impact Statistics mencakup Number Of Attacked Domain Names, Number Of Attacked APIs, serta jumlah High-risk Events, Medium-risk Events, dan Low-risk Events, beserta jumlah masing-masing New Today, New Today, dan New Today. Klik angka tersebut untuk melihat data detail peristiwa keamanan API untuk metrik terkait di bagian API Security Event Details. Periode statistik default adalah tahun lalu.
Daftar jenis peristiwa di sebelah kiri
Daftar jenis peristiwa di sebelah kiri menampilkan jenis peristiwa untuk API Anda beserta jumlah peristiwa masing-masing. Klik jenis peristiwa untuk melihat daftar detail peristiwa untuk jenis tersebut di bagian API Security Event Details.
API Security Event Details
Di bagian API Security Event Details, Anda dapat menemukan peristiwa keamanan API tertentu menggunakan metode berikut:
Pencarian sederhana
Di kotak pencarian di atas daftar peristiwa keamanan API, klik ikon
. Pilih IP, API Operation, atau Event ID, masukkan alamat IP, nama API, atau ID peristiwa, lalu klik tombol Search. Pencarian fuzzy didukung.Pencarian Lanjutan
Klik More Filters untuk menentukan kondisi pencarian seperti Time, Event Level, Status, Business Purpose, Domain Name, dan Type. Kemudian, klik tombol Search. Tabel berikut menjelaskan kondisi pencarian tersebut.
Kondisi | Deskripsi |
Set Display Items | Klik ikon |
Time | Rentang waktu default adalah 30 hari terakhir. Ini mencakup 24 jam penuh selama 30 hari terakhir mulai dari kemarin, ditambah data yang direkam hari ini hingga waktu kueri. Opsi kueri cepat mencakup 15 menit terakhir, 30 menit, 1 jam, 24 jam, hari ini, kemarin, dan 7 hari. Granularitas minimum untuk kueri waktu kustom adalah 10 menit. |
Event Level | Pilihan ganda didukung. |
Status | Pilihan ganda didukung. |
Business Purpose | Pilihan ganda didukung. |
Domain Name | Hanya satu pilihan yang didukung. |
Jenis | Hanya satu pilihan yang didukung. |
Account Security Events
Di halaman Security Events, buka tab Account Security Events untuk melihat statistik tentang peristiwa serangan API dan mencari peristiwa berdasarkan kondisi tertentu. Tab ini berisi tiga modul utama: Attack Impact Statistics, daftar jenis peristiwa di sebelah kiri, dan API Security Event Details.
Attack Impact Statistics
Bagian Attack Impact Statistics menunjukkan jumlah Risky Account, beserta jumlah High-risk Events, Medium-risk Events, dan Low-risk Events, beserta jumlah masing-masing New Today, New Today, dan New Today. Anda dapat mengklik angka tersebut untuk melihat data detail peristiwa keamanan API untuk metrik terkait di bagian API Security Event Details. Periode statistik default adalah tahun lalu.
Daftar jenis peristiwa di sebelah kiri
Daftar jenis peristiwa di sebelah kiri menunjukkan jenis peristiwa yang terkait dengan API Anda beserta jumlah masing-masing. Klik jenis peristiwa untuk melihat detail peristiwa terkait di bagian API Security Event Details.
API Security Event Details
Di bagian API Security Event Details, Anda dapat menggunakan metode berikut untuk menemukan peristiwa keamanan API target:
Pencarian sederhana
Di kotak pencarian di atas daftar peristiwa keamanan API, klik ikon
dan pilih Account, API Operation, atau Event ID. Lalu, masukkan akun, nama API, atau ID yang sesuai dan klik tombol Search. Pencarian fuzzy didukung.Pencarian lanjutan
Klik More Filters untuk mengatur kondisi pencarian seperti Time, Event Level, Status, Domain Name, dan Type. Setelah mengatur kondisi, klik tombol Search. Tabel berikut menjelaskan kondisi pencarian tersebut.
Kondisi | Deskripsi |
Set Display Items | Klik ikon |
Time | Rentang waktu default adalah 30 hari terakhir. Ini mencakup 24 jam penuh selama 30 hari terakhir mulai dari kemarin, ditambah data yang direkam hari ini hingga waktu kueri. Opsi kueri cepat mencakup 15 menit terakhir, 30 menit, 1 jam, 24 jam, hari ini, kemarin, dan 7 hari. Granularitas minimum untuk kueri waktu kustom adalah 10 menit. |
Event Level | Pilihan ganda didukung. |
Status | Pilihan ganda didukung. |
Domain Name | Hanya satu pilihan yang didukung. |
Type | Hanya satu pilihan yang didukung. |
Untuk informasi lebih lanjut tentang jenis tujuan bisnis, lihat Cara API Security mengklasifikasikan tujuan bisnis API.
Untuk informasi lebih lanjut tentang peristiwa keamanan yang dapat dideteksi oleh API Security, lihat Jenis peristiwa abnormal apa saja yang dideteksi oleh API Security?.
Menampilkan dan mengelola peristiwa keamanan API
Setelah menemukan peristiwa keamanan API tertentu, Anda dapat mengelolanya menggunakan metode berikut:
Ubah status peristiwa keamanan API
Temukan baris dengan ID peristiwa keamanan target, klik ikon
di kolom Status, pilih status baru, lalu klik OK.Tambahkan alamat IP atau akun ke daftar putih
Di kolom Actions untuk peristiwa target, klik Add to Whitelist. Tindakan ini menambahkan alamat IP atau akun yang memicu peristiwa ke daftar putih. Status peristiwa berubah menjadi Confirmed, dan jenis kebijakan peristiwa tidak diperiksa secara default.
Tambahkan alamat IP ke blacklist
Di kolom Actions untuk peristiwa target, klik Block IP Address. Ini menambahkan alamat IP yang memicu peristiwa ke blacklist. Secara default, status peristiwa berubah menjadi Handled.
Lihat detail peristiwa keamanan API
Di kolom Actions untuk peristiwa target, klik View Details. Di halaman detail peristiwa, Anda dapat melihat informasi berikut:
Informasi Dasar
Lihat informasi seperti Event ID, Waktu Mulai/Berakhir, dan Status.
Ubah status peristiwa keamanan.
Saat Anda mengatur status peristiwa keamanan menjadi Confirmed, Handled, atau Ignored, Anda dapat menambahkan catatan.
Detail Serangan: Lihat informasi seperti contoh data dan tren peristiwa.
Untuk mengkueri log peristiwa keamanan IP, klik Log Query di kolom Actions bagian Attack Source Analysis.
Untuk peristiwa keamanan akun, Anda dapat mengkueri log dengan mengklik Log Query di kolom Actions bagian API Distribution.
Aksi yang Direkomendasikan: Lihat aksi yang direkomendasikan untuk menangani peristiwa keamanan tersebut.
Catatan Operasi: Lihat riwayat operasi yang dilakukan pada peristiwa keamanan tersebut.
Ekspor data peristiwa keamanan API
Klik ikon
di pojok kanan atas API Security Event Details untuk membuat tugas ekspor.Di pojok kanan atas halaman API Security, klik Export History. Lalu, temukan file yang ingin diunduh dan klik Download di kolom Actions.
Jika Anda mengatur kondisi pencarian, file yang diekspor hanya berisi data yang dikueri. Jika tidak, file tersebut berisi semua data.
File yang dihasilkan disimpan sementara di konsol WAF dan kedaluwarsa setelah tiga hari. Anda harus mengunduh file sebelum kedaluwarsa karena file yang kedaluwarsa tidak dapat diunduh.
File yang diunduh disimpan di lokasi unduhan default browser Anda.