このトピックでは、Alibaba Cloud API Security でリスク検出およびセキュリティイベントデータを表示および管理する方法について説明します。統計と詳細の表示、詳細検索の実行、ステータスの変更、関連する API アセットの表示、および詳細な分析のためのデータのエクスポート方法について学びます。
I. リスク検出データの表示
セキュリティリスクとは、開発、管理、または構成のバグによって引き起こされるインターフェイスの脆弱性です。セキュリティリスクは攻撃が発生したことを意味するものではなく、セキュリティイベントは攻撃によって生成されたアラートです。[リスク検出] タブ、または [リスクサイト統計] テーブルの右上隅にある [さらに表示] ボタンをクリックして、検出されたリスクに関する詳細を表示できます。
ページの機能
API リクエストセキュリティ ページで、リスク検出 タブに移動して、API リスク分析からの統計データを表示し、条件付き検索を実行します。このタブには、リスク統計、左側のリスクタイプ一覧、API リスク詳細の 3 つの主要モジュールがあります。
リスク統計
リスク統計セクションには、[リスク影響統計] と [リスクステータス統計] が含まれます。統計期間は、デフォルトで過去 1 年間に設定されています。
リスク影響統計: リスクのあるドメイン名と API の数を表示します。また、高リスク、中リスク、低リスクの項目の数、および各リスクレベルで本日追加された新しい項目の数も表示されます。数字をクリックすると、[API リスク詳細] セクションで対応する API リスク詳細を表示できます。
リスクステータス統計: 各ステータス (要確認、要修正、確認済み、修正済み、無視) のリスク数を表示します。数字をクリックすると、[API リスク詳細] セクションで対応するステータスのリスク詳細を表示できます。
左側のリスクタイプ一覧
左側のリスクタイプ一覧には、API に関連付けられたリスクのタイプとそれに対応する数が表示されます。リスクタイプをクリックすると、[API リスク詳細] セクションでその詳細な API データを表示できます。
API リスク詳細
[API リスク詳細] セクションでは、次のメソッドを使用してターゲット API リスクを見つけることができます:
簡易検索
API リスク一覧の上にある検索ボックスの
アイコンをクリックします。API 操作 または [リスク ID] を選択し、API 名または ID を入力して、[検索] ボタンをクリックします。あいまい検索がサポートされています。詳細検索
[その他のフィルター] をクリックして、時間、[リスクレベル]、[ステータス]、[ビジネス目的]、[ドメイン名]、[タイプ] などの検索条件を設定します。次に、[検索] ボタンをクリックします。次の表に検索条件を示します。
条件 | 説明 |
表示項目の設定 | 一覧の右上隅にある |
時間 | デフォルトの時間範囲は過去 30 日間です。これには、昨日から始まる過去 30 日間の 24 時間すべてと、クエリの時点までに本日記録されたデータが含まれます。クイッククエリオプションには、過去 15 分、30 分、1 時間、24 時間、今日、昨日、7 日間が含まれます。カスタム時間クエリの最小粒度は 10 分です。 |
リスクレベル | 複数選択がサポートされています。 |
ステータス | 複数選択がサポートされています。 |
ビジネス目的 | 複数選択がサポートされています。 |
ドメイン名 | 1 つの選択のみがサポートされています。 |
タイプ | 1 つの選択のみがサポートされています。 |
アイコンをクリックして、表示するデータフィールドを選択します。API リスクタイプの詳細については、「API Security が検出する API リスクタイプ」をご参照ください。
API リスクの表示と管理
特定の API リスクを見つけたら、次のメソッドを使用して表示および管理できます:
API リスクステータスの変更
[ステータス] 列の
アイコンをクリックし、脅威ステータスを選択して、[OK] をクリックします。リスクに関与する API アセットの表示
特定のリスクのソース API をクリックして、API 詳細ページで API アセットを表示します。API 詳細ページの詳細については、「API 詳細」をご参照ください。
API リスク詳細の表示
ターゲットリスク ID の [操作] 列で、[詳細の表示] をクリックします。リスク詳細ページには、次の情報が表示されます:
基本情報
API、リスク ID、初回検出日時、リスクの説明、推奨される操作、ドメイン名、ビジネス目的、ステータス、AI 分析などの情報を表示します。
リスクステータスの説明
初期リスクステータスは To Be Confirmed です。このステータスを Confirmed、To Be Fixed、Pending System Verification、Fixed (Manual Verification)、または 無視 に変更し、備考を追加できます。
リスクステータスを Pending System Verification に設定すると、システムは次のルールに基づいてリスクが修正されたかどうかを自動的に判断します。条件が満たされると、ステータスは Fixed (System Verification) に変わります。それ以外の場合、ステータスは Verification Failed に変わります:
Unauthenticated Access to Sensitive API リスクは、システムが API が認証を実装したか、機密データを送信しなくなったことを検出したときに解決されます。
Unauthorized Access to Internal API リスクについては、システムは API が内部のものではなくなったか、認証が追加されたかを検出します。
その他のリスクは、最後の検出日時 が 7 日以上前で、API が過去 7 日以内にアクセスされた場合に識別されます。
その他のリスクは、最後の検出日時 が 1 日以上前で、本日のアクセス数が 100 を超える場合にフラグが立てられます。
セキュリティチームとビジネスチームは、次のフローチャートを参照して、リスクステータスを処理するための標準的なワークフローを確立できます。
リスク検証
[リスク検証] タブでは、リクエストサンプルを表示し、次の操作を実行できます:
[リスク検証] タブでは、リクエストサンプルを表示できます。
[ブラウザで開く] をクリックして、ブラウザで GET リクエストを実行します。
[コマンドライン] をクリックして、サンプルリクエストをコマンドラインフォーマットに変換します。[コピー] をクリックして、手動実行のためにリクエストをコピーします。
[コードをコピー] をクリックして、サンプルリクエストをコピーします。
操作レコード
[操作レコード] タブでは、リスクイベントの操作レコードを表示できます。
API リスク データのエクスポート
[API リスク詳細] の右上隅にある
アイコンをクリックして、エクスポートタスクを作成します。[API セキュリティ] ページの右上隅で、[エクスポート履歴] をクリックします。ダウンロードしたいファイルを見つけ、対応する [操作] 列の [ダウンロード] をクリックします。
検索条件を設定した場合、エクスポートされるファイルにはクエリされたデータのみが含まれます。それ以外の場合は、すべてのデータが含まれます。
生成されたファイルは WAF コンソールに一時的に保存され、3 日後に有効期限が切れます。有効期限が切れたファイルはダウンロードできないため、有効期限が切れる前にファイルをダウンロードする必要があります。
ダウンロードされたファイルは、ブラウザのデフォルトのダウンロード場所に保存されます。
II. セキュリティイベントデータの表示
セキュリティイベントとは、ログイン API へのブルートフォース攻撃や、メッセージフラッディングのためのショートメッセージ API の乱用など、API への異常な呼び出しや攻撃のことです。セキュリティイベントは、IP アドレスとアカウントのディメンションによって、IP Security Events と Account Security Events の 2 種類に分類されます。
[セキュリティイベント] タブ、または [攻撃されたサイトの統計] テーブルの右上隅にある [さらに表示] ボタンをクリックして、セキュリティイベントの詳細を表示します。
Account Security Events を表示するには、保護対象オブジェクトに [アカウント ID 抽出] を設定する必要があります。詳細については、「アカウント ID 抽出の設定」をご参照ください。
ページの機能紹介
IP セキュリティイベント
Security Events ページで、IP Security Events タブに移動して、API 攻撃イベントの分析からの統計を表示し、特定の条件に基づいて検索を実行します。このタブには、攻撃影響統計、イベントタイプ一覧、API セキュリティイベント詳細の 3 つの主要セクションが含まれています。
攻撃影響統計
攻撃影響統計セクションには、[攻撃されたドメイン名の数]、[攻撃された API の数]、および [高リスクイベント]、[中リスクイベント]、[低リスクイベント] の数と、それぞれの [本日新規]、[本日新規]、[本日新規] の数が含まれます。数字をクリックすると、[API セキュリティイベント詳細] セクションで対応するメトリックの詳細な API セキュリティイベントデータを表示できます。デフォルトの統計期間は過去 1 年間です。
左側のイベントタイプ一覧
左側のイベントタイプ一覧には、API のイベントタイプとそれに対応するイベント数が表示されます。イベントタイプをクリックすると、[API セキュリティイベント詳細] セクションでそのタイプのイベントの詳細な一覧を表示できます。
API セキュリティイベント詳細
[API セキュリティイベント詳細] セクションでは、次のメソッドを使用して特定の API セキュリティイベントを見つけることができます:
簡易検索
API セキュリティイベント一覧の上にある検索ボックスで、
アイコンをクリックします。[IP]、API 操作、または [イベント ID] を選択し、IP アドレス、API 名、またはイベント ID を入力してから、[検索] ボタンをクリックします。あいまい検索がサポートされています。詳細検索
[その他のフィルター] をクリックして、[時間]、[イベントレベル]、[ステータス]、[ビジネス目的]、[ドメイン名]、[タイプ] などの検索条件を指定します。次に、[検索] ボタンをクリックします。次の表に検索条件を示します。
条件 | 説明 |
表示項目の設定 | 一覧の右上隅にある |
時間 | デフォルトの時間範囲は過去 30 日間です。これには、昨日から始まる過去 30 日間の 24 時間すべてと、クエリの時点までに本日記録されたデータが含まれます。クイッククエリオプションには、過去 15 分、30 分、1 時間、24 時間、今日、昨日、7 日間が含まれます。カスタム時間クエリの最小粒度は 10 分です。 |
イベントレベル | 複数選択がサポートされています。 |
ステータス | 複数選択がサポートされています。 |
ビジネス目的 | 複数選択がサポートされています。 |
ドメイン名 | 1 つの選択のみがサポートされています。 |
タイプ | 1 つの選択のみがサポートされています。 |
アカウントセキュリティイベント
Security Events ページで、Account Security Events タブに移動して、API 攻撃イベントに関する統計を表示し、特定の条件に基づいてイベントを検索します。このタブには、攻撃影響統計、左側のイベントタイプ一覧、API セキュリティイベント詳細の 3 つの主要モジュールがあります。
攻撃影響統計
攻撃影響統計セクションには、Risky Account の数、および [高リスクイベント]、[中リスクイベント]、[低リスクイベント] の数と、それぞれの [本日新規]、[本日新規]、[本日新規] の数が表示されます。数字をクリックすると、[API セキュリティイベント詳細] セクションで対応するメトリックの詳細な API セキュリティイベントデータを表示できます。デフォルトの統計期間は過去 1 年間です。
左側のイベントタイプ一覧
左側のイベントタイプ一覧には、API に関連付けられたイベントタイプとそれに対応する数が表示されます。イベントタイプをクリックすると、[API セキュリティイベント詳細] セクションで対応するイベント詳細を表示できます。
API セキュリティイベント詳細
[API セキュリティイベント詳細] セクションでは、次のメソッドを使用してターゲット API セキュリティイベントを見つけることができます:
簡易検索
API セキュリティイベント一覧の上にある検索ボックスで、
アイコンをクリックし、[アカウント]、API 操作、または [イベント ID] を選択します。次に、対応するアカウント、API 名、または ID を入力し、[検索] ボタンをクリックします。あいまい検索がサポートされています。詳細検索
[その他のフィルター] をクリックして、[時間]、[イベントレベル]、[ステータス]、[ドメイン名]、[タイプ] などの検索条件を設定します。条件を設定したら、[検索] ボタンをクリックします。次の表に検索条件を示します。
条件 | 説明 |
表示項目の設定 | 一覧の右上隅にある |
時間 | デフォルトの時間範囲は過去 30 日間です。これには、昨日から始まる過去 30 日間の 24 時間すべてと、クエリの時点までに本日記録されたデータが含まれます。クイッククエリオプションには、過去 15 分、30 分、1 時間、24 時間、今日、昨日、7 日間が含まれます。カスタム時間クエリの最小粒度は 10 分です。 |
イベントレベル | 複数選択がサポートされています。 |
ステータス | 複数選択がサポートされています。 |
ドメイン名 | 1 つの選択のみがサポートされています。 |
タイプ | 1 つの選択のみがサポートされています。 |
ビジネス目的タイプの詳細については、「API Security が API のビジネス目的を分類する方法」をご参照ください。
API Security が検出できるセキュリティイベントの詳細については、「API Security が検出する異常イベントタイプ」をご参照ください。
API セキュリティイベントの表示と管理
特定の API セキュリティイベントを見つけたら、次のメソッドを使用して管理できます:
API セキュリティイベントステータスの変更
ターゲットのセキュリティイベント ID の行を見つけ、[ステータス] 列にある
アイコンをクリックし、新しいステータスを選択して、[OK] をクリックします。IP アドレスまたはアカウントをホワイトリストに追加
ターゲットイベントの [操作] 列で、Add to Whitelist をクリックします。この操作により、イベントをトリガーした IP アドレスまたはアカウントがホワイトリストに追加されます。イベントステータスは Confirmed に変わり、デフォルトではイベントのポリシータイプはチェックされません。
IP アドレスをブラックリストに追加
ターゲットイベントの [操作] 列で、ブロックされた IP をクリックします。これにより、イベントをトリガーした IP アドレスがブラックリストに追加されます。デフォルトでは、イベントステータスは 処理済み に変わります。
API セキュリティイベント詳細の表示
ターゲットイベントの [操作] 列で、[詳細の表示] をクリックします。イベント詳細ページでは、次の情報を表示できます:
基本情報
イベント ID、開始/終了時間、ステータスなどの情報を表示します。
セキュリティイベントのステータスを変更します。
セキュリティイベントのステータスを Confirmed、処理済み、または [無視] に設定すると、メモを追加できます。
攻撃詳細: データサンプルやイベントトレンドなどの情報を表示します。
IP セキュリティイベントのログをクエリするには、攻撃元の分析 セクションの [操作] 列にある Log Query をクリックします。
アカウントセキュリティイベントの場合、API Distribution セクションの [操作] 列にある Log Query をクリックしてログをクエリできます。
推奨される操作: セキュリティイベントを処理するための推奨される操作を表示します。
操作レコード: セキュリティイベントに対して実行された操作の履歴を表示します。
API セキュリティ イベント データのエクスポート
[API セキュリティイベント詳細] の右上隅にある
アイコンをクリックして、エクスポートタスクを作成します。[API セキュリティ] ページの右上隅で、[エクスポート履歴] をクリックします。次に、ダウンロードしたいファイルを見つけ、[操作] 列の [ダウンロード] をクリックします。
検索条件を設定した場合、エクスポートされるファイルにはクエリされたデータのみが含まれます。それ以外の場合は、すべてのデータが含まれます。
生成されたファイルは WAF コンソールに一時的に保存され、3 日後に有効期限が切れます。有効期限が切れたファイルはダウンロードできないため、有効期限が切れる前にファイルをダウンロードする必要があります。
ダウンロードされたファイルは、ブラウザのデフォルトのダウンロード場所に保存されます。