本文介紹了阿里雲API安全的API資產管理功能,包括查看API資產資料詳情、管理目標API、查看API詳情,以及匯出與下載功能。
一、頁面功能介紹
您可以通過以下兩種方式,查看API資產資料詳情:
在API安全頁面單擊資產管理頁簽。
在概覽頁簽,單擊請求敏感性資料類型統計表格的查看更多按鈕,或單擊響應敏感性資料類型統計表格右上方的查看更多按鈕。
在API安全頁面的資產管理頁簽,可以查看API資產管理資料統計與條件搜尋相關資訊。該頁簽主要包含三個功能模組:API資產總覽、左側網站欄、API資產列表。
API資產總覽
通過統計資料,展示API資產總數及今日新增數、活躍API數、失活API數,響應涉敏站點數、響應涉敏API數、跨境資料轉送API數、存在機器請求API數。
您可以在API資產列表下單擊今日新增、失活API數,響應涉敏站點數、響應涉敏API數統計的對應數字,在API資產列表下查看該部分的詳細資料。統計資料預設統計周期為30天。
左側網站欄
左側網站欄展示了您的網站名稱及該網站下包含的API數量,您可以通過單擊欄內網站,在API資產列表處查看對應網站的詳細資料列表。
API資產列表
API資產列表支援您通過如下方法,搜尋目標API資產:
簡單搜尋
在API風險列表上方的搜尋方塊,單擊
表徵圖,選擇API、或備忘,並輸入對應的API介面地址或備忘。進階搜尋
單擊更多篩選,設定搜尋條件。完成搜尋條件設定後單擊搜索按鈕進行查詢操作,具體搜尋條件下表所示。
條件名稱 | 說明 |
設定展示項 | 單擊列表右上方的 |
時間 | API資產的最近活躍時間,預設時間範圍為30天內的資料(從昨日起30天24小時整,加今日截止查詢時有記錄的資料),此外還支援的快捷查詢包括最近15分鐘、最近30分鐘、最近1小時、最近24小時、今天、昨天、7天的資料。自訂時刻查詢的最小粒度為10分鐘。 |
請求敏感性資料類型 | 支援多選。 |
響應敏感性資料類型 | 支援多選。 |
服務物件 | 支援多選。 |
業務用途 | 支援多選。 |
要求方法 | 支援多選。 |
活躍狀態 | 單選。 |
關注狀態 | 單選。 |
鑒權 | 單選。 |
介面敏感等級 | 支援多選。 |
表徵圖,選擇要在列表中展示的資料欄位。二、管理目標API
根據上述條件搜尋定位到目標API後,您可以通過列表中的功能管理您的API資產,列表中欄位的詳細說明如下表所示。
列表欄位 | 欄位說明 |
API | 該欄位顯示了API名稱、API狀態及要求方法。
|
AI分析 | 可藉助AI安全助手,對資產進行分析,提供業務用途、調用趨勢、安全建議等資訊。暫不支援分析混合雲接入的對象。 |
網域名稱/IP | API介面所屬的網域名稱或ip。 |
調用量 | 該API介面近30天的訪問量。 |
介面敏感等級 | 基於響應資料中包含的敏感性資料類型以及敏感性資料量級評定,分為高敏感、中敏感、低敏感、非敏感四個等級。 |
請求敏感性資料類型 | 請求中包含的敏感性資料類型。 |
響應敏感性資料類型 | 響應中包含的敏感性資料類型。 |
機器請求數 | 機器發起的請求量。通過四層及七層流量指紋分析,統計源IP是機器發起的請求量。 |
跨境請求數 | 統計源IP來自於非中國內地的請求量。 |
業務用途 | 用於標識介面的功能用途,基於API介面的路徑特徵和參數名特徵,與內建及自訂的業務用途欄位進行匹配判定。您也可以在策略配置>業務用途配置中根據自身業務特性進行定製,詳細操作請參見業務用途配置。 |
服務物件 | API介面的調用方或使用者,基於介面命名特徵和訪問來源的聚集性進行判斷,分為內部辦公、三方合作與公用服務三類。 |
鑒權 | API介面的鑒權欄位,系統已內建鑒權憑據的識別邏輯,您也可以在策略配置 > 鑒權憑據配置中根據自身業務特性進行定製,詳細操作請參見鑒權憑據配置。 |
風險/IP事件/帳號事件 | 單擊风险/IP事件/账号事件列下的數字,在API風險詳情列表,查看風險或事件詳情。風險或事件詳情的更多資訊請參見風險與事件。 |
首次發現時間 | API介面的首次發現時間。 |
最近活躍時間 | API介面最近的被訪問時間。 |
關注 | 更改您對該API介面的關注狀態,單擊關注列的 |
備忘 | 您可以在該欄位中根據業務需求添加API介面的備忘資訊,單擊備忘列的 |
表徵圖可以關注該API介面。
表徵圖,填寫備忘資訊後,單擊
表徵圖。關于敏感資料類型的詳細資料,請參見API安全支援檢測哪些敏感性資料。
關於服務物件類型的詳細資料,請參見API安全如何區分介面的服務物件。
關於業務用途類型的詳細資料,請參見API安全如何劃分API業務用途。
關於介面的敏感等級說明,請參見API安全的介面敏感等級如何劃分。
三、API詳情
您可以單擊API資產列表中的API列連結進入API詳情抽屜頁,也可以在彈出的抽屜頁右上方單擊
表徵圖進入API詳情頁面查看API資產詳情。
API詳情頁麵包含API資產的詳細資料,以及請求範例、流量分析、風險及事件、防護建議頁簽。
請求範例
請求範例包含最多五個隨機抽樣的API請求範例,並支援單擊拆分展示和合并展示的切換展示形式進行查看
拆分展示支援將範例分為常規、要求標頭、回應標頭、請求體、響應體進行查看和單獨複製。
合并展示支援將範例分為請求範例和響應範例進行查看和單獨複製,方便您進行流量重放。
單擊瀏覽器開啟,可以進行快速驗證操作,單擊命令列可以擷取命令內容進行手工訪問驗證。
請求參數類型及響應參數類型部分顯示了API安全功能通過流量基準識別、標記當前範例,擷取的當前範例請求參數和響應參數的參數名、值特徵以及參數位置。
流量分析
流量分析展示了API介面30天內的訪問走勢,統計了介面的總調用量、機器請求量、跨境請求量。TOP20訪問源列出了30天內,從總流量、機器流量、跨境流量維度排名前20的訪問源。客戶端來源統計從Referer、用戶端、地理位置、帳號四個維度統計了30天內訪問用戶端的來源。
風險及事件
風險及事件展示了該API涉及的風險事件、IP安全事件與帳號安全事件,並支援快速跳轉。
防護建議
根據API調用基準的情況給出了對應的防護建議。
四、匯出與下載
單擊API列表右上方的
表徵圖,API安全將為您建立一個匯出任務。單擊API安全頁面右上方的匯出記錄。定位到要下載的檔案,單擊操作列的下載。