本文介紹了阿里云API安全的API資產管理功能,包括查看API資產數據詳情、管理目標API、查看API詳情,以及導出與下載功能。
一、頁面功能介紹
您可以通過以下兩種方式,查看API資產數據詳情:
在API安全頁面單擊資產管理頁簽。
在概覽頁簽,單擊請求敏感數據類型統計表格的查看更多按鈕,或單擊響應敏感數據類型統計表格右上角的查看更多按鈕。
在API安全頁面的資產管理頁簽,可以查看API資產管理數據統計與條件搜索相關信息。該頁簽主要包含三個功能模塊:API資產總覽、左側站點欄、API資產列表。
API資產總覽
通過統計數據,展示API資產總數及今日新增數、活躍API數、失活API數,響應涉敏站點數、響應涉敏API數、跨境敏感數據傳輸API數、存在機器請求API數。
您可以在API資產列表下單擊今日新增、失活API數,響應涉敏站點數、響應涉敏API數統計的對應數字,在API資產列表下查看該部分的詳細數據。統計數據默認統計周期為30天。
左側站點欄
左側站點欄展示了您的站點名稱及該站點下包含的API數量,您可以通過單擊欄內站點,在API資產列表處查看對應站點的詳細數據列表。
API資產列表
API資產列表支持您通過如下方法,搜索目標API資產:
簡單搜索
在API風險列表上方的搜索框,單擊
圖標,選擇API、或備注,并輸入對應的API接口地址或備注。高級搜索
單擊更多篩選,設置搜索條件。完成搜索條件設置后單擊搜索按鈕進行查詢操作,具體搜索條件下表所示。
條件名稱 | 說明 |
設置展示項 | 單擊列表右上角的 |
時間 | API資產的最近活躍時間,默認時間范圍為30天內的數據(從昨日起30天24小時整,加今日截止查詢時有記錄的數據),此外還支持的快捷查詢包括最近15分鐘、最近30分鐘、最近1小時、最近24小時、今天、昨天、7天的數據。自定義時刻查詢的最小粒度為10分鐘。 |
請求敏感數據類型 | 支持多選。 |
響應敏感數據類型 | 支持多選。 |
服務對象 | 支持多選。 |
業務用途 | 支持多選。 |
請求方法 | 支持多選。 |
活躍狀態 | 單選。 |
關注狀態 | 單選。 |
鑒權 | 單選。 |
接口敏感等級 | 支持多選。 |
圖標,選擇要在列表中展示的數據字段。二、管理目標API
根據上述條件搜索定位到目標API后,您可以通過列表中的功能管理您的API資產,列表中字段的詳細說明如下表所示。
列表字段 | 字段說明 |
API | 該字段顯示了API名稱、API狀態及請求方法。
|
域名/ip | API接口所屬的域名或ip。 |
調用量 | 該API接口近30天的訪問量。 |
接口敏感等級 | 基于響應數據中包含的敏感數據類型以及敏感數據量級評定,分為高敏感、中敏感、低敏感、非敏感四個等級。 |
請求敏感數據類型 | 請求中包含的敏感數據類型。 |
響應敏感數據類型 | 響應中包含的敏感數據類型。 |
機器請求數 | 機器發起的請求量。通過四層及七層流量指紋分析,統計源IP是機器發起的請求量。 |
跨境請求數 | 統計源IP來自于非中國內地的請求量。 |
業務用途 | 用于標識接口的功能用途,基于API接口的路徑特征和參數名特征,與內置及自定義的業務用途字段進行匹配判定。您也可以在策略配置 > 業務用途配置中根據自身業務特性進行定制,詳細操作請參見業務用途配置。 |
服務對象 | API接口的調用方或使用者,基于接口命名特征和訪問來源的聚集性進行判斷,分為內部辦公、三方合作與公共服務三類。 |
鑒權 | API接口的鑒權字段,系統已內置鑒權憑據的識別邏輯,您也可以在策略配置 > 鑒權憑據配置中根據自身業務特性進行定制,詳細操作請參見鑒權憑據配置。 |
風險/事件 | 單擊風險/事件列下的數字,在API風險詳情列表,查看風險或事件詳情。風險或事件詳情的更多信息請參見風險與事件。 |
首次發現時間 | API接口的首次發現時間。 |
最近活躍時間 | API接口最近的被訪問時間。 |
關注 | 更改您對該API接口的關注狀態,單擊關注列的 |
備注 | 您可以在該字段中根據業務需求添加API接口的備注信息,單擊備注列的 |
圖標可以關注該API接口。
圖標,填寫備注信息后,單擊
圖標。關于敏感數據類型的詳細信息,請參見API安全支持檢測哪些敏感數據。
關于服務對象類型的詳細信息,請參見API安全如何區分接口的服務對象。
關于業務用途類型的詳細信息,請參見API安全如何劃分API業務用途。
關于接口的敏感等級說明,請參見API安全的接口敏感等級如何劃分。
三、API詳情
您可以單擊API資產列表中的API列鏈接進入API詳情抽屜頁,也可以在彈出的抽屜頁右上方單擊
圖標進入API詳情頁面查看API資產詳情。
API詳情頁面包含API資產的詳細信息,以及請求樣例、流量分析、風險及事件、防護建議頁簽。
請求樣例
請求樣例包含最多五個隨機抽樣的API請求樣例,并支持單擊拆分展示和合并展示的切換展示形式進行查看
拆分展示支持將樣例分為常規、請求頭、響應頭、請求體、響應體進行查看和單獨復制。
合并展示支持將樣例分為請求樣例和響應樣例進行查看和單獨復制,方便您進行流量重放。
單擊瀏覽器打開,可以進行快速驗證操作,單擊命令行可以獲取命令內容進行手工訪問驗證。
請求參數類型及響應參數類型部分顯示了API安全功能通過流量基線識別、標記當前樣例,獲取的當前樣例請求參數和響應參數的參數名、值特征以及參數位置。
流量分析
流量分析展示了API接口30天內的訪問走勢,統計了接口的總調用量、機器請求量、跨境請求量。TOP20訪問源列出了30天內,從總流量、機器流量、跨境流量維度排名前20的訪問源。客戶端來源統計從Referer、客戶端、地理位置三個維度統計了30天內訪問客戶端的來源。
風險及事件
風險及事件展示了該API涉及的風險事件和安全事件并支持快速跳轉。
防護建議
根據API調用基線的情況給出了對應的防護建議。
四、導出與下載
僅阿里云主賬號支持該功能。
單擊API列表右上角的
圖標,API安全將為您創建一個導出任務。單擊API安全頁面右上角的導出記錄。定位到要下載的文件,單擊操作列的下載。