功能简介
API 资产管理功能为对目前 API 资产情况、API 活跃程度、API 涉敏情况、API 资产处置等进行分析,方便用户了解当前 API 资产的各个维度的情况。
前提条件
API 资产列表
1. 登录 Web 应用防火墙控制台,在左侧导航栏中选择 API 资产管理。
2. 在 API 资产管理页面,单击左上角“全部域名”下拉框,选择要查看的域名,右侧展示当前域名是否开启 API 安全。
如 API 安全开关未开启,需前往接入管理页面,筛选已购买API安全的实例下需开启 API 安全开关的域名,单击
开启开关。说明:
开启 API 安全开关后,将开始对流量进行分析,预计30分钟后完成分析,展示 API 资产列表及相关统计数据。
3. 在 API 资产管理页面,上方为 API 资产概览和 API 处理状态两部分。
字段名称 | 说明 |
API 总数 | 当前域名下 API 资产总数。 |
新发现 API | 当前域名下 API 资产状态为新发现的 API 资产总数。 |
过去7日活跃 API | 当前域名下过去7日,有访问的 API 资产总数。 |
过去7日失活 API | 当前域名下过去7日,没有访问的 API 资产总数。 |
场景数量 | 当前域名下 API 资产所属场景总数。 |
已确认 API | 当前域名下 API 资产中,为已确认状态的API资产总数。 |
确认中 API | 当前域名下 API 资产中,为确认中状态的 API 资产总数。 |
已忽略 API | 当前域名下 API 资产中,为已忽略状态的 API 资产总数。 |
4. 在 API 资产管理页面,可以通过时间或仅查看涉敏 API,搜索某个域名的 API 数据。
通过指定的时间范围,搜索最近更新时间在查询时间范围内的 API 数据。
单击选中仅查看涉敏 API 、仅查看响应体涉敏 API 、仅查看请求体涉敏 API 可筛选对应的涉敏 API 数据列表。
5. 在资产列表区域,主要包括 API 资产数据列表、API 资产进行状态变更、API 资产详情展示、API 资产搜索,以及 API 资产下载等功能。
API 资产数据列表:可查看当前选中的域名在选中时间范围内识别发现的 API 资产列表。
字段名称 | 说明 |
API | API 请求方式和 API 名称。 |
风险等级 | API 的风险等级。 |
所属域名 | 该 API 所属域名。 |
功能场景 | 该 API 所属的功能场景。 |
数据标签 | 该 API 涉敏数据的标签。 |
是否活跃 | 该 API 最近7天是否活跃。 |
资产状态 | 该 API 当前的资产状态。 资产状态包括:新发现、确认中、已确认、已下线、已忽略。 |
最近更新时间 | 该 API 最近有请求时间。 |
发现时间 | 该 API 最早一次请求的时间。 |
操作 | 状态变更和查看详情。 |
状态变更:单击状态变更,即可对当前 API 资产进行状态变更处理。
用户名 :非空,默认填充当前控制台账户名称。
备注 :可填写相应备注信息。
查看详情:单击查看详情,即可查看当前 API 的资产详情。
字段名称 | 说明 |
API 概览 | 主要包括 API 近7天访问趋势、近7天访问来源分布以及近7天访问请求特征。 |
API 攻击概览 | 主要包括 API 近7天攻击趋势、近7天异常访问请求 TOP 统计等。 |
参数样例 | API 的请求和相应的参数样例。 |
参数列表 | API 的请求和相应的参数字段列表。 |
关联事件 | API 关联事件列表。 |
资产变更历史 | API 资产变更数据列表。 |
API 资产搜索:可根据“API 名称、所属域名、资产状态”等关键字进行搜索。
API 资产下载:单击
,选择所需字段,单击导出可对数据列表进行下载。
API 资产详情
1. 在 API 资产管理页面,单击 API 名称或操作列中的查看详情。
2. 在资产详情页面,可查看当前 API 的以下详细信息。
单击 API 概览,支持查看 API 近7天访问趋势、近7天访问来源分布以及近7天访问请求特征。
单击 API 攻击概览,支持查看 API 近7天攻击趋势、近7天异常访问请求 TOP 统计等。其中,BOT 攻击、Web 攻击、CC 攻击、自定义策略攻击分别展示攻击日志中该 API 对应类型风险的数量及趋势。
单击参数样例,支持查看请求及响应信息,并支持筛选仅查看涉敏参数或已泛化参数。
单击参数列表,支持查看请求及响应中的参数名、参数类型、参数位置、涉敏情况、备注,并支持对参数进行泛化、编辑参数标签。
参数泛化:选择泛化后,对应的API资产参数样例中该参数值将展示泛化后数据。
编辑参数:单击编辑后,支持修改参数类型、参数是否泛化、参数数据标签、备注等。
单击关联事件,支持查看该 API 相关的风险事件,并进行处置。
单击资产变更历史,支持查看该 API 的变更时间、变更人及变更内容,追溯变更历史。