Web 应用防火墙 API 资产管理-操作指南-文档中心-腾讯云

功能简介
API 资产管理功能为对目前 API 资产情况、API 活跃程度、API 涉敏情况、API 资产处置等进行分析，方便用户了解当前 API 资产的各个维度的情况。
前提条件
已购买 WAF 包年包月实例，并开通 API 安全。
API 资产列表
1. 登录 Web 应用防火墙控制台，在左侧导航栏中选择 API 资产管理。
2. 在 API 资产管理页面，单击左上角“全部域名”下拉框，选择要查看的域名，右侧展示当前域名是否开启 API 安全。
﻿
如 API 安全开关未开启，需前往接入管理页面，筛选已购买API安全的实例下需开启 API 安全开关的域名，单击
﻿
开启开关。
说明：
开启 API 安全开关后，将开始对流量进行分析，预计30分钟后完成分析，展示 API 资产列表及相关统计数据。
﻿
3. 在 API 资产管理页面，上方为 API 资产概览和 API 处理状态两部分。
﻿
字段名称
说明
API 总数
当前域名下 API 资产总数。
新发现 API
当前域名下 API 资产状态为新发现的 API 资产总数。
过去7日活跃 API
当前域名下过去7日，有访问的 API 资产总数。
过去7日失活 API
当前域名下过去7日，没有访问的 API 资产总数。
场景数量
当前域名下 API 资产所属场景总数。
已确认 API
当前域名下 API 资产中，为已确认状态的API资产总数。
确认中 API
当前域名下 API 资产中，为确认中状态的 API 资产总数。
已忽略 API
当前域名下 API 资产中，为已忽略状态的 API 资产总数。
4. 在 API 资产管理页面，可以通过资产目录、时间、仅查看涉敏 API 或仅查看无鉴权机制 API ，搜索某个域名的 API 数据。
通过 API 资产数，筛选指定目录下 API 资产。
通过指定的时间范围，搜索最近更新时间在查询时间范围内的 API 数据。
单击选中仅查看涉敏 API 、仅查看响应体涉敏 API 、仅查看请求体涉敏 API 可筛选对应的涉敏 API 数据列表。
﻿
5. 在资产列表区域，主要包括 API 资产数据列表、API 资产进行状态变更、API 资产详情展示、API资产加固、API 资产搜索，以及 API 资产下载等功能。
﻿
API 资产数据列表：可查看当前选中的域名在选中时间范围内识别发现的 API 资产列表。
字段名称
说明
API
API 请求方式和 API 名称。
风险等级
API 的风险等级，风险等级根据涉敏情况及资产风险事件情况综合判断。
所属域名
该 API 所属域名。
近30天调用量
该 API 自发现时间起最近30天调用量，每30分钟更新一次。
功能场景
该 API 所属的功能场景标签，包括内置场景和自定义场景。
数据标签
该 API 涉敏数据的标签，包括内置规则和自定义规则。
是否活跃
该 API 最近7天是否活跃。
是否鉴权
该 API 是否有鉴权机制，包括内置规则和自定义规则。
资产状态
该 API 当前的资产状态。
资产状态包括：新发现、确认中、已确认、已下线、已忽略。
备注
该 API 资产的备注。
最近更新时间
该 API 最近一次资产信息更新时间。
发现时间
该 API 最早一次资产信息更新的时间。
操作
支持对资产进行状态变更、查看详情和资产加固操作。
状态变更：单击状态变更，即可对当前 API 资产进行状态变更处理。
﻿
用户名 ：非空，默认填充当前控制台账户名称。
备注 ：可填写相应备注信息。
查看详情：单击查看详情，即可查看当前 API 的资产详情。
字段名称
说明
API 概览
主要包括 API 近7天访问趋势、近7天访问来源分布以及近7天访问请求特征。
API 攻击概览
主要包括 API 近7天攻击趋势、近7天异常访问请求 TOP 统计等。
参数样例
API 的请求和相应的参数样例。
参数列表
API 的请求和相应的参数字段列表。
关联事件
API 关联事件列表。
资产变更历史
API 资产变更数据列表。
API 资产加固：可快速针对 API 配置入参检测规则、限流规则，提升 API 防护效果。
﻿
API 资产搜索：可根据“API 名称、所属域名、资产状态”等关键字进行搜索。
﻿
API 资产下载：单击
﻿
，选择所需字段，单击导出可对数据列表进行下载。
﻿
API 资产详情
1. 在 API 资产管理页面，单击 API 名称或操作列中的查看详情。
﻿
2. 在资产详情页面，可查看当前 API 的以下详细信息。
单击 API 概览，支持查看 API 近7天访问趋势、近7天访问来源分布以及近7天访问请求特征。
﻿
﻿单击 API 攻击概览，支持查看 API 近7天攻击趋势、近7天异常访问请求 TOP 统计等。其中，BOT 攻击、Web 攻击、CC 攻击、自定义策略攻击分别展示攻击日志中该 API 对应类型风险的数量及趋势。
﻿
单击参数样例，支持查看请求及响应信息，并支持筛选仅查看涉敏参数或已泛化参数。
﻿
单击参数列表，支持查看请求及响应中的参数名、参数类型、参数位置、涉敏情况、备注，并支持对参数进行泛化、编辑参数标签。
﻿
是否鉴权：单击
﻿
后，支持添加鉴权凭据识别规则，将指定字段设置为该 API 资产的鉴权参数。
﻿
参数泛化：选择泛化后，对应的API资产参数样例中该参数值将展示泛化后数据。
编辑参数：单击编辑后，支持修改参数类型、参数是否泛化、参数数据标签、备注等。
﻿
﻿
单击关联事件，支持查看该 API 相关的风险事件，并进行处置。
﻿
单击资产变更历史，支持查看该 API 的变更时间、变更人及变更内容，追溯变更历史。
﻿
﻿

字段名称	说明
API 总数	当前域名下 API 资产总数。
新发现 API	当前域名下 API 资产状态为新发现的 API 资产总数。
过去7日活跃 API	当前域名下过去7日，有访问的 API 资产总数。
过去7日失活 API	当前域名下过去7日，没有访问的 API 资产总数。
场景数量	当前域名下 API 资产所属场景总数。
已确认 API	当前域名下 API 资产中，为已确认状态的API资产总数。
确认中 API	当前域名下 API 资产中，为确认中状态的 API 资产总数。
已忽略 API	当前域名下 API 资产中，为已忽略状态的 API 资产总数。

字段名称	说明
API	API 请求方式和 API 名称。
风险等级	API 的风险等级，风险等级根据涉敏情况及资产风险事件情况综合判断。
所属域名	该 API 所属域名。
近30天调用量	该 API 自发现时间起最近30天调用量，每30分钟更新一次。
功能场景	该 API 所属的功能场景标签，包括内置场景和自定义场景。
数据标签	该 API 涉敏数据的标签，包括内置规则和自定义规则。
是否活跃	该 API 最近7天是否活跃。
是否鉴权	该 API 是否有鉴权机制，包括内置规则和自定义规则。
资产状态	该 API 当前的资产状态。资产状态包括：新发现、确认中、已确认、已下线、已忽略。
备注	该 API 资产的备注。
最近更新时间	该 API 最近一次资产信息更新时间。
发现时间	该 API 最早一次资产信息更新的时间。
操作	支持对资产进行状态变更、查看详情和资产加固操作。

字段名称	说明
API 概览	主要包括 API 近7天访问趋势、近7天访问来源分布以及近7天访问请求特征。
API 攻击概览	主要包括 API 近7天攻击趋势、近7天异常访问请求 TOP 统计等。
参数样例	API 的请求和相应的参数样例。
参数列表	API 的请求和相应的参数字段列表。
关联事件	API 关联事件列表。
资产变更历史	API 资产变更数据列表。

API 资产管理

本页目录：

功能简介

前提条件

API 资产列表

API 资产详情