API 资产管理功能为对目前 API 资产情况、API 活跃程度、API 涉敏情况、API 资产处置等进行分析,方便了解当前 API 资产各个维度的情况。
前提条件
API 资产列表
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,单击 API 资产管理。
2. 在 API 资产管理页面,单击左上角全部域名下拉框,选择要查看的域名,右侧展示当前域名是否开启 API 安全。
如 API 安全开关未开启,需前往接入管理页面,筛选已购买API 安全的实例下需开启 API 安全开关的域名,单击
说明:
开启 API 安全开关后,将开始对流量进行分析,预计30分钟后完成分析,展示 API 资产列表及相关统计数据。
3. 在 API 资产管理页面,上方为 API 资产概览和 API 处理状态两部分。
字段名称 | 说明 |
API 总数 | 当前域名下 API 资产总数。 |
新发现 API | 当前域名下 API 资产状态为新发现的 API 资产总数。 |
过去7日活跃 API | 当前域名下过去7日,有访问的 API 资产总数。 |
过去7日失活 API | 当前域名下过去7日,没有访问的 API 资产总数。 |
场景数量 | 当前域名下 API 资产所属场景总数。 |
已确认 API | 当前域名下 API 资产中,为已确认状态的API 资产总数。 |
确认中 API | 当前域名下 API 资产中,为确认中状态的 API 资产总数。 |
已忽略 API | 当前域名下 API 资产中,为已忽略状态的 API 资产总数。 |
4. 在 API 资产管理页面,可以通过资产目录、时间、仅查看涉敏 API 或仅查看无鉴权机制 API,搜索某个域名的 API 数据。
通过 API 资产树,筛选指定目录下 API 资产。
通过指定的时间范围,搜索最近更新时间在查询时间范围内的 API 数据。
单击选中仅查看涉敏 API 、仅查看无鉴权机制 API 可筛选对应的 API 数据列表。
5. 在资产列表区域,主要包括 API 资产数据列表、API 资产状态变更、API 资产详情展示、API 资产加固、API 资产搜索,以及 API 资产下载等功能。
API 资产数据列表:可查看当前选中的域名在选中时间范围内识别发现的 API 资产列表。
字段名称 | 说明 |
API | API 请求方式和 API 名称。 |
风险等级 | API 的风险等级,风险等级根据涉敏情况及资产风险事件情况综合判断。 |
所属域名 | 该 API 所属域名。 |
所属负载均衡实例 ID | 该 API 所属负载均衡实例 ID。 |
近30天调用量 | 该 API 自发现时间起最近30天调用量,每30分钟更新一次。 |
功能场景 | 该 API 所属的功能场景标签,包括内置场景和自定义场景。 |
数据标签 | 该 API 涉敏数据的标签,包括内置规则和自定义规则。 |
是否活跃 | 该 API 最近7天是否活跃。 |
是否鉴权 | 该 API 是否有鉴权机制,包括内置规则和自定义规则。 |
资产状态 | 该 API 当前的资产状态。 资产状态包括:新发现、确认中、已确认、已下线、已忽略。 |
备注 | 该 API 资产的备注。 |
最近更新时间 | 该 API 最近一次资产信息更新时间。 |
发现时间 | 该 API 最早一次资产信息更新的时间。 |
操作 | 支持对资产进行状态变更和资产加固操作。 |
状态变更:单击状态变更,即可对当前 API 资产进行状态变更处理。
用户名 :非空,默认填充当前控制台账户名称。
备注 :可填写相应备注信息。
API 资产加固:可快速针对 API 配置入参检测规则、限流规则,提升 API 防护效果。
API 资产搜索:可根据“API 名称、所属域名、资产状态”等关键字进行搜索。
API 资产下载:单击
API 资产详情
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,单击 API 资产管理。
2. 在 API 资产管理页面,单击 API 名称。
3. 在 API 资产详情页面,可查看当前 API 的以下详细信息。
在 API 资产详情页面上方,可以查看 API 详细信息。
功能场景:单击功能场景旁的
字段说明:
场景名称:场景名称,最长10个字符。
匹配方式:至少需要添加一条匹配条件,最多可以添加5条。
匹配字段 | 匹配参数 | 逻辑符号 | 匹配内容 |
API 名称 | - | 支持选择匹配包含其一(OR)、包含全部(AND)或正则匹配(识别是否符合特定正则表达式)。 | 回车分隔多个值,最多输入20个。 |
GET 参数名 | - | | |
GET 参数值 | 请输入参数名 | | |
POST 参数名 | - | | |
POST 参数值 | 请输入参数名 | | |
Cookie 参数名 | - | | |
Cookie 参数值 | 请输入参数名 | | |
Header 参数名 | - | | |
Header 参数值 | 请输入参数名 | | |
Response 参数名 | - | | |
Response 参数值 | 请输入参数名 | | |
规则开关:支持开启或关闭该条规则。
状态变更:单击状态变更,即可对当前 API 资产进行状态变更处理。
用户名 :非空,默认填充当前控制台账户名称。
备注 :可填写相应备注信息。
单击 API 概览,支持查看 API 近7天访问趋势、近7天访问来源分布以及近7天访问请求特征。
单击 API 攻击概览,支持查看 API 近7天攻击趋势、近7天异常访问请求 TOP 统计等。其中,BOT 攻击、Web 攻击、CC 攻击、自定义策略攻击分别展示攻击日志中该 API 对应类型风险的数量及趋势。
单击参数样例,支持查看当前样例或其他样例的请求及响应信息,并支持筛选仅查看涉敏参数或已泛化参数。
保存样例:单击保存样例,输入样例名称后单击确定可以保存当前参数样例。保存后,可以在左上角下拉查看已保存的参数样例详情,最多支持保存3个参数样例。如输入已存在的样例名称,确定保存时将直接覆盖之前保存的同名样例。
单击
单击参数列表,支持查看请求及响应中的参数名、参数类型、参数位置、涉敏情况、备注,并支持对参数进行泛化、编辑参数标签。
是否鉴权:单击
参数泛化:选择泛化后,对应的 API 资产参数样例中该参数值将展示泛化后数据。
编辑参数:单击编辑后,支持修改参数类型、参数是否泛化、参数数据标签、备注等。
单击关联事件,支持查看该 API 相关的风险事件,并进行处置。
单击资产变更历史,支持查看该 API 的变更时间、变更人及变更内容,追溯变更历史。
问题与处理建议
在使用 API 资产管理功能时,如遇到以下问题,请参考相应的处理建议进行排查和处理:
问题描述
问题1:已向某 API 发起访问请求,但在资产列表中未显示该 API。
问题2:资产列表中未显示某 API。
可能原因
访问频率不足:API 访问次数未达到系统资产刷新的触发阈值。
刷新周期未到:当前时间未满足系统默认的20分钟固定刷新周期。
访问源受限:发起访问的源 IP 处于精准白名单、IP 白名单或 IP 黑名单中,导致请求未经过 API 安全模块检测。
解决思路
API 安全提供多方面且持续的 API 资产发现能力。若资产列表中缺失某个 API,可依据不同原因,采取调整资产刷新策略、等待系统完成刷新周期或优化访问源 IP 配置等措施,以此保障 API 访问请求能够被正常监测,并纳入资产列表之中。
处理建议
若因访问频率不足导致未显示:降低 API 资产刷新的触发阈值,提高检测灵敏度。例如,在 API 资产管理 页面,单击右上角API 接口配置定义,将资产刷新周期调整为20分钟1次。
若因刷新周期未到导致未显示:等待系统完成固定周期的资产刷新。例如,若已发起 API 访问请求,但时间未超过20分钟,请等待至发起请求20分钟后再查看资产列表,确认是否显示该 API。
若因访问源 IP 受限导致未显示:调整黑白名单配置或更换访问源 IP 后重新尝试。例如,若访问源 IP 在 IP 白名单中,会使请求被 API 安全模块放过;处理建议为,取消该 IP 白名单,改为配置精准白名单,并在加白模块中取消勾选 API 安全。
