Integra Apigee con tu solución de SIEM

Esta página se aplica a Apigee y Apigee Hybrid.

Muchas organizaciones buscan integrar Apigee con sus soluciones de administración de información y eventos de seguridad (SIEM). Esta integración permite la correlación valiosa de los datos de Apigee con otros registros de productos de red y seguridad, lo que facilita la detección avanzada de amenazas, el registro completo y los informes de cumplimiento. En este documento, se exploran varios enfoques de integración para situaciones con y sin el complemento Advanced API Security.

Público

El público de este documento incluye lo siguiente:

  • Los administradores de API que son responsables de garantizar la seguridad de la API, administrar las configuraciones de la plataforma, respaldar la eficiencia operativa y cumplir con los requisitos de cumplimiento de seguridad.
  • Los analistas de seguridad se enfocaron en detectar e investigar de forma proactiva los incidentes de seguridad relacionados con las APIs para minimizar los riesgos y proteger los datos sensibles.

Opciones de configuración

Apigee ofrece dos métodos principales para enviar información de registro a una SIEM:

Opción Descripción
Registros de plataforma de Google Cloud Proporciona un nivel básico de datos de registro de API, incluidos los registros específicos del servicio que son útiles para la depuración y la solución de problemas.
Política de registro de mensajes de Apigee La política de registro de mensajes ofrece mayor flexibilidad y control, lo que te permite enviar a tu SIEM una amplia variedad de datos de registro de Apigee, incluidas las variables de flujo específicas.

Integra Apigee en tu SIEM

La adaptabilidad de Apigee garantiza una integración fluida con la solución de SIEM que elijas. Los pasos de integración generales son los siguientes:

  1. Elige tu método de integración. Selecciona los registros de la plataforma de Google Cloud o la política de registro de mensajes de Apigee según tus requisitos de datos y las capacidades de SIEM.
  2. Establece el reenvío de datos. Para establecer el reenvío de datos, configura Apigee para que envíe los datos de registro deseados a tu SIEM. Los pasos básicos para esta configuración son los siguientes. Los pasos exactos dependen de la configuración y los detalles de configuración de tu sistema SIEM:
    1. Configura una conexión o integración entre Apigee y tu SIEM.
    2. Especifica en tu configuración de SIEM qué registros o eventos de Apigee se deben reenviar a tu SIEM.
    3. Otorga los permisos necesarios en tu SIEM para recibir y procesar los datos de Apigee.
  3. Alinea estructuras de datos. Asigna los campos de registro y las variables de flujo de Apigee (como client.ip, request.uri, etcétera) a los campos correspondientes en el modelo de datos de tu SIEM. Esta alineación garantiza que el SIEM pueda interpretar y categorizar correctamente los datos de Apigee para un análisis y una correlación eficaces con otros eventos de seguridad.

Registra los datos de Advanced API Security

Si deseas registrar datos que se identificaron mediante la detección de abusos de Advanced API Security, puedes usar Acciones con la política de Logging de mensajes de Apigee.

Lleva a cabo los pasos siguientes:

  1. Usa Acciones de Advanced API Security para marcar una regla que deseas registrar.
  2. Usa el encabezado que agrega la acción para activar la política de Message Logging a fin de registrar la solicitud marcada. Por ejemplo, en la siguiente imagen, se muestra el encabezado apisec configurado con el valor abuse en la IU de acciones:

    Captura de pantalla que muestra el encabezado apisec configurado con abuso de valor en la IU de acciones de seguridad de la API

    Siguiendo este ejemplo, puedes configurar la política de registro de mensajes para que se active cuando vea el encabezado:

    <PostFlow name="PostFlow">
  <Request>
    <Step>
      <Condition>request.header.apisec="abuse"</Condition>
      <Name>LogMessagePolicy</Name>
    </Step>
  </Request>
</PostFlow>

Ejemplo: Usa la política de registro de mensajes de Apigee

En este ejemplo, se muestra cómo configurar la política de registro de mensajes de Apigee para enviar datos de registro de Apigee a una SIEM. Con esta opción, debes especificar en la política de Message Logging qué variables de flujo de Apigee deseas enviar a SIEM. Esta opción te permite enviar un conjunto más completo de detalles de registro al SIEM que el que obtienes con la opción de registro de la plataforma de Cloud.

  1. Habilita la transferencia de datos de Apigee a SIEM.
  2. Crea una política de registro de mensajes con el siguiente cuerpo XML. Para obtener ayuda, consulta Adjunta y configura políticas en la IU. 
    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <MessageLogging continueOnError="false" enabled="true" name="ML-SIEM-Integration">
      <CloudLogging>		
        <LogName>projects/{organization.name}/logs/Apigee-SIEM-Integration-{environment.name}</LogName>
        <Message contentType="application/json" defaultVariableValue="unknown"> 
        {
          "apigee.metrics.policy.{policy_name}.timeTaken": "{apigee.metrics.policy.{policy_name}.timeTaken}",
          "client.country": "{client.country}", 
          "client.host": "{client.host}",
          "client.ip": "{client.ip}",
          "client.locality": "{client.locality}",
          "client.port": "{client.port}",
         "client.state": "{client.state}",
          "organization.name": "{organization.name}",
        "proxy.client.ip": "{proxy.client.ip}",
        "proxy.name": "{proxy.name}",
        "proxy.pathsuffix": "{proxy.pathsuffix}",
        "proxy.url": "{proxy.url}",
        "request.uri": "{request.uri}",
        "request.verb": "{request.verb}",
        "response.content": "{response.content}",
        "response.reason.phrase": "{response.reason.phrase}",
        "response.status.code": "{response.status.code}",
        "system.region.name": "{system.region.name}",
        "system.timestamp": "{system.timestamp}",
        "system.uuid": "{system.uuid}",
        "target.country": "{target.country}",
        "target.host": "{target.host}",
        "target.ip": "{target.ip}",
        "target.locality": "{target.locality}",
        "target.organization": "{target.organization}",
        "target.port": "{target.port}",
        "target.scheme": "{target.scheme}",
        "target.state": "{target.state}",
        "target.url": "{target.url}"
        }
         </Message>
      </CloudLogging>
    </MessageLogging>
  3. Adjunta la política al Proxy Endpoint Post Flow. Consulta Adjunta y configura políticas en la IU.

A medida que el proxy de API procesa el tráfico, la política de registro capturará los campos especificados de las solicitudes y respuestas, y los escribirá en el archivo de registro para el análisis y la depuración.