コンテンツにスキップ

APIセッションの探索

WallarmのAPI Sessionsがアプリケーションに関連するユーザーセッションを特定すると、Wallarm ConsoleのAPI Sessionsセクションでそれらのセッションを確認できます。本稿では、発見されたデータの確認方法について解説します。

脅威アクターの活動全体像

Once the malicious request is detected by Wallarm and displayed in the Attacks or Incidents section as the part of some attack, you have an ability to know the full context of this request: to which user session it belongs and what the full sequence of requests in this session is. This allows investigating all activity of the threat actor to understand attack vectors and what resources can be compromised.

To perform this analysis, in Wallarm Console → Attacks or Incidents, access the attack, and then specific request details. In request details, click Explore in API Sessions. Wallarm will open the API Session section filtered: the session, the initial request belongs to is displayed, only the initial request is displayed within this session.

Remove the filter by request ID to see all other requests in the session: now you have the full picture of what was going on within the session the malicious request belongs to.

特定の時間内の活動

指定された時間間隔内に何が起こったかを調査できます。これを行うには、日付/時間フィルタを設定してください。指定された時間に実行されたリクエストを含むセッションのみが表示され、各セッション内ではその時間間隔のリクエストのみが表示されます。

!API Sessions - 特定の時間内の活動

ヒント:ご自身のブラウザでセッションへのリンクを使用し、その後タイムインターバルを設定して、選択したセッション内の選択された時間のリクエストのみを表示してください。

セッション内の特定の活動

セッションには、POST、GETなどのさまざまなタイプのリクエスト、異なるレスポンスコード、異なるIP、正当なものと悪意あるもの、さまざまな攻撃タイプのリクエストが多数含まれている場合があります。

セッションの詳細では、さまざまな基準によるリクエストの分布に関する包括的な統計情報が表示されます。特定のリクエストのみを表示するために、セッション内フィルタ(1つまたは複数)を適用できます。

!API Sessions - セッション内フィルタ

セッション内フィルタは、API Sessionsセクションの一般フィルタと連携しています:

  • 一般フィルタが適用された後に開かれたセッションは、それらのフィルタを共有します(セッション内でShow all requestsをクリックしてキャンセルできます)。

  • 現在のセッション内に一般フィルタを適用するには、Apply filtersボタンを使用してください。

影響を受けたエンドポイントの確認

セッションリクエストの詳細でAPI Discovery insightsを使用して、影響を受けたエンドポイントを確認します。エンドポイントがリスクにさらされているか、そのリスクがエンドポイントがrogueである(具体的には、シャドウまたはゾンビAPI)ことに起因しているか、またそれがどの程度およびどのような対策により保護されているかを即座に把握できます。

!API Sessions - APIDエンドポイントインサイト

エンドポイント情報をAPI Discoveryセクションで確認するには、Explore in API Discoveryをクリックしてください。

パフォーマンス問題の特定

セッションリクエストの詳細にあるTime,msおよびSize,bytesの列を使用して、提示されたデータと平均期待値を比較できます。大幅に超過する値は、潜在的なパフォーマンス問題やボトルネック、ユーザーエクスペリエンスの最適化の可能性を示唆します。

機微なビジネスフロー

API Discoveryでは、sensitive business flow機能(NGINX Node 5.2.11またはネイティブNode 0.10.1以上が必要)により、認証、アカウント管理、請求などの重要な機能やビジネスフローに不可欠なエンドポイントを自動および手動で特定できます。

セッションのリクエストが、API Discoveryで重要とタグ付けされたエンドポイントに影響を与えた場合、そのセッションは自動的に当該ビジネスフローに影響を与えたものとしてタグ付けされます。

セッションに機微なビジネスフローのタグが付与されると、特定のビジネスフローでフィルタリングすることが可能となり、分析すべき重要なセッションを選定しやすくなります。

!API Sessions - 機微なビジネスフロー

Wallarmはビジネスフローを一覧表示し、全セッションリクエストに対するリクエスト数および割合を表示します。

セッションは、以下のいずれかの機微なビジネスフローに関連付けられる可能性があります:

  • AI/LLM (artificial intelligence/large language models) flows - requests/endpoints/parameters related to the systems that use ML models, neural networks, chatbots or systems that in turn access some paid third-party AI services, such as OpenAI.

  • Acc create (account creation) and Acc mgmt (account management) flows - the key administrative flows relating to your applications.

  • Admin (administrative) flows - requests/endpoints/parameters related to applications' administrative functions and activities. Such requests/endpoints/parameters are usually targeted by attackers in order to access functionality intended for privileged users only (BFLA), escalate privileges and gaining control over the system.

  • Auth (authentication) flows - requests/endpoints/parameters critical to access control, as they verify user identity and manage permissions. As the entry point to the app, they are often the first target for attackers seeking to bypass security, gain unauthorized access, and take over accounts.

  • Billing flows - sensitive due to usage and possible breach of critical personal financial data and susceptible to fraud.

  • SMS GW (SMS gateway) flows - requests/endpoints/parameters sensitive because attackers can exploit them in SMS pumping attacks, flooding them with messages to inflate costs. Since these requests/endpoints/parameters are connected to API gateways and payment systems, this can lead to financial loss and system overload.

特定のフローに影響を与えるすべてのセッションを迅速に分析するには、Business flowフィルタを使用してください。

ユーザーとロールによるセッション

設定済みの場合、ユーザーおよびそのロールに関する情報を取得するためにAPI Sessionsを利用して、セッションをユーザーやロールでフィルタリングできます。

!API Sessions - ユーザーおよびユーザーロール表示

API悪用検出の精度の検証

Once the malicious bot activity is detected by Wallarm's API Abuse Prevention and displayed in the Attacks section, you have an ability to know the full context of this attack's requests: to which user session they belong and what the full sequence of requests in this session is. This allows investigating all activity of the actor to verify whether the decision to mark this actor as malicious bot was correct.

To perform this analysis, in Wallarm Console → Attacks, access the bot attack details, then click Explore in API Sessions. Wallarm will open the API Session section filtered: the session(s) related to this bot activities will be displayed.

!API Sessions section - monitored sessions

攻撃検出の調整

セッション内の悪意あるリクエストから、Wallarmが攻撃検出に関してどのように動作するかを直接調整できます:

  • 攻撃がfalse-positiveとしてマークされると、フィルタリングノードは将来そのようなリクエストを攻撃として認識しなくなります。

  • ruleが作成されると、有効化されるとルールはリクエストの解析およびその後の処理時にデフォルトのWallarmの動作を変更します。

!API Sessions - リクエスト詳細 - 利用可能なアクション

セッション情報の共有

セッション内で疑わしい動作が見つかり、同僚とインサイトを共有し、今後の分析のためにセッションを保存したい場合は、セッション詳細内のCopy linkまたはDownload CSVを使用してください。

!API Sessions - セッション情報の共有