SAP云平台API管理提供了许多现成的API安全最佳实践，可以根据您的企业需求进行定制。这些API安全最佳实践包括身份验证和授权、流量管理等安全策略。

在博客系列中，针对SQL注入攻击和XML外部实体注入攻击的威胁保护，我们已经描述了SAP云平台API管理中正则表达式保护安全策略的使用，以保护API免受常见的云威胁。在Log all API interactions博客中，我们描述了SAP云平台的消息日志策略的使用，将API交互记录到第三方日志服务器（如Loggly）中。

在本博客中，我们将介绍在检测到代码注入威胁（SQL威胁/XXE攻击）时发出警报的场景。使用SAP Cloud Platform API Management的消息日志策略，将检测到的任何安全威胁记录到Loggly租户中，然后使用Loggly的raise alerts功能，大数据分析网站，在检测到云威胁时发送电子邮件通知，可以很容易地对这种情况进行建模。

在博客中，我们使用Loggly作为第三方日志记录服务器，或者可以使用其他日志服务器，如Splunk。

前提条件

SAP云平台API管理租户。Loggly tenant.

来自Loggly tenant的客户令牌

登录到您的Loggly tenant。导航到Source设置，个人免费云服务器，然后单击Customer Tokens选项卡以获取您的Loggly令牌。此令牌必须在"日志常规保护威胁"一节后面的消息日志策略中使用。

启动API门户

登录到您的SAP云平台API管理帐户（例如https://account.hanatrial.ondemand.com/cockpit).导航到"服务"选项卡，搜索API管理服务磁贴并单击以打开API管理服务。

单击访问API门户的链接以打开API门户。

记录常规保护威胁

在本节中，我们将使用消息日志策略将检测到的威胁记录到日志服务器

从汉堡包图标导航到定义，然后选择"API"选项卡。选择应用了API速率限制的API代理。

单击所选API代理的"策略"按钮。

从ProxyEndPoint中选择"预流"并选择"checkForCodeInjection策略"，然后通过将continueOnError标志设置为true来更新策略。

单击"+"按钮在"扩展策略"段下可用的消息日志策略旁边，将生成的日志消息记录到第三方日志服务器。

在"创建策略"屏幕中，指定策略名称，说"logThreatsToLoggly"，然后单击"添加"按钮。

选择策略新添加的logThreatsToLoggly策略，然后添加下面的策略代码段将生成的日志数据记录到一个Loggly租户中。

上面的代码段将记录检测到威胁的api代理名称，并将标记威胁检测添加到日志消息中。此标记将用于在Loggly服务器上配置警报一节中的Loggly服务器上创建自定义警报。

编辑添加到向Loggly服务器发布日志消息的策略片段，以使用在Loggly租户中配置的客户令牌，如来自Loggly租户的客户令牌一节中所述，通过替换用您的LOGGLY CUSTOMER令牌发送您的\u LOGGLY\u租户\u客户\u令牌（在上一屏幕截图中突出显示）。

在条件字符串中指定以下条件，以便仅在检测到威胁时记录消息（即正则表达式策略失败情况）

单击引发故障旁边的+按钮"中介策略"段下提供的策略。

在"创建策略"屏幕中指定策略名称，说"raiseAccessDeniedError"，然后单击"添加"按钮。

选择新创建的raiseAccessDeniedError策略，并添加以下策略片段以返回状态代码为403且拒绝访问的错误错误。

RaiseFault策略允许向客户端返回自定义错误消息。上面的策略片段将返回错误响应，HTTP状态设置为403，国家大数据，原因短语设置为拒绝访问。

在条件字符串中指定以下条件，以仅在检测到威胁时引发拒绝访问错误（即正则表达式策略失败情况）

单击更新按钮保存策略更改

点击保存按钮保存对API代理的更改。

我们成功应用了消息日志策略，将通过常规威胁检测检测到的威胁记录到第三方日志服务器，如Loggly，并引发403拒绝访问错误。

配置警报在Loggly服务器上

在本节中，我们将介绍在Loggly服务器上配置警报的步骤。

登录到您的Loggly租户。导航到"搜索"选项卡，然后单击"所有来源"文本字段旁边的选项卡+新建

，输入文本tag="Threat Detection"，创建自定义搜索，以识别带有标记Threat Detection的日志消息。在记录检测到的威胁时，此标记用于消息日志策略。在"时间窗口"字段中，选择"最近30分钟选项"

单击收藏夹（*图标）将搜索字段保存为自定义搜索字段，然后在"创建保存的搜索"对话框中选择"将此搜索另存为"选项，输入自定义搜索的名称say Threat Detection，然后选择保存然后创建警报。

在添加警报对话框中，输入警报的名称和描述say Cloud Threat Detection，指定警报条件，淘客帝国，输入警报电子邮件通知应发送到的电子邮件地址，然后单击保存按钮。

新创建的警报将出现在警报选项卡

下，通过此操作，我们已成功在Loggle tenant中创建警报，以便在超过10条带有威胁检测标签的日志消息时发送电子邮件通知在给定的1小时窗口内收到。

最终测试流

从汉堡包图标导航到测试选项卡

从API列表搜索要测试的API代理，说GatewayServiceRestrictedAccess，然后单击要测试的API。

单击Authentication:None链接，然后单击选择"基本身份验证"以设置连接到SAP Gateway ES4系统的用户凭据

将您的用户凭据输入到SAP Gateway ES4系统，然后单击"确定"按钮

单击"Url参数"按钮。输入$format作为URL参数名，drop table作为参数值，在线自助建站系统，然后单击Send按钮

由于查询参数中传递了一个SQL命令drop table，正则表达式保护策略会检测到它，然后返回一个错误。

多次单击Send按钮（超过10次），以便发出警报并向您配置的电子邮件地址发送电子邮件通知。

进一步阅读