Detección de abusos

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

La detección de abuso de la seguridad avanzada de APIs te permite ver los incidentes de seguridad que involucran a tus APIs. Un incidente de seguridad es un grupo de eventos con patrones similares, que pueden representar una amenaza de seguridad. La seguridad avanzada de APIs usa modelos de aprendizaje automático para detectar patrones que son una señal de actividad maliciosa, incluida la recopilación y anomalía de APIs, junto con los eventos de clústeres basados en patrones similares.

Cuando la seguridad avanzada de la API detecta un incidente de seguridad, informa lo siguiente:

  • El nivel de riesgo y la duración del incidente
  • Los proxies afectados por el incidente
  • Las direcciones IP de los eventos del incidente
  • Las reglas de detección que se activaron con el incidente
  • Los países de origen del incidente

y otra información relacionada con el incidente.

Puedes acceder a la detección de abuso mediante la IU de Apigee, como se describe a continuación, o a través de la API de incidentes o la API de estadísticas de seguridad.

Consulta roles necesarios para la detección de abuso a fin de conocer los roles necesarios para realizar tareas de detección de abuso.

Ayuda a mejorar tus modelos de aprendizaje automático para la detección de abusos

Apigee solicita tu ayuda para mejorar los modelos de aprendizaje automático a fin de detectar abusos en tu organización, ya que nos permite entrenar los modelos en tus datos. Entrenar los modelos a partir de tus datos ayuda a mejorar su precisión para detectar incidentes de seguridad. La capacitación solo se aplicará a tus modelos y no se compartirán con ningún otro cliente de Google Cloud.

Cuando abras por primera vez la página de detección de abusos en la IU de Apigee, verás un banner que solicita tu permiso para entrenar los modelos de seguridad de tu organización en tu datos.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento de seguridad Advanced API Security.

Abrir la página de Detección de abuso

Para abrir la página de Detección de abusos, haz lo siguiente:

Esto muestra la página principal de Detección de abuso:

Página principal de detección de abuso.

Cambia los permisos para permitir que Apigee mejore tus modelos de aprendizaje automático

Puedes cambiar los permisos para permitir que Apigee mejore tus modelos de aprendizaje automático en cualquier momento si haces clic en Configuración en la parte superior derecha de la página de detección de abusos y seleccionas la opción para habilitar o inhabilitar esta función.

Página principal de detección de abusos

En la parte superior de la página, puedes seleccionar uno de los siguientes períodos recientes para ver los incidentes: las últimas 12 horas, 1 día, 1 semana o 2 semanas.

En la tabla de la página, se muestran los entornos de tu organización que se ven afectados por incidentes de seguridad durante el intervalo de tiempo seleccionado.

Cada fila de la tabla también muestra lo siguiente:

  • Entorno: El entorno en el que se produjo el abuso.
  • Total de incidentes: Es la cantidad total de incidentes en el entorno durante el intervalo de tiempo seleccionado. Consulta Limitaciones de incidentes y datos que se muestran para obtener más información sobre qué incidentes y datos se muestran en la IU.

  • Nivel de riesgo: Muestra la cantidad de incidentes en tres niveles de riesgo: grave, moderado y bajo. El nivel de riesgo se basa en distintas características de un incidente, como la cantidad de reglas detectadas, sus tipos y el tamaño relativo del incidente en comparación con el tráfico legítimo. El nivel de riesgo está diseñado para ayudarte a priorizar qué incidentes investigar, de modo que puedas enfocarte en los más importantes.

    El nivel de riesgo puede ser uno de los siguientes:

    • Gravedad: Los incidentes graves presentan un riesgo alto. Te recomendamos que priorices su investigación.
    • Moderado: los incidentes moderados presentan cierto riesgo, pero menos que aquellos con riesgo grave, y te recomendamos que los priorices por sobre los incidentes de riesgo bajo.
    • Bajo: Los incidentes de riesgo bajo se pueden investigar al final, después de investigar los incidentes de mayor riesgo.

    El número junto a cada nivel de riesgo indica la cantidad de incidentes con ese nivel de riesgo.

Detalles del entorno

Para ver los incidentes en un entorno del intervalo de tiempo seleccionado, selecciona el entorno en la tabla que se muestra arriba. Se abrirá la vista Detalles del entorno:

Vista de incidentes.

Si ves un incidente o tráfico detectado y deseas crear una acción de seguridad para bloquear o marcar solicitudes relacionadas con el incidente o el tráfico detectado, haz clic en Crea acción de seguridad (Create Security Action) en la parte superior de la página. Se abrirá la página Acciones de seguridad.

La vista Detalles del entorno (Environment details) tiene dos pestañas:

  • Incidentes: Muestra una lista de incidentes en el entorno y la información sobre ellos.
  • Tráfico detectado: Muestra detalles del tráfico de abuso detectado relacionado con los incidentes.

Incidentes

La pestaña Incidentes de la vista Detalles del entorno, que se muestra arriba, muestra las siguientes opciones:

  • Entorno: Cambia el entorno en el que se ven los incidentes.
  • Proxy: Puedes seleccionar Todos para mostrar los incidentes de todos los proxies o un proxy individual para mostrar solo los incidentes del proxy seleccionado.
  • Incluir incidentes archivados: Cuando se selecciona, la lista de incidentes muestra los incidentes archivados. Los incidentes archivados se muestran con un ícono junto a ellos: Ícono archivado.

    Para ocultar incidentes archivados de la lista, anula la selección de Incluir incidentes archivados. Es posible que quieras ocultar incidentes archivados si se muestran muchos incidentes y no deseas verlos todos, o si deseas ocultar los incidentes que ya investigaste.

La vista Incidentes también muestra la siguiente información:

  • Nombre del incidente: un nombre generado que resume el incidente.
  • Nivel de riesgo: el nivel de riesgo del incidente.

  • Reglas de detección: Una listan de reglas de detección que se activaron con el incidente.

  • Tráfico de incidentes: la cantidad total de eventos: llamadas a la API que se etiquetaron mediante una de las reglas de detección relacionadas con el incidente.
  • Primer evento detectado: la fecha y la hora en que se detectó el primer evento en el incidente.
  • Último evento detectado: la fecha y hora en que se detectó el último evento en el incidente.
  • Duración: la duración del incidente, desde el primer evento hasta el último.
  • UUID: El identificador único universal del incidente.

Detalles del incidente

Para ver los detalles de un incidente, haz clic en su nombre en la tabla. Esto muestra el panel Descripción general de la vista Detalles del incidente, como se muestra a continuación:

Vista de detalles del incidente.

Al igual que en la vista Detalles del entorno, puedes hacer clic en Crear acción de seguridad (Create Security Action) en la parte superior de la página para crear una acción de seguridad en respuesta al incidente.

La vista Detalles del incidente (Incident details) tiene dos pestañas: Descripción general (Overview) y Atributos (Attributes). Los atributos, también conocidos como dimensiones, son agrupaciones de datos que te permiten ver el incidente de diferentes maneras. Por ejemplo, el atributo de productos de API te permite ver los datos del incidente por producto de API.

Las pestañas Descripción general (Overview) y Atributos (Attributes) se describen a continuación.

Archiva los incidentes

Para ayudarte a distinguir entre los incidentes que ya investigaste y los que no analizaste, puedes archivar los incidentes que ya no requieren tu atención. Para archivar un incidente, se oculta de la lista Detalles del entorno > Incidentes (Environment details > Incidents), siempre que no esté seleccionada la opción Incluir incidentes archivados (Include archived incidents). El archivado no borra un incidente: siempre puedes desarchivarlo si cambias de opinión.

Para archivar un incidente, selecciona Archivar (Archive) en la parte superior de la vista Detalles del incidente (Incident details). Después de hacerlo, la etiqueta del botón Archivar cambia a Desarchivar. Botón para desarchivar.

Desarchiva los incidentes

Para desarchivar un incidente archivado, haz lo siguiente:

  1. En la vista Detalles del entorno > Incidentes (Environment details > Incidents), haz clic en el ícono junto al incidente que deseas desarchivar: Ícono archivado.
  2. En la parte superior de la lista de incidentes, haz clic en Desarchivar.

De forma alternativa, si te encuentras en la vista Detalles del incidente (Incident details), haz clic en Desarchivar.

Pestañas Descripción general y Atributos

Descripción general

En el panel Descripción general, se muestra información básica sobre el incidente, incluido lo siguiente:

  • Nombre del incidente: el nombre del incidente.
  • Nivel de riesgo: el nivel de riesgo del incidente.
  • Proxies afectados: La cantidad de proxies afectados por el incidente. Haz clic en Ver proxies para ver los proxies afectados.
  • Duración: la duración del incidente, desde el primer evento hasta el último.
  • Eventos: Muestra un gráfico de series temporales de eventos en el incidente. Para cada punto del gráfico, el valor y correspondiente es la cantidad total de eventos en un período corto alrededor de ese tiempo. Si colocas el cursor sobre un punto del gráfico, la cantidad de eventos en el período más reciente se muestra debajo de Valor. Para ver los valores en los que cambian los períodos, mueve el cursor hacia la izquierda o la derecha y observa dónde cambian los valores.

    En el panel Eventos, también se muestra la siguiente información sobre eventos:

    • Primer evento detectado: la fecha y la hora en que se detectó el primer evento en el incidente.
    • Último evento detectado: es la fecha y la hora en la que se detectó el último evento en el incidente.
    • Tráfico total de incidentes: la cantidad total de eventos relacionados con el incidente.

    Para ver las direcciones IP relacionadas con el incidente, haz clic en Ver todas las direcciones IP.

    Nota: Muestra direcciones IP únicas, incluso si más de un incidente corresponde a la misma dirección IP.
  • Se detectaron reglas principales: muestra hasta cinco de los grupos de reglas principales detectados, incluida la siguiente información:
    • Reglas predominantes: Las reglas de detección más importantes que se activaron con el incidente.
    • Eventos de APIs de las reglas dominantes: la cantidad de eventos de APIs etiquetados por las reglas dominantes.
    • Total de reglas detectadas: El número de reglas de detección que se activaron mediante el incidente.

    Para ver todas las reglas, haz clic en Ver todas las reglas en la parte inferior de la tarjeta.

  • Países principales detectados: Un mapa que muestra los países que fueron fuentes de eventos en el incidente. Debajo del mapa, se muestra un gráfico que muestra hasta cinco de estos países y el porcentaje del tráfico total que se origina en ellos.

    Nota: Si no se puede determinar el país de origen de los eventos, el mapa no se configura.

    Para ver todos los países, haz clic en Ver todos los países, en la parte inferior de la tarjeta.

Atributos

La vista Atributos te permite desglosar los detalles de un incidente. Los atributos, también conocidos como dimensiones, son agrupaciones de datos que te permiten ver el incidente de diferentes maneras. Por ejemplo, el atributo de productos de API te permite ver los datos del incidente por producto de API.

Para ver los Atributos, selecciona Atributos en la parte superior de la vista Detalles del incidente.

Panel de atributos con productos de API seleccionados.

En el panel izquierdo, se muestran todos los atributos y la cantidad de valores distintos para cada atributo. Puedes seleccionar un atributo para ver los detalles del incidente.

En la imagen anterior, se muestra la vista Atributos con Productos de API seleccionados. En el panel Productos de API, se muestran los gráficos del porcentaje de llamadas a la API realizadas para cada producto de API. Consulta Qué significa cuando un atributo tiene el valor (not set) para obtener información sobre el valor (not set).

El campo Filtro te permite filtrar los datos que se muestran en el panel de un atributo según varias propiedades.

En general, en el panel de un atributo, se muestra una tabla que muestra los datos de incidentes según los valores del atributo. Las columnas de la tabla incluyen la siguiente información:

  • Total de llamadas realizadas: la cantidad total de llamadas a la API.
  • Porcentaje de llamadas: porcentaje de todas las llamadas para cada valor del atributo.
  • Hora de la última detección: la última vez que se detectó un evento relacionado con el incidente.

Para algunos atributos, la tabla tiene columnas adicionales.

Puedes seleccionar entre los siguientes atributos en el panel izquierdo:

  • Productos de API: consulta los detalles de incidentes por producto de API.
  • Claves de apps: Visualiza los detalles de incidentes por clave de app, también conocida como clave de API o clave de consumidor, un identificador para el cliente.
  • Países/Regiones: visualiza los detalles de los incidentes según los países y las regiones donde se originaron los eventos en el incidente.
  • Desarrolladores: consulta los detalles de incidentes por parte de desarrolladores, es decir, las personas que usan tus APIs para desarrollar aplicaciones. Además de las tres columnas descritas anteriormente, los Desarrolladores también tienen una columna etiquetada Apps, que proporciona la cantidad de aplicaciones para cada desarrollador.
  • Apps de desarrolladores: visualiza los detalles de los incidentes por aplicación.

    Además de las tres columnas descritas antes, Apps de desarrolladores también tienen la columna Desarrolladores, que son las personas que crearon las apps.

  • Direcciones IP: visualiza los detalles de incidentes por direcciones IP que son fuentes de eventos en el incidente. Haz clic en Ver todas las direcciones IP para ver las direcciones IP. Nota: En el panel Direcciones IP, se muestran direcciones IP únicas, incluso si más de un incidente corresponde a la misma dirección IP.

    Direcciones IP muestra las siguientes columnas:

    • Dirección IP: la dirección IP del incidente.
    • Ubicación: la ubicación de la dirección IP.
    • Tráfico detectado: La cantidad total de solicitudes de la dirección IP.
    • % de las llamadas: El porcentaje de solicitudes de la dirección IP de todas las llamadas en el entorno.
    • Primer evento detectado: La primera vez que se detecta un evento en el incidente.
    • Último evento detectado: La última vez que se detectó un evento en el incidente.
  • Proxies: visualiza los detalles de los incidentes por proxy.
  • Códigos de respuesta: visualiza los detalles del incidente por código de respuesta.
  • Reglas: Visualiza los detalles del incidente por reglas de detección.
  • Usuarios-agentes: visualiza los detalles del incidente por usuario-agente (el agente de software que realizó la llamada a la API).

¿Qué significa cuando un atributo tiene el valor (not set)?

En ocasiones, un atributo tiene el valor (not set). Existen varias razones por las que esto puede suceder. En primer lugar, es posible que Apigee no tenga suficiente información a fin de determinar el valor del atributo, por ejemplo, el país de origen de una llamada a la API. O bien, es posible que el atributo no se aplique en un caso particular. Consulta ¿Qué significa un valor de entidad de las estadísticas “(not set)”? para obtener más información.

Tráfico detectado

En la vista Tráfico detectado (Detected Traffic), se muestra información sobre incidentes cuyo último evento detectado está dentro de los últimos 14 días. Consulta Limitaciones de incidentes y datos que se muestran para obtener más información sobre el intervalo de tiempo de los datos que se muestran en la IU.

Para abrir la vista Tráfico detectado, selecciona Tráfico detectado en la vista Detalles del entorno, como se muestra a continuación:

Vista Abuso.

La vista Tráfico detectado muestra los datos para la siguiente información:

  • Tráfico total: La cantidad total de solicitudes.
  • Tráfico detectado: La cantidad de solicitudes de direcciones IP de abuso detectado.
  • % del tráfico detectado: el porcentaje que el tráfico detectado representa del tráfico total.
  • Recuento de direcciones IP detectadas: La cantidad de direcciones IP distintas que corresponden al abuso detectado. Las solicitudes múltiples de la misma dirección IP se cuentan una sola vez.

En la vista Tráfico detectado, también se muestra una tabla que enumera los detalles de cada dirección IP correspondiente al abuso detectado. Ten en cuenta que, según la configuración predeterminada, las direcciones IP no se muestran por motivos de privacidad. Para mostrarlas, selecciona Mostrar todas las direcciones IP en la parte superior de la tabla.

Cada fila de la tabla de direcciones IP muestra lo siguiente:

  • Dirección IP: La dirección IP del abuso detectado. Haz clic en Ver para ver la dirección.
  • Ubicación: la ubicación de la dirección IP.
  • Clave de app principal: La clave de app que se usa con mayor frecuencia en las solicitudes de la dirección IP. Nota: La clave de app es otro término que se usa para la clave de API.
  • Reglas de detección: Una lista de todas las reglas de detección que se activaron por el abuso.
  • URL principal: la URL que recibió la mayor cantidad de solicitudes de la dirección IP.
  • Tráfico detectado: la cantidad de solicitudes de la dirección IP.
  • % de tráfico detectado: el porcentaje de solicitudes de la dirección IP de todas las solicitudes del entorno.
  • Primer evento detectado: La primera vez que se detectó un evento en una solicitud de la dirección IP durante el intervalo de tiempo seleccionado en la parte superior de la página Puntuaciones de seguridad.
  • Último evento detectado: la última vez que se detectó un evento en una solicitud de la dirección IP durante el intervalo de tiempo seleccionado en la parte superior de la página Puntuaciones de seguridad.

Limitaciones de la detección de abuso

La detección de abuso tiene las siguientes limitaciones.

  • Los incidentes cuyo último evento detectado ocurrió hace más de 14 días no se muestran en la IU de detección de abuso. Consulta Limitaciones de incidentes y datos que se muestran para obtener más información sobre qué incidentes y datos se muestran en la IU.
  • La primera vez que habilitas la API avanzada para una organización, o la vuelves a habilitar, habrá un retraso mientras los eventos se agrupan en clústeres en incidentes. Después de eso, habrá retrasos periódicos.
  • La página de atributos de detalles del incidente puede tardar un tiempo en cargarse en el caso de las organizaciones con una gran cantidad de tráfico.