Esta página se ha traducido con Cloud Translation API.

Informes de seguridad

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

La vista Informes de seguridad te permite crear informes para identificar las amenazas de seguridad de tus APIs. Para generar informes, Apigee analiza los datos de tráfico de las APIs durante un intervalo de tiempo especificado y busca patrones de tráfico inusuales que puedan deberse a agentes maliciosos. Apigee muestra un informe con toda la actividad sospechosa. Con esta información, puedes tomar medidas para bloquear los ataques contra tus APIs.

Puedes crear informes de seguridad en la interfaz de Apigee, como se describe a continuación, o bien con la API Security reports. Si usas la interfaz de usuario, los datos de los informes se limitan al entorno que elijas. Sin embargo, con la API, también puede crear informes de grupos de entornos.

Consulta los roles necesarios para los informes de seguridad para saber qué roles se necesitan para realizar tareas relacionadas con los informes de seguridad.

Para usar esta función, debes habilitar el complemento. Si tienes una suscripción, puedes habilitar el complemento para tu organización. Consulta más información sobre cómo gestionar la seguridad avanzada de las APIs en organizaciones de suscripción. Si eres cliente de la modalidad de pago por uso, puedes habilitar el complemento en los entornos aptos. Para obtener más información, consulta Gestionar el complemento Advanced API Security.

Detección de bots

Una de las amenazas más graves para la seguridad de las APIs procede de los bots, que son secuencias de comandos automatizadas que envían solicitudes maliciosas a las APIs. La seguridad avanzada de las APIs busca patrones de tráfico de APIs específicos, denominados reglas de detección, que se basan en el análisis de datos de APIs reales para detectar bots.

Retraso en los datos de los informes de seguridad

Los datos que fluyen a la canalización de Apigee Analytics tienen un retraso de entre 15 y 20 minutos de media. Por lo tanto, un informe de seguridad en el que la hora de finalización sea inferior a 20 minutos en el pasado puede devolver resultados incorrectos.

Abre la vista Informes de seguridad.

Para abrir la vista Informes de seguridad, sigue estos pasos:

Apigee en la consola de Cloud

En la Google Cloud consola, ve a la página Seguridad avanzada de las APIs > Informes de seguridad.

Ir a Informes de seguridad

UI clásica de Apigee

En la interfaz de Apigee clásica, selecciona Analizar > Seguridad de APIs > Informes de seguridad.

Se muestra la vista principal Informes de seguridad:

Ventana principal de informes de seguridad.

En la parte superior de la página, puedes seleccionar lo siguiente:

El entorno en el que quieras crear un informe.
El filtro Tipo de denuncia. Las opciones son las siguientes:
- Todo
- Activo
- Error
- Caducado

Debajo de esas opciones, los informes de seguridad se muestran en las filas de una tabla. En cada fila se muestran los siguientes detalles del informe:

El nombre del informe. Haga clic en el nombre del informe para verlo.
El estado del informe, que puede ser uno de los siguientes:
- Generando: el informe se está generando y aún no se puede ver.
- Completado: el informe se ha completado y se puede ver o exportar.
- Caducado: el informe ha caducado y ya no se puede ver ni exportar en la interfaz de usuario. Para ver un informe después de la fecha de vencimiento, debe exportarlo antes de esa fecha. Transcurridos 30 días, el informe se elimina de la lista de informes disponibles.
En Hora de inicio y Hora de finalización se muestran las fechas y horas de inicio y finalización del informe.
Fecha de envío: la fecha y la hora en que se envió la solicitud del informe.
Hora de vencimiento: fecha y hora en las que el informe vence y ya no se puede ver en la interfaz de Apigee. La fecha de vencimiento es 7 días después de la hora en la que creaste el informe. Transcurridos 30 días, el informe se elimina de la lista de informes disponibles. No podrá ver ni exportar informes en la interfaz de usuario después de su fecha de vencimiento.
Tamaño del archivo: tamaño del archivo del informe. Es posible que tenga que modificar los criterios del informe para crear un informe con un tamaño de archivo inferior al máximo. Consulta las limitaciones de los informes de seguridad para obtener información sobre el tamaño máximo de los archivos y las formas específicas de reducirlo.
Exportar: exporta o descarga el informe en un archivo ZIP. La exportación solo está disponible si el estado del informe es Completado.

Crear un informe de seguridad

Para crear un informe de seguridad, haz clic en +Crear en la vista Informes de seguridad. Se abrirá el cuadro de diálogo Crear trabajo de informe de seguridad, donde podrá configurar las opciones del informe como se describe en la siguiente sección.

Opciones de informes de seguridad

Puede especificar las siguientes opciones para un informe de seguridad:

Nombre del informe: el nombre del informe.
Periodo del informe: hora de inicio y de finalización del informe.
Nota: Las horas de inicio y de finalización del informe deben ser anteriores a la hora actual y, como máximo, un año anteriores a la hora en la que se crea el informe.

Métricas: métrica del informe. Puede elegir entre las siguientes métricas y funciones de agregación, que son funciones que calculan estadísticas de las métricas.

Métrica	Descripción	Funciones de agregación
bot	Número de direcciones IP distintas de los bots detectados en intervalos de un minuto.	count_distinct
bot_traffic	Número de mensajes procedentes de direcciones IP de bots detectados en intervalos de un minuto.	suma
message_count	Número total de llamadas a la API procesadas por Apigee en intervalos de un minuto. Nota: message_count no se puede usar con otras métricas ni con la dimensión bot_reason en el mismo informe.	suma
response_size	Tamaño de la carga útil de la respuesta devuelta en bytes.	Suma, media, mínimo y máximo

Dimensiones: las dimensiones le permiten agrupar valores de métricas en función de subconjuntos de datos relacionados. En la siguiente tabla se describen las dimensiones específicas de los informes de seguridad avanzada de las APIs.

Dimensión	Descripción
`bot_reason`
`incident_id` (vista previa)
`security_action` (vista previa)	El tipo de acción de seguridad. Los valores posibles son ALLOW, DENY y FLAG.
`security_action_name`	Nombre de la acción de seguridad.
`security_action_headers`	Encabezados adjuntos a una solicitud de acción ALLOW.

Nota: La dimensión bot_reason, que es específica de la seguridad avanzada de las APIs, puede ser cualquier combinación de las reglas de detección individuales. Cuando se detecta un bot, bot_reason consta del subconjunto de las reglas de detección individuales con las que coincide el tráfico del bot cuando se detecta.

Nota: bot_reason e incident_id solo funcionan con las siguientes métricas:

bot
bot_traffic
response_size

Consulte las dimensiones para ver otras dimensiones admitidas en los informes de seguridad avanzada de las APIs.

Para añadir varias dimensiones, haga clic en +Añadir dimensión por cada dimensión que quiera añadir. También puede cambiar el orden en el que aparecen las dimensiones en el informe haciendo clic en las flechas hacia arriba o hacia abajo situadas a la derecha del campo de dimensión.

Filtros: los filtros te permiten restringir los resultados a métricas con valores específicos.
Importante: Los trabajos del informe de seguridad que se filtran por el incident_id deben incluir el incident_id como dimensión.
Para crear un filtro, define los siguientes campos:
- Seleccione un nombre para el filtro.
- Selecciona un operador de comparación.
- Selecciona un valor.
Consulte Filtros.

Cuando haya seleccionado todas las opciones del informe, haga clic en Crear para crear el trabajo del informe. Es posible que tengas que esperar un poco hasta que se complete el informe. Puede hacer clic en el botón Actualizar situado en la parte superior derecha del panel para ver el informe completo.

Ver un informe completado

Una vez que se ha completado un informe, se muestra en la tabla, como se indica a continuación:

Informe de seguridad mostrado en una tabla.

Para ver el informe, haz lo siguiente:

Haga clic en el nombre del informe.
Haga clic en Exportar en la fila del informe.

Nota: La detección de bots tiene un retraso de procesamiento de entre 15 y 20 minutos de media.

Ejemplo: informe de direcciones IP de bots

En el siguiente ejemplo se crea un informe que muestra las direcciones IP de los bots detectados. Para crear el informe, usa la siguiente configuración:

Métrica: bot, el número de direcciones IP distintas identificadas como fuentes de bots.
Función de agregación: count_distinct
Dimensión: IP de cliente resuelta

El informe completo se muestra a continuación:

Informe de direcciones IP del bot de informes de seguridad

Ten en cuenta que en la tabla situada en la parte inferior del informe se muestran las direcciones IP que la seguridad avanzada de las APIs ha identificado como robots.

Ejemplo: informe de tráfico de bots por motivo del bot

En el siguiente ejemplo se crea un informe del tráfico de bots, es decir, el número de solicitudes de direcciones IP que se han identificado como fuentes de bots, por bot_reason, que es el conjunto de reglas de detección que han llevado a la detección del bot. Para crear el informe, usa la siguiente configuración:

Métrica: bot_traffic
Función de agregación: sum
Dimensión: bot_reason

El informe completo se muestra a continuación:

$Informe de seguridad sobre el tráfico de bots por motivo del bot \report$

Cada bot_reason consta de un subconjunto de las reglas de detección individuales. Como puede ver en el gráfico, el conjunto de reglas de detección que ha contribuido a la mayor cantidad de tráfico de bots es el siguiente:

Flooder
Adivinador de fuerza bruta
Robot Abuser

Ejemplo: informe de tráfico de bots

En el siguiente ejemplo se crea un informe que no está agrupado por una dimensión. Si no quiere agrupar los datos por una dimensión, puede definir Dimensión como entorno. Como los datos siempre se limitan al entorno seleccionado, el informe no agrupa los datos.

Métrica: tráfico de robots
Función de agregación: sum
Dimensión: environment

Informe de seguridad del informe de tráfico de bots

En el informe se muestra el tráfico total procedente de direcciones IP que se han identificado como fuentes de bots, en cada intervalo de un minuto del periodo del informe. Ten en cuenta que no hay agrupaciones.

Más ejemplos de informes de seguridad

En la siguiente tabla se muestran algunos ejemplos de seguridad de los informes que puede crear con diferentes métricas y dimensiones:

Denunciar	Métricas	Dimensiones
Informe de todo el tráfico de robots y del número de robots por entorno	bot, bot_traffic	entorno
Informe de tráfico de robots y recuento de robots por diferentes motivos	bot, bot_traffic	bot_reason
Informe de tráfico de robots y recuento de robots de diferentes países	bot, bot_traffic	ax_geo_country
Informe de tráfico de robots y recuento de robots de diferentes proveedores de Internet	bot, bot_traffic	ax_isp
Informe de detección de bots (vista de lista detallada)	bot_traffic	IP de cliente resuelta, ax_isp, bot_reason, request_uri, client_id
Tráfico de robots por token de acceso	bot_traffic	access_token
Tráfico de bots por proxy de API	bot_traffic	apiproxy
Tráfico de robots por familia de agentes	bot_traffic	ax_ua_agent_family
Tráfico de robots por user-agent	bot_traffic	useragent
Tráfico de robots por tipo de agente	bot_traffic	ax_ua_agent_type
Tráfico de robots por categoría de dispositivo	bot_traffic	ax_ua_device_category
Tráfico de robots por familia de SO	bot_traffic	ax_ua_os_family
Tráfico de robots por ID de cliente	bot_traffic	client_id
Tráfico de robots por ruta base de proxy	bot_traffic	proxy_basepath
Tráfico de robots por sufijo de ruta de proxy	bot_traffic	proxy_pathsuffix
Tráfico de robots por URI de solicitud	bot_traffic	request_uri
Tráfico de robots por verbo de solicitud	bot_traffic	request_verb
Tráfico de bots por código de estado de respuesta	bot_traffic	response_status_code

Limitaciones de los informes de seguridad

Los informes de seguridad tienen las siguientes limitaciones:

Los datos que fluyen a la canalización de Apigee Analytics tienen un retraso de entre 15 y 20 minutos de media. Por lo tanto, si creas un informe en el que la hora de finalización sea inferior a 20 minutos, es posible que obtengas resultados incorrectos.
El intervalo de tiempo máximo de los informes de bots es de 1 año.
El número máximo de métricas que puede usar en un informe es 25, y el número máximo de dimensiones que puede usar también es 25.
Al igual que con la API de informes personalizados asíncronos, hay un límite de 31 MB de datos por informe. Si se encuentra con un límite de tamaño en un informe, puede hacer lo siguiente:
- Reduzca el intervalo de tiempo del informe.
- Divida los datos en subconjuntos más pequeños filtrando un conjunto de valores y, a continuación, cree varios informes, uno para cada subconjunto.
La dimensión IP de cliente resuelta no se puede incluir en el mismo informe que las dimensiones ax_geo_city o ax_geo_country por motivos de privacidad.
Los trabajos de informes de seguridad que se filtran por incident_id deben incluir incident_id como dimensión.
Las siguientes métricas solo están disponibles a través de la API Security Reports, pero no en la interfaz de usuario: bot_first_detected (min) y bot_last_detected (max).