Informes de seguridad

Esta página se aplica a Apigee y Apigee Hybrid.

Consulta la documentación de Apigee Edge.

La vista Informes de seguridad te permite crear informes para identificar amenazas a la seguridad de tus APIs. Para generar informes, Apigee analiza los datos de tráfico de la API durante un intervalo de tiempo especificado y busca patrones de tráfico inusuales que podrían ser obra de agentes maliciosos. Luego, Apigee muestra un informe que indica cualquier actividad sospechosa. Con esta información, puedes tomar medidas para bloquear los ataques a las API.

Puedes crear informes de seguridad en la IU de Apigee, como se describe a continuación, o mediante la API de informes de seguridad. Si usas la IU, los datos de los informes se restringen al entorno que elijas. Sin embargo, con la API también puedes crear informes para grupos de entornos.

Consulta Roles necesarios para los informes de seguridad a fin de conocer las funciones necesarias para realizar tareas de informes de seguridad.

Para usar esta función, debes habilitar el complemento. Si eres cliente de suscripción, puedes habilitar el complemento para tu organización. Consulta Administra la seguridad Advanced API Security para las organizaciones de suscripción para obtener más detalles. Si eres cliente de pago por uso, puedes habilitar el complemento en tus entornos aptos. Para obtener más información, consulta Administra el complemento Advanced API Security.

Detección de bots

Una de las amenazas más graves a la seguridad de las API proviene de los bots: secuencias de comandos automatizadas que envían solicitudes maliciosas a las APIs. La seguridad avanzada de APIs busca patrones de tráfico de APIs específicos, llamados reglas de detección, que se basan en el análisis de datos de APIs reales, para detectar bots.

Retraso en los datos de informes de seguridad

Los datos que fluyen a la canalización de Analytics de Apigee tienen un retraso promedio de hasta 15 a 20 minutos. Como resultado, un informe de seguridad en el que la hora de finalización es inferior a 20 minutos en el pasado podría mostrar resultados incorrectos.

Abre la vista Informes de seguridad

Para abrir la vista Informes de seguridad, haz lo siguiente:

  • Si usas la IU de Apigee en la consola de Cloud, selecciona Advanced API Security > Informes de seguridad.
  • Si usas la IU clásica de Apigee, selecciona Analizar > Seguridad de API > Informes de seguridad. Los nombres y el comportamiento de las columnas pueden diferir de alguna manera en la IU clásica de Apigee en comparación con la IU de Apigee en la consola de Cloud.

Esto muestra la vista principal de Informes de seguridad:

Ventana principal de Informes de seguridad.

En la parte superior de la página, puede seleccionar:

  • El entorno en el que deseas crear un informe.
  • El filtro Tipo de informe. Las opciones son las siguientes:
    • Todos
    • Activo
    • Con errores
    • Vencidos

Debajo de esas opciones, los informes de seguridad se muestran en las filas de una tabla. Cada fila muestra los siguientes detalles del informe:

  • El nombre del informe Haz clic en el nombre del informe para verlo.
  • El estado del informe, que puede ser uno de los siguientes:
    • En ejecución: El informe se está ejecutando actualmente y aún no se puede ver.
    • Completo: El informe se completó y se puede ver o exportar.
    • Caducado: El informe caducó y ya no se puede ver ni exportar en la IU. Para ver un informe después de la fecha de vencimiento, debes exportarlo antes de esa fecha. Después de 30 días, el informe se quitará de la lista de informes disponibles.

  • La Hora de inicio y la Hora de finalización muestran las fechas y horas de inicio y finalización del informe.

  • Fecha de envío: La fecha y hora en que se envió la solicitud del informe.
  • Hora de vencimiento: la fecha y la hora en que vence el informe y ya no se puede ver en la IU de Apigee. La fecha de vencimiento es de 7 días después de la hora en que creaste el informe. Después de 30 días, el informe se quitará de la lista de informes disponibles. No puedes ver ni exportar informes en la IU después de su fecha de vencimiento.
  • Tamaño de archivo: Es el tamaño del archivo de informe. Es posible que debas modificar los criterios del informe para crear un informe con un tamaño de archivo inferior al tamaño máximo de archivo. Consulta Limitaciones de los informes de seguridad para obtener información sobre el tamaño máximo del archivo y cómo reducirlo.
  • Exportar: Exporta o descarga el informe en un archivo ZIP. La exportación solo está disponible si el estado del informe está completado.

Crea un nuevo informe de seguridad

Para crear un informe de seguridad nuevo, haz clic en +Crear en la vista Informes de seguridad. Se abrirá el cuadro de diálogo Crear trabajo de informes de seguridad, en el que puedes configurar las opciones para el informe como se describe en la siguiente sección.

Opciones de informes de seguridad

Puedes especificar las siguientes opciones para un informe de seguridad:

  • Nombre del informe: Un nombre para el informe.
  • Período del informe: Hora de inicio y de finalización del informe.

    Nota: Las horas de inicio y finalización del informe deben ser anteriores y, al menos, un año en el pasado desde que se crea el informe.

  • Métricas: Métricas del informe. Puedes elegir entre las siguientes métricas y funciones de agregación: funciones que calculan estadísticas para las métricas.
    Métrica Descripción Funciones de agregación
    bot La cantidad de direcciones IP distintas para bots detectados en intervalos de un minuto. count_distinct
    bot_traffic La cantidad de mensajes de direcciones IP de bots detectados en intervalos de un minuto. ponderada
    message_count

    Cantidad total de llamadas a la API que procesa Apigee en intervalos de un minuto.

    Nota: message_count no se puede usar con otras métricas ni con la dimensión bot_reason en el mismo informe.

    		 ponderada
    response_size Tamaño de la carga útil de la respuesta que se muestra en bytes. suma, promedio, mínimo, máximo

  • Dimensiones: Las dimensiones te permiten agrupar valores de métricas según los subconjuntos de datos relacionados. En la siguiente tabla, se describen las dimensiones específicas de los informes de seguridad avanzada de la API.

    Dimensión Descripción
    bot_reason
    incident_id (vista previa)
    security_action (vista previa) El tipo de acción de seguridad Es posible que los valores sean ALLOW, DENY y FLAG.
    security_action_name El nombre de la acción de seguridad.
    security_action_headers Encabezados adjuntos a una solicitud para una acción ALLOW.

    Nota: La dimensión bot_reason, que es específica de la seguridad avanzada de APIs, puede ser cualquier combinación de las reglas de detección individuales. Cuando se detecta un bot, bot_reason consta del subconjunto de las reglas de detección individuales con las que el tráfico del bot coincidió cuando se detectó.

    Nota: incident_id y bot_reason solo funcionan con las siguientes métricas:

    • bot
    • bot_traffic
    • response_size

    Consulta dimensiones para ver otras dimensiones compatibles con los informes de seguridad avanzada de la API.

    Para agregar varias dimensiones, haz clic en +Agregar una dimensión por cada dimensión que desees agregar. También puedes cambiar el orden en que aparecen las dimensiones en el informe. Para ello, haz clic en las flechas hacia arriba o hacia abajo a la derecha del campo de dimensión.

  • Filters: Los filtros te permiten restringir los resultados a las métricas con valores específicos. Para crear un filtro, configura los siguientes campos:
    • Selecciona un nombre para el filtro.
    • Selecciona un operador de comparación.
    • Selecciona un valor.

    Ve Filtros.

Después de seleccionar todas las opciones de informes, haz clic en Crear para crear el trabajo de informe.

Visualiza un informe completado

Una vez que se completa un informe, se muestra en la tabla como se muestra a continuación:

Informe de seguridad que se muestra en la tabla.

Realiza una de estas acciones para ver el informe:

  • Haz clic en el nombre del informe.
  • Haz clic en Exportar en la fila de ese informe.
Nota: La detección de bots tiene una demora de procesamiento de alrededor de 15 a 20 minutos en promedio.

Ejemplo: informe de direcciones IP del bot

En el siguiente ejemplo, se crea un informe en el que se muestran las direcciones IP de los bots detectados. Para crear el informe, usa la siguiente configuración:

  • Métrica: bot, la cantidad de direcciones IP distintas identificadas como fuentes de bots.
  • Función de agregación: count_distinct
  • Dimensión: IP de cliente resuelta

El informe completado se muestra a continuación:

Informe de direcciones IP de bots del informe de seguridad

Ten en cuenta que la tabla en la parte inferior del informe enumera las direcciones IP que la seguridad avanzada de la API identificó como bots.

Ejemplo: informe de tráfico de bot por motivo de bot

El siguiente ejemplo crea un informe de tráfico de bot (la cantidad de solicitudes de direcciones IP que se identificaron como fuentes de bots) por bot_reason (el conjunto de reglas de detección que llevaron a que el bot se detectara). Para crear el informe, usa la siguiente configuración:

  • Métrica: bot_traffic
  • Función de agregación: sum
  • Dimensión: bot_reason

El informe completado se muestra a continuación:

Tráfico de bot del informe de seguridad por motivo de bot \informe

Cada bot_reason consta de un subconjunto de reglas de detección individuales. Como puedes ver en el gráfico, la regla de detección que contribuyó a la mayor cantidad de tráfico de bot es el siguiente conjunto de reglas:

  • Flooder
  • Brute Guessor
  • Robot Abuser

Ejemplo: informe de tráfico de bot

En el siguiente ejemplo, se crea un informe que no está agrupado por una dimensión. Si no deseas agrupar datos por dimensión, puedes establecer Dimensión en entorno. Debido a que los datos siempre se restringen al entorno seleccionado, esto da como resultado un informe que no tiene agrupación de datos.

  • Métrica: tráfico de bot
  • Función de agregación: sum
  • Dimensión: entorno
Informe de seguridad del informe de tráfico de bot

En el informe se muestra el tráfico total de las direcciones IP que se identificaron como fuentes de bots para cada intervalo de un minuto durante el período del informe. Ten en cuenta que no hay agrupación

Más ejemplos de informes de seguridad

En la siguiente tabla, se enumeran algunos ejemplos de informes de seguridad que puedes crear con diferentes métricas y dimensiones:

Informe Métricas Dimensiones
Informe de todo el tráfico y la cantidad de bots por entorno bot, bot_traffic entorno
Informe de tráfico de bot y cantidad de bots para diferentes motivos de bot bot, bot_traffic bot_reason
Informe de tráfico de bot y cantidad de bots para diferentes países bot, bot_traffic ax_geo_country
Informe de tráfico de bot y cantidad de bots para diferentes ISP bot, bot_traffic ax_isp
Informe de detección de bots (vista de lista detallada) bot_traffic IP de cliente resuelta, ax_isp, bot_reason, request_uri, client_id
Tráfico de bot por token de acceso bot_traffic access_token
Tráfico del bot por proxy de API bot_traffic apiproxy
Tráfico del bot por familia de agentes bot_traffic ax_ua_agent_family
Tráfico de bot por usuario-agente bot_traffic useragent
Tráfico de bot por tipo de agente bot_traffic ax_ua_agent_type
Tráfico de bot por categoría de dispositivo bot_traffic ax_ua_device_category
Tráfico de bot por familia de SO bot_traffic ax_ua_os_family
Tráfico de bot por ID de cliente bot_traffic client_id
Tráfico del bot por ruta base del proxy bot_traffic proxy_basepath
Tráfico de bot por sufijo de ruta del proxy bot_traffic proxy_pathsuffix
Tráfico de bot por URI de solicitud bot_traffic request_uri
Tráfico de bot por verbo de solicitud bot_traffic request_verb
Tráfico de bot por código de estado de respuesta bot_traffic response_status_code

Limitaciones de los informes de seguridad

Los informes de seguridad tienen las siguientes limitaciones:

  • Los datos que fluyen a la canalización de Analytics de Apigee tienen un retraso promedio de hasta 15 a 20 minutos. Como resultado, crear un informe en el que la hora de finalización sea inferior a 20 minutos en el pasado podría mostrar resultados incorrectos.
  • El intervalo de tiempo máximo para los informes de bots es de 1 año.
  • La cantidad máxima de métricas que puedes usar en un informe es de 25, y la cantidad máxima de dimensiones que puedes usar es de 25.
  • Al igual que con la API de informes personalizados asíncronos, hay un límite de 31 MB de datos para un informe. Si encuentras un límite de tamaño en un informe, puedes hacer lo siguiente:
    • Reducir el intervalo de tiempo del informe.
    • Dividir los datos en subconjuntos más pequeños mediante el filtrado de un conjunto de valores y, luego, crear varios informes, uno para cada subconjunto.
  • La dimensión IP de cliente resuelta no puede aparecer en el mismo informe que la dimensión ax_geo_city o ax_geo_country debido a problemas de privacidad.
  • Las siguientes métricas solo están disponibles a través de la API de informes de seguridad, pero no en la IU: bot_first_detected (min) y bot_last_detected (max).