Panoramica di Google Cloud Armor Adaptive Protection

Google Cloud Armor Adaptive Protection ti aiuta a proteggere le applicazioni, i siti web e e servizi contro gli attacchi DDoS (Distributed Denial-of-Service) L7 come flood HTTP e altri dannosi di livello 7 ad alta frequenza (a livello di applicazione) attività. Adaptive Protection crea modelli di machine learning che svolgono quanto segue:

  1. Rilevare e inviare avvisi su attività anomale
  2. Genera una firma che descriva il potenziale attacco
  3. Genera una regola WAF personalizzata di Google Cloud Armor per bloccare la firma

Puoi attivare o disattivare Adaptive Protection in base al criterio di sicurezza.

Gli avvisi relativi al traffico anomalo (potenziali attacchi), che includono le firme degli attacchi, vengono visualizzati nella dashboard degli eventi di Protezione adattiva con i log degli eventi inviati a Cloud Logging, dove possono essere analizzati direttamente o inoltrati a un flusso di lavoro di monitoraggio dei log o degli eventi di sicurezza a valle. Avvisi di potenziali vengono generati anche come risultati Security Command Center.

Disponibilità di Adaptive Protection

Gli avvisi di Adaptive Protection sono disponibili soltanto se abbonarsi a Google Cloud Armor Enterprise. In caso contrario, riceverai solo un avviso di base, senza una firma di attacco o la possibilità di implementare una regola suggerita.

Se i tuoi progetti non sono ancora registrati a Cloud Armor Enterprise, consulta Utilizzare Cloud Armor Enterprise per informazioni su come eseguire la registrazione.

Cloud Logging e Cloud Monitoring

Poiché l'utilizzo efficace di Adaptive Protection richiede di comprendere il funzionamento del logging e degli avvisi in Google Cloud, ti consigliamo di familiarizzare con Cloud Logging, gli avvisi e i relativi criteri.

Configurare e ottimizzare gli avvisi

Puoi attivare Adaptive Protection nei progetti in cui i criteri di sicurezza di Google Cloud Armor proteggono già le tue applicazioni. Quando attivi Adaptive Protection per un determinato criterio di sicurezza, questa funzionalità viene applicata a tutti i servizi di backend a cui è associato il criterio di sicurezza.

Dopo l'attivazione di Adaptive Protection, è necessario un periodo di addestramento di almeno un'ora prima che Adaptive Protection sviluppi una linea di base affidabile e inizi a monitorare il traffico e a generare avvisi. Durante il periodo di addestramento, Adaptive Protection modella il traffico in entrata e i pattern di utilizzo che sono specifico per ciascun servizio di backend, in modo che sviluppa la baseline per ogni di servizio di backend. Al termine del periodo di addestramento, riceverai avvisi in tempo reale quando Adaptive Protection identifica anomalie con un volume elevato o con frequenza elevata nel traffico diretto a qualsiasi servizio di backend associato criteri di sicurezza.

Puoi ottimizzare gli avvisi di Protezione adattiva in base a diverse metriche. Gli alert, che vengono inviati a Cloud Logging, includono un livello di attendibilità, una firma di attacco, una regola suggerita e una tasso di riferimento delle attività interessate stimato associato alla regola suggerita.

  • Il livello di confidenza indica il grado di affidabilità con cui Adaptive Protection prevengono che il cambiamento osservato nel modello di traffico è anomalo.
  • Le tariffe di riferimento interessate associate alla regola suggerita rappresentano la percentuale di traffico di riferimento esistente rilevato dalla regola. Due. le tariffe. La prima è la percentuale relativa al traffico nel servizio di backend specifico sotto attacco. Il secondo è la percentuale rispetto a tutto il traffico che passa per il criterio di sicurezza, inclusi tutti le destinazioni servizio di backend configurati (non solo quello attaccato).

Puoi filtrare gli avvisi in Cloud Logging in base alla il livello di confidenza, i tassi di riferimento interessati o entrambi. Per ulteriori informazioni sull'ottimizzazione degli avvisi, consulta Gestione dei criteri di avviso.

Adaptive Protection ha lo scopo di proteggere i servizi di backend dagli attacchi DDoS di livello 7 di elevato volume. Nei seguenti scenari, le richieste non vengono conteggiate in Protezione adattiva:

  • Richieste gestite direttamente da Cloud CDN
  • Richieste rifiutate da un criterio di sicurezza Google Cloud Armor

Modelli granulari

Per impostazione predefinita, Adaptive Protection rileva un attacco e suggerisce le possibili mitigazioni. in base al traffico tipico diretto a ciascun servizio di backend. Ciò significa che un backend dietro un servizio di backend può sovraccaricarsi, Adaptive Protection non interviene perché il traffico dell'attacco non è in modo anomalo al servizio di backend.

La funzionalità dei modelli granulari consente di configurare host o percorsi specifici le unità granulari analizzate da Adaptive Protection. Quando utilizzi i dati granulari personalizzati, le mitigazioni suggerite da Adaptive Protection filtrano il traffico in base prefissi dell'host o del percorso dell'URL corrispondenti, contribuendo a ridurre i falsi positivi. Ciascuno di chiamato unità di traffico granulare.

Le firme di attacco identificate hanno come target solo il traffico di attacco che entra nell'unità di traffico granulare. Tuttavia, il filtro viene applicato a tutte le richieste corrispondenti alla regola di cui è stato eseguito il deployment, come accadrebbe senza le configurazioni granulari. Ad esempio, se vuoi che una regola di deployment automatico corrisponda solo a un'unità granulare del traffico specifica, valuta la possibilità di utilizzare una condizione di corrispondenza come evaluateAdaptiveProtectionAutoDeploy() && request.headers['host'] == ... && request.path == ....

Oltre ai prefissi host e dei percorsi URL, puoi configurare soglie di avviso in base ad alcune o a tutte le seguenti opzioni. Puoi applicare queste soglie alle unità di traffico granulari o al servizio di backend nel suo complesso, ad eccezione della soglia di carico che può essere applicata solo al servizio di backend:

  • Carico: il carico massimo per il servizio di backend, in base all'impostazione configurata Bilanciatore del carico delle applicazioni. Questa opzione non è disponibile per le unità di traffico granulari e per i backend serverless come Cloud Run, le funzioni Cloud Run o i backend di origini esterne.
  • Query assolute al secondo (QPS): la quantità di traffico di picco, in di query al secondo ricevute dal servizio di backend o dall'unità di traffico.
  • Rispetto al valore QPS di riferimento: un multiplo della base di riferimento media a lungo termine di traffico di rete. Ad esempio, un valore di 2 rappresenta un QPS pari al doppio del volume di traffico di riferimento.

Per ulteriori informazioni sulla configurazione di modelli granulari, consulta Configura Google Cloud Armor Adaptive Protection.

Utilizza e interpreta gli avvisi

Non appena Adaptive Protection rileva un attacco sospetto, genera un evento nella dashboard degli eventi di Adaptive Protection e un elemento di log in Cloud Logging. L'avviso si trova nel payload JSON dell'elemento di log. La viene generato un elemento di log nella risorsa Criterio di sicurezza di rete in e in Cloud Logging. Il messaggio di log identifica il servizio di backend in attacco e include un punteggio di confidenza che indica quanto Adaptive Protection valuta la modifica del modello di traffico identificata come anomala. Il messaggio di log include anche una firma dell'attacco che illustra le caratteristiche del traffico di attacco, insieme alle regole di Google Cloud Armor suggerite che potresti applicare per mitigare l'attacco.

Comprendere le firme degli attacchi

Un avviso di Adaptive Protection include una firma di attacco, ovvero una descrizione degli attributi del traffico del potenziale attacco. La firma viene utilizzata per identificare e potenzialmente bloccare l'attacco. La firma richiede due moduli: come tabella leggibile dall'utente e come WAF precostruito di Google Cloud Armor che puoi implementare nel criterio di sicurezza pertinente. Se non hai un abbonamento a Cloud Armor Enterprise, nell'avviso di base non è inclusa una firma di attacco.

La firma è costituita da un insieme di attributi, come indirizzo IP di origine, regioni geografiche, cookie, user agent, referrer e altre intestazioni di richiesta HTTP, nonché dall'insieme di valori per questi attributi ritenuti associati al traffico di potenziali attacchi. L'insieme di attributi non è configurabile dall'utente. I valori degli attributi dipendono dai valori nel traffico in entrata nel tuo servizio di backend.

Per ogni valore dell'attributo che Adaptive Protection ritiene indichi un potenziale attacco, Adaptive Protection elenca quanto segue:

  • La probabilità di attacco
  • La proporzione dell'attributo nell'attacco, ovvero la percentuale il traffico di potenziale attacco con questo valore al momento dell'attacco è stato rilevato
  • La proporzione dell'attributo nel valore di riferimento, ovvero la percentuale di traffico di riferimento che aveva questo valore dell'attributo al momento del rilevamento dell'attacco

La specifica della voce di Cloud Logging contiene i dettagli sulle informazioni in ogni avviso.

Di seguito è riportato un esempio di tabella leggibile dall'utente che contiene la firma di un potenziale attacco:

Nome attributo Valore Tipo di corrispondenza Probabile attacco Proporzione in attacco Proporzione in base al valore di riferimento
UserAgent "foo" Corrispondenza esatta 0,7 0,85 0,12
UserAgent "bar" Corrispondenza esatta 0,6 0,7 0,4
IP di origine "a.b.c.d" Corrispondenza esatta 0,95 0,1 0,01
IP di origine a.b.c.e Corrispondenza esatta 0,95 0,1 0,01
IP di origine a.b.c.f Corrispondenza esatta 0,05 0,1 0,1
RegionCode Regno Unito Corrispondenza esatta 0,64 0,3 0,1
RegionCode IN Corrispondenza esatta 0,25 0,2 0,3
RequestUri /urlpart Sottostringa 0,7 0,85 0,12

Un avviso di Adaptive Protection e l'evento Cloud Logging pertinente contiene quanto segue:

  • Un ID avviso univoco, o alertID, utilizzato per fare riferimento a un avviso specifico quando viene segnalato il feedback degli utenti (di seguito sono riportate ulteriori informazioni)
  • Il servizio di backend sotto attacco o backendService
  • Il punteggio di confidenza, o confidence, è un numero compreso tra 0 e 1 che indica l'intensità con cui il sistema Adaptive Protection valuta i evento come un attacco dannoso

Riceverai anche una serie di firme e regole è stato rilevato un attacco. Nello specifico, il set fornisce un elenco di headerSignatures, ognuna corrispondente a un'intestazione HTTP e contenente un elenco di significantValues per l'intestazione specifica. Ogni valore significativo è un valore di intestazione osservato o una sottostringa.

Di seguito è riportato un esempio di firma:

...
headerSignatures: [
  0: {
   name: "Referer"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_EQUALS"
     proportionInAttack: 0.6
     proportionInBaseline: 0.01
     value: "foo.attacker.com"
    }
   ]
  }
...

L'avviso suggerisce che il valore foo.attacker.com nell'intestazione Referer sia importante per caratterizzare l'attacco. Più precisamente, il 60% degli attacchi traffico (proportionInAttack) ha questo valore di Referer e solo l'1% del valore di riferimento il traffico di tutto il traffico (proportionInBaseline) ha lo stesso valore di Referer valore. Inoltre, tra tutto il traffico che corrisponde a questo valore Referer, il 95% è traffico di attacchi (attackLikelihood).

Questi valori suggeriscono che, se blocchi tutte le richieste con foo.attacker.com nel campo dell'intestazione Referer, bloccherai il 60% dell'attacco e anche l'1% del traffico di riferimento.

La proprietà matchType specifica la relazione tra nel traffico dell'attacco e nel valore significativo. Può essere MATCH_TYPE_CONTAINS o MATCH_TYPE_EQUALS.

La firma successiva corrisponde al traffico con una sottostringa /api? nell'URI della richiesta:

...
headerSignatures: [
  0: {
   name: "RequestUri"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_CONTAINS"
     proportionInAttack: 0.9
     proportionInBaseline: 0.01
     value: "/api?"
    }
   ]
  }
...

Esegui il deployment delle regole suggerite

Gli avvisi di Adaptive Protection forniscono anche un suggerimento di Google Cloud Armor espressa nel linguaggio delle regole personalizzate. Questa regola può essere utilizzata per crearne una in un ambiente di sicurezza di Google Cloud Armor per mitigare l'attacco. Oltre alla firma, l'avviso include la percentuale di traffico di riferimento interessato per aiutarti a valutare l'impatto delle il deployment della regola. La percentuale di traffico di riferimento interessato è una proporzione prevista del traffico di riferimento che corrisponde alla firma dell'attacco identificata da Adaptive Protection. Se non hai un abbonamento a Cloud Armor Enterprise, avvisi di base inviati da Adaptive Protection non includono un suggerimento Regola di Google Cloud Armor che puoi applicare.

Puoi trovare alcune delle firme di avviso, nonché la frequenza di riferimento interessata, nel messaggio di log inviato a Cloud Logging. L'esempio seguente è il payload JSON di un avviso di esempio, insieme alle etichette delle risorse su cui puoi filtrare i log.

...
 jsonPayload: {
   alertId: "11275630857957031521"
   backendService: "test-service"
   confidence: 0.71828485
   headerSignatures: [

    0: {
     name: "RequestUri"
     significantValues: [
      0: {
       attackLikelihood: 0.88
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0.01
       value: "/"
      }
     ]
    }
    1: {
     name: "RegionCode"
     significantValues: [
      0: {
       attackLikelihood: 0.08
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.17
       proportionInBaseline: 0.28
       value: "US"
      }
      1: {
       attackLikelihood: 0.68
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.09
       proportionInBaseline: 0.01
       value: "DE"
      }
      2: {
       attackLikelihood: 0.74
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.05
       proportionInBaseline: 0
       value: "MD"
      }
     ]
    }
     2: {
     name: "UserAgent"
     significantValues: [
      0: {
       attackLikelihood: 0.92
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0
       value: "Unusual browser"
      }
      1: {
       attackLikelihood: 0.87
       proportionInAttack: 0.7
       proportionInBaseline: 0.1
       missing: true
      }
     ]
    }
   ]
   suggestedRule: [
    0: {
     action: "DENY"
     evaluation: {
       impactedAttackProportion: 0.95
       impactedBaselineProportion: 0.001
       impactedBaselinePolicyProportion: 0.001
     }
     expression: "evaluateAdaptiveProtection('11275630857957031521')"
    }
   ]
   ruleStatus: RULE_GENERATED
   attackSize: 5000
 }
 resource: {
    type: "network_security_policy",
    labels: {
      project_id: "your-project",
      policy_name: "your-security-policy-name"
    }
 },
}
}
...

Puoi eseguire il deployment delle regole suggerite copiando l'espressione CEL dalla regola firma e incolla l'espressione nella condizione di corrispondenza di un o facendo clic sul pulsante Applica nella sezione nella UI di Google Cloud Armor.

Per eseguire il deployment della regola, creane una nuova nella sezione di sicurezza di Google Cloud Armor che protegge i servizi di backend scelti come target identificati dall'avviso. Successivamente, durante la configurazione della regola, copia e incolla l'espressione CEL dal nel campo Condizione di corrispondenza della regola e imposta l'azione della regola su deny. Nell'esempio precedente, devi copiare l'espressione evaluateAdaptiveProtection('11275630857957031521') dalla sezione suggestedRule dell'avviso.

Ti consigliamo vivamente di eseguire inizialmente il deployment della regola in modalità di anteprima per poter valutare l'impatto della regola sul traffico in produzione. In questo caso, Google Cloud Armor registra l'azione e il traffico associato ogni volta che viene attivata, ma non viene intrapresa alcuna azione sul traffico corrispondente.

Inoltre, se il criterio di sicurezza è collegato a più servizi di backend, nota se gli effetti della nuova regola hanno effetti indesiderati in uno qualsiasi dei dai servizi di backend. In questo caso, configura nuovi criteri di sicurezza per attenuare gli effetti indesiderati e associali ai servizi di backend corretti.

Ti consigliamo di impostare la priorità della nuova regola su un valore superiore a quello di tutte le altre regole con l'azione impostata su Consenti. Questo perché, per avere l'impatto previsto hanno l'effetto massimo nella mitigazione dell'attacco, la regola deve essere implementata in posizione con priorità logica più elevata per garantire che tutto il traffico corrispondente venga bloccato dalla regola. Le regole in un criterio di sicurezza di Google Cloud Armor vengono valutate in ordine di priorità e la valutazione termina dopo l'attivazione della prima regola corrispondente e l'esecuzione dell'azione associata. Se devi concedere un'eccezione per alcuni client o per un determinato traffico da questa regola, puoi creare una regola "allow" con una priorità più alta, ovvero con un valore numerico inferiore. Per ulteriori informazioni sulla priorità delle regole, consulta Ordine di valutazione delle regole.

Esegui automaticamente il deployment delle regole suggerite

Puoi anche configurare Adaptive Protection per eseguire automaticamente il deployment delle regole suggerite. Per attivare il deployment automatico delle regole, crea una regola segnaposto con la priorità e l'azione che preferisci utilizzando l'espressione evaluateAdaptiveProtectionAutoDeploy() nella condizione di corrispondenza. Questa regola restituisce true per le richieste che Adaptive Protection identifica come e Google Cloud Armor applica l'azione all'attacco richiesta. Tutti i tipi di azione di Google Cloud Armor, come allow, deny, throttle e redirect sono supportati. Inoltre, puoi utilizzare la modalità di anteprima per registrare l'attivazione della regola, senza eseguire l'azione configurata.

Se utilizzi un proxy a monte, ad esempio una CDN di terze parti, davanti al bilanciatore del carico delle applicazioni esterno, ti consigliamo di configurare il campo userIpRequestHeaders per aggiungere l'indirizzo IP (o gli intervalli di indirizzi IP) del tuo provider a una lista consentita. Questo impedisce ad Adaptive Protection di identificare erroneamente l'origine del proxy l’indirizzo IP come partecipante a un attacco. Esamina invece campo configurato dall'utente per l'indirizzo IP di origine del traffico prima del suo arrivo al proxy.

Per ulteriori informazioni sulla configurazione del deployment automatico delle regole, consulta Esegui automaticamente il deployment delle regole suggerite di Adaptive Protection.

Stato della regola

Se non viene visualizzata alcuna regola quando tenti di eseguire il deployment di una regola suggerita, puoi usa il campo ruleStatus per determinare la causa.

 ]
ruleStatus: RULE_GENERATED
attackSize: 5000
}

La tabella seguente descrive i possibili valori del campo e il loro significato.

Stato della regola Descrizione
RULE_GENERATED È stata generata normalmente una regola utilizzabile.
BASELINE_TOO_RECENT Tempo insufficiente per accumulare traffico di riferimento affidabile. È necessaria fino a un'ora per generare le regole.
NO_SIGNIFICANT_VALUE_DETECTED Nessuna intestazione ha valori significativi associati al traffico di attacco, pertanto non è possibile generare alcuna regola.
NO_USABLE_RULE_FOUND Non è stato possibile creare una regola utilizzabile.
ERRORE Si è verificato un errore non specificato durante la creazione della regola.

Monitoraggio, feedback e segnalazione degli errori relativi agli eventi

Per visualizzare o interagire con la dashboard Protezione adattiva, devi disporre delle seguenti autorizzazioni.

  • compute.securityPolicies.list
  • compute.backendServices.list
  • logging.logEntries.list

Dopo aver attivato la protezione adattiva su qualsiasi criterio di sicurezza di Google Cloud Armor, puoi visualizzare la pagina seguente nel riquadro Sicurezza della rete > Google Cloud Armor. Mostra il volume di traffico nel tempo per il criterio di sicurezza e il servizio di backend selezionati e per la durata selezionata. Eventuali istanze di potenziali attacchi segnalati da Adaptive Protection sono contrassegnate sul grafico e elencate sotto il grafico. Quando fai clic su uno specifico evento di attacco, viene visualizzata una finestra laterale con la firma dell'attacco e la regola suggerita mostrate tabulare. Si tratta delle stesse informazioni contenute nel log di Cloud Logging descritte nella specifica delle voci di Cloud Logging. Fai clic sul pulsante Applica per aggiungere la regola suggerita allo stesso criterio di sicurezza.

Dashboard di Adaptive Protection
Dashboard Protezione adattiva (fai clic per ingrandire)
Dettagli dell'avviso Adaptive Protection
Dashboard Protezione adattiva (fai clic per ingrandire)

Non tutti i risultati di Adaptive Protection sono considerati attacchi, in base al contesto e ai fattori ambientali unici del servizio di backend protetto. Se Stabilire se il potenziale attacco descritto dall’avviso è normale o accettato comportamento, puoi segnalare un evento errato per aiutare ad addestrare Modelli Adaptive Protection. Accanto a ogni evento di attacco elencato nel grafico è presente un pulsante che apre una finestra interattiva che ti consente di segnalare un errore di evento con un contesto facoltativo. Segnalare un errore evento contribuisce a ridurre probabilità di errori simili in futuro. Nel tempo, questo valore aumenta la precisione di Adaptive Protection.

Monitoraggio, avvisi e logging

La telemetria di Adaptive Protection viene inviata a Cloud Logging e Security Command Center. Il messaggio di log di Adaptive Protection inviato a Cloud Logging è descritto nelle sezioni precedenti di questo documento. Ogni volta che la Protezione adattiva rileva un potenziale attacco viene generata una voce di log e ogni voce contiene un punteggio di affidabilità che descrive il livello di certezza dei modelli in merito al fatto che il traffico osservato sia anomalo. Per perfezionare gli avvisi, il criterio di avviso può essere configurato in Cloud Logging per attivare un avviso solo quando un messaggio di log di Adaptive Protection ha un punteggio di confidenza superiore a specificata dall'utente. Ti consigliamo di iniziare con una soglia bassa, con sicurezza > 0.5, per evitare di perdere gli avvisi di potenziali attacchi. La soglia di confidenza nel criterio di avviso può essere aumentata nel tempo se gli avvisi hanno un tasso di riferimento influenzato inaccettabile.

La dashboard di Security Command Center contiene anche i risultati di Adaptive Protection. Si trovano nella scheda Google Cloud Armor nella categoria Attacchi DDoS alle applicazioni. Ogni rilevamento include i dettagli del servizio, l'affidabilità dell'attacco, la firma associata all'attacco e un link all'avviso specifico nella dashboard Protezione adattiva. Lo screenshot che segue è un esempio di esito di un tentativo di attacco DDoS alle applicazioni:

Rilevamento di attacchi DDoS alle applicazioni.
Risultato: attacco DDoS all'applicazione (fai clic per ingrandire).

Specifica delle voci di Cloud Logging

L'avviso di Adaptive Protection inviato a Cloud Logging è costituito da una voce di log contenente i seguenti elementi:

  • Affidabilità dell'avviso: l'affidabilità di Adaptive Protection che l'evento osservato è un attacco.
  • Deployment automatico: valore booleano che rappresenta se è stata attivata o meno una difesa automatica.
  • Firma dell'attacco
    • Nome dell'attributo: il nome dell'attributo che corrisponde a Value di seguito, ad esempio un determinato nome dell'intestazione della richiesta o un'origine geografica.
    • Valore: il valore a cui corrisponde l'attributo nel traffico dannoso.
    • Tipo di corrispondenza: la relazione tra Value e l'attributo nell'attacco per via del traffico. Il valore è uguale a o una sottostringa di un attributo in e il traffico di attacco.
    • Probabilità di attacco: la probabilità che una determinata richiesta sia dannosa, in quanto che l'attributo pertinente di questa richiesta corrisponda a Value.
    • Proporzione all'attacco: la percentuale di traffico di potenziale attacco che corrisponde Value.
    • Proporzione in base di riferimento: la percentuale di traffico normale di riferimento che corrisponde Value.
  • Regola suggerita
    • Condizione di corrispondenza: l'espressione da utilizzare nella condizione di corrispondenza delle regole per identificare il traffico dannoso.
    • Tasso di riferimento interessato: la percentuale prevista di traffico valido per il servizio di backend specifico sotto attacco acquisito dalla regola suggerita.
    • Tasso di riferimento influenzato dal criterio: la percentuale prevista di traffico valido verso tutti i servizi di backend nello stesso criterio di sicurezza acquisito dalla regola suggerita.
    • Tasso di attacchi interessati: la percentuale prevista di traffico di attacchi acquisiti dalla regola suggerita.
  • Stato regola: dettagli aggiuntivi sulla generazione della regola.

Panoramica e privacy del machine learning

  • Dati di addestramento e dati di rilevamento
    • La Protezione adattiva crea diversi modelli per rilevare potenziali attacchi e identificarne le firme. Gli indicatori utilizzati da questi modelli per determinare se è in corso un attacco vengono ricavati dai metadati osservati del traffico delle richieste in entrata dai tuoi progetti. Questi metadati includono: indirizzo IP di origine, località di origine e valori di alcune intestazioni di richiesta HTTP.
    • Le caratteristiche effettive utilizzate dai modelli sono proprietà statistiche derivate degli indicatori sopra menzionati. Vale a dire che i dati di addestramento dei modelli non includono i valori effettivi quali indirizzi IP e/o valori di intestazione delle richieste.
    • Quando la Protezione adattiva viene attivata per la prima volta, viene condiviso tra tutti i clienti un insieme comune di modelli di rilevamento addestrati solo con dati artificiali per determinare se è in corso un attacco. Una volta segnalato un evento di attacco falso e aggiornati i modelli utilizzando gli indicatori di traffico specifici dei tuoi progetti, questi modelli sono locali per i tuoi progetti e non vengono utilizzati per altri clienti.
  • Dati per la generazione della firma
    • Dopo che Adaptive Protection ha determinato che un potenziale attacco è avviene, genera una firma di attacco efficace per aiutare mitigare rapidamente l'attacco. Per ottenere quanto sopra, dopo aver attivato Adaptive Protection su un criterio di sicurezza, le metriche sul traffico e i metadati delle richieste a un servizio di backend (associato al criterio di sicurezza) vengono registrati continuamente per apprendere le caratteristiche del traffico di riferimento.
    • Poiché Adaptive Protection deve acquisire informazioni sul traffico di riferimento, potrebbe essere necessaria fino a un'ora prima che vengano generate regole per mitigare potenziali attacchi.

Passaggi successivi