Información general sobre Google Cloud Armor Adaptive Protection

Google Cloud Armor Adaptive Protection te ayuda a proteger tus Google Cloud aplicaciones, sitios web y servicios frente a ataques de denegación de servicio distribuido (DDoS) de la capa 7, como inundaciones HTTP y otras actividades maliciosas de alta frecuencia de la capa 7 (capa de aplicación). Protección adaptativa crea modelos de aprendizaje automático que hacen lo siguiente:

  1. Detectar y alertar sobre actividades anómalas
  2. Generar una firma que describa el posible ataque
  3. Generar una regla de WAF de Cloud Armor personalizada para bloquear la firma

Puedes habilitar o inhabilitar Protección adaptativa en cada política de seguridad.

Las alertas sobre tráfico anómalo (posibles ataques), que incluyen las firmas de los ataques, aparecen en el panel de eventos de Protección adaptativa con registros de eventos enviados a Cloud Logging, donde se pueden analizar directamente o reenviar a un registro de nivel inferior o a un flujo de trabajo de monitorización de eventos de seguridad. Las alertas de posibles ataques también se generan como resultados en Security Command Center.

Disponibilidad de Adaptive Protection

Las alertas completas de Adaptive Protection solo están disponibles si te suscribes a Google Cloud Armor Enterprise. De lo contrario, solo recibirás una alerta básica. Una alerta básica solo contiene información mínima, como una puntuación de confianza de la detección y el tamaño del ataque. Una alerta básica no incluye ninguna firma de ataque ni ninguna regla sugerida para que los usuarios la implementen.

Si tus proyectos aún no están registrados en Cloud Armor Enterprise, consulta el artículo Usar Cloud Armor Enterprise para obtener información sobre cómo registrarlos.

Cloud Logging y Cloud Monitoring

Para usar Protección adaptativa de forma eficaz, debes saber cómo funcionan los registros y las alertas en Google Cloud. Por eso, te recomendamos que te familiarices con Cloud Logging, las alertas y las políticas de alertas.

Para que los registros y los informes sean correctos, Cloud Armor necesita acceder a los siguientes registros. Deben almacenarse en Cloud Logging o enrutarse a un segmento de registro al que pueda acceder Cloud Armor.

  • networksecurity.googleapis.com/dos_attack
  • networksecurity.googleapis.com/network_dos_attack
  • networksecurity.googleapis.com/network_dos_attack_mitigations

Configurar y ajustar alertas

Puedes habilitar Adaptive Protection en proyectos en los que las políticas de seguridad de Cloud Armor ya protegen tus aplicaciones. Cuando habilitas Protección adaptativa en una política de seguridad concreta, esta se aplica a todos los servicios de backend con los que esté asociada la política de seguridad.

Una vez que se ha habilitado Adaptive Protection, hay un periodo de entrenamiento de al menos una hora antes de que Adaptive Protection desarrolle una base fiable y empiece a monitorizar el tráfico y a generar alertas. Durante el periodo de entrenamiento, Protección adaptativa modeliza el tráfico entrante y los patrones de uso específicos de cada servicio backend para desarrollar la base de referencia de cada servicio backend. Cuando finaliza el periodo de entrenamiento, recibes alertas en tiempo real cuando Protección adaptativa identifica anomalías de alta frecuencia o de gran volumen en el tráfico dirigido a cualquiera de los servicios de backend asociados a esa política de seguridad.

Puedes ajustar las alertas de Protección adaptativa en función de varias métricas. Las alertas, que se envían a Cloud Logging, incluyen un nivel de confianza, una firma de ataque, una regla sugerida y una tasa de referencia afectada estimada asociada a la regla sugerida.

  • El nivel de confianza indica la confianza con la que los modelos de Adaptive Protection predicen que el cambio observado en el patrón de tráfico es anómalo.
  • Las tasas de referencia afectadas asociadas a la regla sugerida representan el porcentaje del tráfico de referencia actual que abarca la regla. Se ofrecen dos tarifas. La primera es el porcentaje relativo al tráfico que llega al servicio de backend específico que está sufriendo el ataque. El segundo es el porcentaje relativo a todo el tráfico que pasa por la política de seguridad, incluidos todos los destinos de servicio de backend configurados (no solo el que está sufriendo el ataque).

Puede filtrar las alertas de Cloud Logging en función del nivel de confianza o de las tasas de referencia afectadas, o de ambos criterios. Para obtener más información sobre cómo ajustar las alertas, consulta Gestionar políticas de alertas.

Adaptive Protection tiene como objetivo proteger los servicios de backend frente a ataques DDoS de capa 7 de gran volumen. En los siguientes casos, las solicitudes no se contabilizan en Protección adaptativa:

  • Solicitudes que se sirven directamente desde Cloud CDN
  • Solicitudes rechazadas por una política de seguridad de Cloud Armor

Modelos granulares

De forma predeterminada, Protección adaptativa detecta un ataque y sugiere mitigaciones en función del tráfico habitual dirigido a cada servicio backend. Esto significa que un backend situado detrás de un servicio de backend puede sobrecargarse, pero Adaptive Protection no toma ninguna medida porque el tráfico de ataque no es anómalo para el servicio de backend.

La función de modelos granulares le permite configurar hosts o rutas específicos como unidades granulares que analiza Protección adaptativa. Cuando usas modelos granulares, las mitigaciones sugeridas de Protección adaptativa filtran el tráfico en función de los prefijos de host o de ruta de URL coincidentes, lo que ayuda a reducir los falsos positivos. Cada uno de estos hosts o rutas se denomina unidad de tráfico granular.

Las firmas de ataque identificadas solo se dirigen al tráfico de ataque que llega a la unidad de tráfico granular. Sin embargo, el filtrado sigue aplicándose a todas las solicitudes que coinciden con la regla implementada, como lo haría sin las configuraciones granulares. Por ejemplo, si quieres que una regla implementada automáticamente solo coincida con una unidad granular de tráfico específica, puedes usar una condición de coincidencia como evaluateAdaptiveProtectionAutoDeploy() && request.headers['host'] == ... && request.path == ....

Además de los prefijos de host y de ruta de URL, puede configurar umbrales de alerta en función de algunas o todas las opciones siguientes. Puede aplicar estos umbrales a las unidades de tráfico granulares o al servicio de backend en su conjunto, excepto el umbral de carga, que solo se puede aplicar al servicio de backend:

  • Carga: la carga máxima del servicio de backend, según el balanceador de carga de aplicaciones configurado. Esta opción no está disponible para unidades de tráfico granulares ni para backends sin servidor, como Cloud Run, Cloud Run functions o backends de origen externo.
  • Consultas por segundo (CPS) absolutas: cantidad máxima de tráfico, en consultas por segundo, que recibe el servicio de backend o la unidad de tráfico.
  • En relación con las CPS de referencia: un múltiplo del volumen de tráfico de referencia medio a largo plazo. Por ejemplo, un valor de 2 representa un QPS del doble del volumen de tráfico de referencia.

Para obtener más información sobre cómo configurar modelos granulares, consulta el artículo Configurar Protección adaptativa de Google Cloud Armor.

Consumir e interpretar alertas

En cuanto Protección adaptativa detecta un ataque sospechoso, genera un evento en el panel de eventos de Protección adaptativa y un elemento de registro en Cloud Logging. La alerta se encuentra en la carga útil JSON del elemento de registro. El elemento de registro se genera en el recurso Política de seguridad de red de Cloud Logging. El mensaje de registro identifica el servicio de backend que está sufriendo el ataque e incluye una puntuación de confianza que indica la probabilidad de que Adaptive Protection considere anómalo el cambio en el patrón de tráfico identificado. El mensaje de registro también incluye una firma de ataque que ilustra las características del tráfico de ataque, junto con reglas de Cloud Armor sugeridas que puedes aplicar para mitigar el ataque.

Información sobre las firmas de ataque

Una alerta de Protección adaptativa incluye una firma de ataque, que es una descripción de los atributos de tráfico del posible ataque. Utilizas la firma para identificar y, posiblemente, bloquear el ataque. La firma tiene dos formas: una tabla legible por el usuario y una regla de WAF de Cloud Armor predefinida que puedes implementar en la política de seguridad correspondiente. Si no tienes una suscripción a Cloud Armor Enterprise, la alerta básica no incluye una firma de ataque.

La firma consta de un conjunto de atributos, como la dirección IP de origen, las regiones geográficas, las cookies, los user-agents, los referentes y otros encabezados de solicitud HTTP, así como el conjunto de valores de esos atributos que se cree que están asociados al tráfico de ataque potencial. El conjunto de atributos no se puede configurar por el usuario. Los valores de los atributos dependen de los valores del tráfico entrante a su servicio backend.

Por cada valor de atributo que, según Protección adaptativa, indica un ataque potencial, Protección adaptativa muestra lo siguiente:

  • La probabilidad de ataque
  • La proporción del atributo en el ataque, que es el porcentaje del tráfico de ataque potencial que tenía este valor en el momento en que se detectó el ataque.
  • La proporción del atributo en la base, que es el porcentaje del tráfico de la base que tenía este valor de atributo en el momento en que se detectó el ataque.

La especificación de entrada de Cloud Logging contiene detalles sobre la información de cada alerta.

A continuación, se muestra un ejemplo de una tabla legible por los usuarios que contiene la firma de un posible ataque:

Nombre de atributo Valor Tipo de coincidencia Probabilidad de ataque Proporción en ataque Proporción en el valor de referencia
UserAgent "foo" Concordancia exacta 0,7 0,85 0,12
UserAgent "bar" Concordancia exacta 0,6 0,7 0,4
IP de origen "a.b.c.d" Concordancia exacta 0,95 0,1 0,01
IP de origen a.b.c.e Concordancia exacta 0,95 0,1 0,01
IP de origen a.b.c.f Concordancia exacta 0,05 0,1 0,1
RegionCode Reino Unido Concordancia exacta 0,64 0,3 0,1
RegionCode IN Concordancia exacta 0,25 0,2 0,3
RequestUri /urlpart Subcadena 0,7 0,85 0,12

Una alerta de Adaptive Protection y el registro de eventos de Cloud Logging correspondiente contienen lo siguiente:

  • Un ID de alerta único o alertID, que se usa para hacer referencia a una alerta específica cuando se informa de los comentarios de los usuarios (más abajo)
  • El servicio de backend que está sufriendo el ataque o backendService
  • La puntuación de confianza, o confidence, que es un número entre 0 y 1 que indica la probabilidad de que el sistema de protección adaptativa considere que el evento detectado es un ataque malicioso.

También recibes un conjunto de firmas y reglas que caracterizan el ataque detectado. En concreto, el conjunto proporciona una lista de headerSignatures, cada uno correspondiente a un encabezado HTTP y que contiene una lista de significantValues para el encabezado específico. Cada valor significativo es un valor de encabezado observado o una subcadena de este.

A continuación, se muestra un ejemplo de firma:

...
headerSignatures: [
  0: {
   name: "Referer"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_EQUALS"
     proportionInAttack: 0.6
     proportionInBaseline: 0.01
     value: "foo.attacker.com"
    }
   ]
  }
...

La alerta sugiere que el valor foo.attacker.com del encabezado Referer es importante para caracterizar el ataque. En concreto, el 60% del tráfico de ataque (proportionInAttack) tiene este valor de Referer y solo el 1% del tráfico de referencia de todo el tráfico (proportionInBaseline) tiene el mismo valor de Referer. Además, del tráfico que coincide con este valor de Referer, el 95% es tráfico de ataque (attackLikelihood).

Estos valores sugieren que, si bloquearas todas las solicitudes con foo.attacker.com en el campo de encabezado Referer, bloquearías correctamente el 60% del ataque y también el 1% del tráfico de referencia.

La propiedad matchType especifica la relación entre el atributo del tráfico de ataque y el valor significativo. Puede ser MATCH_TYPE_CONTAINS o MATCH_TYPE_EQUALS.

La siguiente firma coincide con el tráfico que tiene la subcadena /api? en el URI de la solicitud:

...
headerSignatures: [
  0: {
   name: "RequestUri"
   significantValues: [
    0: {
     attackLikelihood: 0.95
     matchType: "MATCH_TYPE_CONTAINS"
     proportionInAttack: 0.9
     proportionInBaseline: 0.01
     value: "/api?"
    }
   ]
  }
...

Implementar reglas sugeridas

Las alertas de Adaptive Protection también proporcionan una regla de Cloud Armor sugerida expresada en el lenguaje de reglas personalizadas. Esta regla se puede usar para crear una regla en una política de seguridad de Cloud Armor para mitigar el ataque. Además de la firma, la alerta incluye una tasa de tráfico de referencia afectado para ayudarte a evaluar el impacto de implementar la regla. La tasa de tráfico de referencia afectado es una proporción proyectada del tráfico de referencia que coincide con la firma de ataque identificada por Protección adaptativa. Si no tienes una suscripción a Cloud Armor Enterprise, las alertas básicas que envía Adaptive Protection no incluyen ninguna regla de Cloud Armor sugerida que puedas aplicar.

Puede encontrar algunas de las firmas de alerta, así como la tasa de referencia afectada, en el mensaje de registro enviado a Cloud Logging. En el siguiente ejemplo se muestra la carga útil JSON de una alerta de muestra junto con las etiquetas de recursos por las que puede filtrar los registros.

...
 jsonPayload: {
   alertId: "11275630857957031521"
   backendService: "test-service"
   confidence: 0.71828485
   headerSignatures: [

    0: {
     name: "RequestUri"
     significantValues: [
      0: {
       attackLikelihood: 0.88
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0.01
       value: "/"
      }
     ]
    }
    1: {
     name: "RegionCode"
     significantValues: [
      0: {
       attackLikelihood: 0.08
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.17
       proportionInBaseline: 0.28
       value: "US"
      }
      1: {
       attackLikelihood: 0.68
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.09
       proportionInBaseline: 0.01
       value: "DE"
      }
      2: {
       attackLikelihood: 0.74
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.05
       proportionInBaseline: 0
       value: "MD"
      }
     ]
    }
     2: {
     name: "UserAgent"
     significantValues: [
      0: {
       attackLikelihood: 0.92
       matchType: "MATCH_TYPE_EQUALS"
       proportionInAttack: 0.85
       proportionInBaseline: 0
       value: "Unusual browser"
      }
      1: {
       attackLikelihood: 0.87
       proportionInAttack: 0.7
       proportionInBaseline: 0.1
       missing: true
      }
     ]
    }
   ]
   suggestedRule: [
    0: {
     action: "DENY"
     evaluation: {
       impactedAttackProportion: 0.95
       impactedBaselineProportion: 0.001
       impactedBaselinePolicyProportion: 0.001
     }
     expression: "evaluateAdaptiveProtection('11275630857957031521')"
    }
   ]
   ruleStatus: RULE_GENERATED
   attackSize: 5000
 }
 resource: {
    type: "network_security_policy",
    labels: {
      project_id: "your-project",
      policy_name: "your-security-policy-name"
    }
 },
}
}
...

Para implementar las reglas sugeridas, copie la expresión CEL de la firma de la regla y péguela en la condición de coincidencia de una regla recién creada. También puede hacer clic en el botón Aplicar del panel de control Protección adaptativa en la interfaz de usuario de Cloud Armor.

Para implementar la regla, crea una regla en la política de seguridad de Cloud Armor que proteja los servicios de backend de destino identificados por la alerta. A continuación, durante la configuración de la regla, copie y pegue la expresión CEL de la alerta en el campo Condición de coincidencia de la regla y defina la acción de la regla como deny. En el ejemplo anterior, se copia la expresión evaluateAdaptiveProtection('11275630857957031521') de la sección suggestedRule de la alerta.

Te recomendamos que despliegues la regla en modo de vista previa para evaluar su impacto en el tráfico de producción. Cuando lo hagas, Cloud Armor registrará la acción y el tráfico asociado cada vez que se active la regla, pero no se tomará ninguna medida con el tráfico coincidente.

Además, si tu política de seguridad está asociada a varios servicios de backend, comprueba si los efectos de la nueva regla tienen consecuencias no deseadas en alguno de los servicios de backend. Si esto ocurre, configura nuevas políticas de seguridad para mitigar los efectos no deseados y asócialas a los servicios backend correctos.

Te recomendamos que asignes a la nueva regla una prioridad más alta que a las reglas cuya acción sea "Permitir". Esto se debe a que, para que la regla tenga el impacto previsto y el máximo efecto en la mitigación del ataque, debe implementarse en la posición de prioridad lógica más alta para asegurarse de que la regla bloquee todo el tráfico coincidente. Las reglas de una política de seguridad de Cloud Armor se evalúan por orden de prioridad. La evaluación finaliza después de que se active la primera regla que coincida y se lleve a cabo la acción de regla asociada. Si necesita conceder una excepción a esta regla para determinado tráfico o clientes específicos, puede crear una regla de "permitir" con una prioridad más alta, es decir, con un valor numérico más bajo. Para obtener más información sobre la prioridad de las reglas, consulta Orden de evaluación de las reglas.

Implementar automáticamente las reglas sugeridas

También puedes configurar Protección adaptativa para que implemente automáticamente las reglas sugeridas. Para habilitar la implementación automática de reglas, crea una regla de marcador de posición con la prioridad y la acción que quieras mediante la expresión evaluateAdaptiveProtectionAutoDeploy() en la condición de coincidencia. Esta regla se evalúa como true en las solicitudes que Adaptive Protection identifica como tráfico de ataque y Cloud Armor aplica la acción a la solicitud de ataque. Se admiten todos los tipos de acciones de Cloud Armor, como allow, deny, throttle y redirect. Además, puedes usar el modo de vista previa para registrar que se ha activado la regla sin llevar a cabo la acción configurada.

Si usas un proxy upstream, como una CDN de terceros, delante de tu balanceador de carga de aplicaciones externo, te recomendamos que configures el campo userIpRequestHeaders para añadir la dirección IP (o los intervalos de direcciones IP) de tu proveedor a una lista de permitidas. De esta forma, Adaptive Protection no identificará por error la dirección IP de origen del proxy como participante en un ataque. En su lugar, consulta el campo configurado por el usuario para la dirección IP de origen del tráfico antes de que llegue al proxy.

Para obtener más información sobre cómo configurar la implementación automática de reglas, consulta Implementar automáticamente las reglas sugeridas de Protección adaptativa.

Estado de la regla

Si no se muestra ninguna regla cuando intentas desplegar una sugerencia, puedes usar el campo ruleStatus para determinar la causa.

El valor del campo attackSize se expresa en consultas por segundo (CPS).

 ]
ruleStatus: RULE_GENERATED
attackSize: 5000
}

En la siguiente tabla se describen los valores posibles del campo y su significado.

Estado de la regla Descripción
RULE_GENERATED Se ha generado una regla utilizable con normalidad.
BASELINE_TOO_RECENT No hay tiempo suficiente para acumular tráfico de referencia fiable. Se necesita hasta una hora para generar las reglas.
NO_SIGNIFICANT_VALUE_DETECTED Ninguna de las encabezados tiene valores significativos asociados al tráfico de ataques, por lo que no se ha podido generar ninguna regla.
NO_USABLE_RULE_FOUND No se ha podido crear ninguna regla utilizable.
ERROR Se ha producido un error no especificado al crear la regla.

Monitorización, comentarios e informes de errores de eventos

Necesitas los siguientes permisos para ver o interactuar con el panel de control de Protección adaptativa.

  • compute.securityPolicies.list
  • compute.backendServices.list
  • logging.logEntries.list

Después de habilitar Adaptive Protection en cualquier política de seguridad de Cloud Armor, puedes ver la página siguiente en el panel Seguridad de red > Cloud Armor. Muestra el volumen de tráfico a lo largo del tiempo de la política de seguridad y el servicio de backend seleccionados, así como la duración seleccionada. Las instancias de posibles ataques alertadas por Protección adaptativa se anotan en el gráfico y se muestran en una lista debajo del gráfico. Cuando haces clic en un evento de ataque específico, se muestra una ventana lateral con la firma del ataque y la regla sugerida en formato tabular. Se trata de la misma información que se incluye en las entradas de registro de Cloud Logging que se describen en la especificación de entradas de Cloud Logging. Haz clic en el botón Aplicar para añadir la regla sugerida a la misma política de seguridad.

Panel de control de Adaptive Protection
Panel de control de Protección adaptativa (haz clic para ampliar)
Detalles de la alerta de Adaptive Protection
Panel de control de Protección adaptativa (haz clic para ampliar)

No todas las detecciones de Protección Adaptativa se consideran ataques, dado el contexto único y los factores ambientales del servicio backend protegido. Si determinas que el posible ataque descrito en la alerta es un comportamiento normal o aceptado, puedes informar de un error de evento para ayudar a entrenar los modelos de Protección adaptativa. Junto a cada evento de ataque que aparece debajo del gráfico, hay un botón que abre una ventana interactiva para que puedas informar de un error en el evento con algo de contexto opcional. Informar de un error de evento ayuda a reducir la probabilidad de que se produzcan errores similares en el futuro. Con el tiempo, esto aumenta la precisión de Adaptive Protection.

Monitorización, alertas y registro

La telemetría de Adaptive Protection se envía a Cloud Logging y a Security Command Center. El mensaje de registro de Protección Adaptativa enviado a Cloud Logging se describe en las secciones anteriores de este documento. Se genera una entrada de registro cada vez que Protección Adaptativa detecta un posible ataque. Cada entrada contiene una puntuación de confianza que describe el grado de confianza de los modelos en que el tráfico observado es anómalo. Para ajustar las alertas, se puede configurar una política de alertas en Cloud Logging para que se active solo cuando un mensaje de registro de Adaptive Protection tenga una puntuación de confianza superior a un umbral especificado por el usuario. Te recomendamos que empieces con un umbral bajo, con una confianza > 0,5, para no perderte las advertencias de posibles ataques. El umbral de confianza de la política de alertas se puede aumentar con el tiempo si las alertas tienen una tasa de referencia afectada inaceptable.

El panel de control de Security Command Center también contiene resultados de Adaptive Protection. Se encuentran en la tarjeta de Cloud Armor, en la categoría Ataques DDoS a aplicaciones. Cada resultado incluye los detalles del servicio, la confianza del ataque, la firma asociada al ataque y un enlace a la alerta específica en el panel de control de Adaptive Protection. La siguiente captura de pantalla es un ejemplo de un resultado de intento de ataque DDoS a una aplicación:

Detección de ataques DDoS a aplicaciones.
Detección de ataques DDoS a aplicaciones (haz clic para ampliar).

Especificación de la entrada de Cloud Logging

La alerta de Adaptive Protection enviada a Cloud Logging consta de una entrada de registro que contiene los siguientes elementos:

  • Confianza de la alerta: confianza de Adaptive Protection de que el evento observado es un ataque.
  • Se ha desplegado automáticamente: valor booleano que indica si se ha activado una defensa automática.
  • Firma de ataque
    • Nombre del atributo: el nombre del atributo que coincide con el Value de abajo, como un nombre de encabezado de solicitud concreto o un origen geográfico.
    • Valor: el valor con el que coincide el atributo del tráfico malicioso.
    • Tipo de concordancia: la relación entre Value y el atributo en attack traffic. El valor es igual o una subcadena de un atributo del tráfico de ataque.
    • Probabilidad de ataque: la probabilidad de que una solicitud determinada sea maliciosa, dado que el atributo pertinente de esta solicitud coincide con Value.
    • Proporción en el ataque: porcentaje del tráfico de ataque potencial que coincide con Value.
    • Proporción en el valor de referencia: porcentaje del tráfico normal de referencia que coincide con Value.
  • Regla sugerida
    • Condición de coincidencia: expresión que se usará en la condición de coincidencia de las reglas para identificar el tráfico malicioso.
    • Tasa de referencia afectada: porcentaje proyectado del tráfico correcto al servicio backend específico que está sufriendo un ataque y que se captura con la regla sugerida.
    • Tasa de referencia afectada en la política: porcentaje previsto de tráfico correcto a todos los servicios backend de la misma política de seguridad que se captura con la regla sugerida.
    • Tasa de ataque afectada: porcentaje previsto del tráfico de ataque que captura la regla sugerida.
  • Estado de la regla: información adicional sobre la generación de la regla.

Información general sobre el aprendizaje automático y la privacidad

  • Datos de entrenamiento y datos de detección
    • Protección adaptativa crea varios modelos para detectar posibles ataques e identificar sus firmas. Las señales que usan estos modelos para determinar si hay un ataque en curso se derivan de los metadatos observados del tráfico de solicitudes entrantes de tus proyectos. Estos metadatos incluyen la dirección IP de origen, la ubicación geográfica de origen y los valores de algunos encabezados de solicitud HTTP.
    • Las funciones que usan los modelos son propiedades estadísticas derivadas de las señales mencionadas anteriormente. Es decir, los datos de entrenamiento de los modelos no incluyen los valores reales de ningún metadato, como las direcciones IP o los valores de los encabezados de las solicitudes.
    • Se comparte un conjunto común de modelos de detección, entrenados únicamente con datos artificiales, entre todos los clientes para determinar si se está produciendo un ataque cuando se habilita por primera vez la protección adaptativa. Una vez que haya denunciado un evento de ataque falso y los modelos se hayan actualizado con las señales de tráfico específicas de sus proyectos, estos modelos serán locales de sus proyectos y no se usarán para ningún otro cliente.
  • Datos de generación de firmas
    • Una vez que Protección adaptativa determina que se está produciendo un posible ataque, genera una firma de ataque eficaz para ayudar al objetivo a mitigar el ataque rápidamente. Para conseguir lo anterior, después de habilitar Adaptive Protection en una política de seguridad, se registran continuamente las métricas de tráfico y los metadatos de las solicitudes a un servicio de backend (asociado a la política de seguridad) para conocer las características del tráfico de referencia.
    • Como Adaptive Protection necesita conocer el tráfico de referencia, puede tardar hasta una hora en generar reglas para mitigar posibles ataques.

Siguientes pasos