En este documento, se explica cómo usar la función Ataques e investigaciones para identificar e investigar amenazas de seguridad, como el credential stuffing.
reCAPTCHA detecta los ataques y los muestra en la página Ataques de la consola de Google Cloud . Puedes ver una lista de posibles ataques y explorar los detalles de la investigación para comprender el alcance y el impacto de un ataque.
Descripción general
La función Ataques e investigaciones te ayuda a identificar los ataques dirigidos a tus sitios. reCAPTCHA analiza tu tráfico para identificar patrones de abuso, detectar comportamientos anómalos y marcarlos como posibles ataques.
Tipos de ataques admitidos
Los ataques se clasifican por tipo. Comprender el tipo de ataque puede ayudarte a adaptar tu investigación. Se admiten los siguientes tipos de ataques:
Uso de credenciales robadas: Este tipo de ataque usa listas de nombres de usuario y contraseñas robados para intentar obtener acceso no autorizado a las cuentas de usuario.
Cómo ver e investigar ataques
Para ver una lista de los ataques detectados, ve a la página Ataques en la consola de Google Cloud .
En la página Ataques, se enumeran los ataques detectados junto con información clave para ayudarte a identificar y priorizar las amenazas. Si haces clic en un ataque, se abrirá la página Detalles del ataque, que proporciona una vista integral de la investigación.
Para comprender el alcance de un ataque, primero evalúa su impacto. La información de la página Detalles del ataque te ayuda a comprender la magnitud del incidente para que puedas priorizar qué investigaciones requieren atención inmediata.
Analiza los patrones de tráfico
Usa la línea de tiempo de eventos para visualizar el ciclo de vida del ataque. Busca picos en la actividad Fraudulenta para identificar cuándo el ataque fue más agresivo. Si están disponibles, revisa los eventos Potentially Legitimate. Estas solicitudes parecen legítimas, pero comparten patrones con el ataque detectado, lo que puede indicar un comportamiento sofisticado de un bot o una red vulnerada.
Identifica y bloquea amenazas
Para detener el ataque y evitar futuros ataques, debes identificar sus características y su origen. La lista de eventos detallada te permite inspeccionar solicitudes individuales para encontrar similitudes. Busca patrones en los siguientes datos de los eventos:
- IP del usuario informada del sitio: Comprueba si los ataques se originan en una subred específica.
- Usuario-agente informado del sitio: Identifica versiones específicas del navegador o firmas de bots.
- Etiqueta de defensa de la cuenta: Busca indicios de actividad de acceso sospechosa o usurpación de cuentas.
- Puntuación: Revisa cómo reCAPTCHA puntúa estas solicitudes específicas.
Usa estas estadísticas para configurar tus reglas de firewall o ajustar tus políticas de seguridad de reCAPTCHA.
Administra el estado de la investigación
Puedes hacer un seguimiento del progreso de tus investigaciones actualizando el estado. Para cambiar el estado, haz clic en Establecer estado en la página Detalles del ataque y selecciona el estado adecuado:
- Nuevo: Es el estado predeterminado para un ataque detectado recientemente.
- Activa: Indica que la investigación está en curso.
- Cerrado: Indica que terminaste de investigar el ataque. Si se detectan nuevos eventos sospechosos más adelante, el estado cambiará automáticamente de Cerrado a Activo.
¿Qué sigue?
- Obtén más información sobre las funciones de protección de cuentas de usuario de reCAPTCHA.