Este documento explica como usar o recurso Ataques e investigações para identificar e investigar ameaças de segurança, como o credential stuffing.
O reCAPTCHA detecta ataques e os mostra na página Ataques no Google Cloud console. É possível conferir uma lista de possíveis ataques e acessar os detalhes da investigação para entender o escopo e o impacto de um ataque.
Visão geral
O recurso Ataques e investigações ajuda a identificar ataques direcionados aos seus sites. O reCAPTCHA analisa seu tráfego para identificar padrões de abuso. Ele detecta comportamentos anormais e os sinaliza como um possível ataque.
Tipos de ataques com suporte
Os ataques são categorizados por tipo. Entender o tipo de ataque pode ajudar a personalizar sua investigação. Os seguintes tipos de ataques são compatíveis:
Credential stuffing: esse tipo de ataque usa listas de nomes de usuário e senhas roubados para tentar conseguir acesso não autorizado a contas de usuário.
Conferir e investigar ataques
Para conferir uma lista de ataques detectados, acesse a página Ataques no Google Cloud console.
A página Ataques lista os ataques detectados, além de informações importantes para ajudar a identificar e priorizar ameaças. Ao clicar em um ataque, a página Detalhes do ataque é aberta, oferecendo uma visão abrangente da investigação.
Para entender o escopo de um ataque, comece avaliando o impacto dele. As informações na página Detalhes do ataque ajudam a entender a escala do incidente para que você possa priorizar quais investigações exigem atenção imediata.
Analisar padrões de tráfego
Use a linha do tempo de eventos para visualizar o ciclo de vida do ataque. Procure picos na atividade fraudulenta para identificar quando o ataque foi mais agressivo. Se disponível, revise os eventos potencialmente legítimos. Essas solicitações parecem legítimas, mas compartilham padrões com o ataque detectado, o que pode indicar um comportamento sofisticado de bot ou uma rede comprometida.
Identificar e bloquear ameaças
Para interromper o ataque e evitar futuros, é necessário identificar as características e a origem dele. A lista detalhada de eventos permite inspecionar solicitações individuais em busca de semelhanças. Procure padrões nos seguintes dados nos eventos:
- IP do usuário informado pelo site:verifique se os ataques estão se originando de uma sub-rede específica.
- Agente do usuário informado pelo site:identifique versões específicas do navegador ou assinaturas de bot.
- Marcador de defesa da conta:procure sinais de atividade de login suspeita ou invasões de conta.
- Pontuação:revise como o reCAPTCHA está pontuando essas solicitações específicas.
Use esses insights para configurar as regras de firewall ou ajustar as políticas de segurança do reCAPTCHA.
Gerenciar o status da investigação
É possível acompanhar o progresso das investigações atualizando o status. Para mudar o status, clique em Definir status na página Detalhes do ataque e selecione o status adequado:
- Novo:o status padrão de um ataque recém-detectado.
- Ativo:indica que a investigação está em andamento.
- Fechado:indica que você terminou de investigar o ataque. Se novos eventos suspeitos forem detectados mais tarde, o status será alterado automaticamente de Fechado para Ativo.