La detección de anomalías analiza el tráfico de su dominio en busca de sesiones (tokens) que representen un comportamiento anómalo. Esto puede ayudar a identificar comportamientos anómalos derivados de:
- Bots
- Usuarios humanos que intentan engañar a la cola o a su sitio web
- Sesiones con comportamientos colaborativos, como compartir fichas entre usuarios
- Servicios de software legítimos atrapados en colas
Nuestros algoritmos de detección de anomalías utilizan análisis estadísticos para analizar el tráfico en tiempo real, utilizando una variedad de métricas que incluyen:
- Variedad de URL solicitadas y tendencia hacia las URL de interés para los robots.
- Velocidad de las solicitudes
- Direcciones IP, idioma y cadenas de agentes asociados a los tokens
- Recuento de fichas procedentes de IP asociadas
- Edad de la sesión
- Geolocalización
- Anomalías en las cadenas de agentes
- Reputación de IP y banderas de IP similares de otros sitios que utilizan CrowdHandler
Estos factores se utilizan para construir una imagen de las normas estadísticas para su sitio web y salas de espera. A continuación, se marcan las sesiones anómalas. Puede investigar sesiones individuales para tomar decisiones en casos concretos, o establecer un umbral para prohibir las IP que muestren un comportamiento anómalo.
Primeros pasos
La detección de anomalías está disponible en los planes Professional y Enterprise. Para encontrar sesiones anómalas, inicie sesión en el panel de administración y haga clic en la pestaña Sesiones.
La pantalla de sesiones le mostrará todos los usuarios en su sitio web o en la cola de una sala de espera, por orden de cola. La puntuación de riesgo (de 0 a 100) indica lo anómalas que son determinadas sesiones.
Puede utilizar el filtro de puntuación mínima para centrarse en las puntuaciones más anómalas. (Por ejemplo, configúrelo en 50 y pulse actualizar para encontrar todas las sesiones con puntuaciones superiores a 50).
También puede ordenar las sesiones utilizando la columna de anomalías, de modo que las sesiones más anómalas aparezcan en la parte superior de la pantalla.
Sesiones de investigación
Además de la puntuación de riesgo de anomalía, verás otra información sobre la sesión que puede ayudarte a indicar cómo de arriesgada es esta sesión. Esto incluye detalles sobre la pantalla del agente, e información sobre la IP, incluyendo geolocalización, ISP, y si la IP se está originando en un centro de datos, o usando una red como TOR, o está listada en alguna base de datos de abuso.
Haga clic en el icono de la lupa para ver la sesión con más detalle. Esto le mostrará el historial de la sesión; sondeos desde las salas de espera, progresión a través de la cola, clics en URLs, cambios en la IP e información del agente. También verá un desglose de los factores de riesgo que contribuyen a la puntuación de riesgo.
Pasar a la acción
Deberías estar en una buena posición para tomar una decisión sobre si se trata de una sesión legítima o dudosa. En función de tu opinión, hay una serie de acciones instantáneas que puedes tomar desde esta pantalla:
Borrar el token
Si tiene una cola de espera activa, al eliminar el token el usuario pasará al final de la cola. Esto ocurrirá tanto si ya ha pasado por la cola y ha entrado en su sitio, como si está en la cola pero avanzando hacia la parte delantera. El usuario no será notificado con una razón, pero se encontrará al final de la cola. Si tiene una cola importante y desea acelerar el tránsito de sus usuarios legítimos, ésta es la mejor medida que puede tomar.
Bloquear la IP
El bloqueo de la IP significará que cualquier sesión originada desde esta IP será bloqueada, incluyendo las existentes en vivo. Los usuarios recibirán una página de sala de espera con un mensaje de bloqueo. Esta es la mejor acción a tomar con respecto a comportamientos dudosos cuando no tienes una cola activa. Por ejemplo, bots scraper y spinner. Bloquear una IP individual puede no ser efectivo cuando el token se está originando desde múltiples IPs, aunque el bloqueo automatizado de IPs puede ayudar en este escenario.
Ignorar la IP
Estamos detectando un comportamiento anómalo. Además de malos actores, esto puede señalar servicios legítimos que están haciendo peticiones a su sitio web. Por ejemplo: Servicios de monitorización del tiempo de actividad, pasarelas de pago que confirman transacciones. En estos casos puede que desee configurar la IP para que sea ignorada o evitada. Además de evitar que estos servicios queden atrapados en las colas, esto evitará que los tokens de esas IPs sean marcados por la detección de anomalías en el futuro.
Protección automatizada
Las sesiones anómalas y el tráfico de bots constituyen una elevada proporción del tráfico de los sitios web típicos. Por tanto, es probable que el control de las sesiones individuales se convierta rápidamente en una tarea tediosa. Por ello, recomendamos utilizar los controles del cortafuegos para bloquear automáticamente las sesiones con una puntuación de anomalía superior al 95 % y realizar un seguimiento periódico para comprobar si se puede reducir ese umbral.
Si decide no bloquear en absoluto basándose en los umbrales de anomalías, por miedo a falsos positivos, esa información se seguirá utilizando para informar las recomendaciones de bloqueo de IP y para ayudar a mantener las reglas de bloqueo global de CrowdHandler(a las que puede optar).