Detección de anomalías

Análisis de línea base comportamental que detecta cuando un agente se desvía de sus patrones normales — capturando amenazas que las políticas basadas en reglas pasan por alto.

Cómo funciona

El detector de anomalías funciona por agente y por tenant. Mantiene una línea base comportamental deslizante para cada agente y compara la actividad reciente con esa línea base usando dos rutas de análisis complementarias:

Análisis de IA (primario): La secuencia reciente de llamadas a herramientas del agente y el perfil de línea base se envían a un backend de IA configurable. El análisis produce una puntuación de anomalía, tipo y explicación en texto claro.

Respaldo estadístico: Cuando el análisis de IA no está disponible, un análisis estadístico toma el relevo. Las herramientas usadas significativamente por encima o por debajo de su tasa de línea base se marcan.

Comprobaciones basadas en eventos (siempre activas): Detectores de patrones de ruta rápida se ejecutan en paralelo con el análisis de IA, capturando escenarios de ráfaga que requieren baja latencia (ver más abajo).

Los eventos de anomalía por encima del umbral configurado se persisten en la base de datos y pueden activar reglas de alerta. Durante la fase de aprendizaje, los eventos se registran pero las alertas se suprimen para que los nuevos agentes puedan construir una línea base fiable. La duración del aprendizaje es configurable por agente.

Línea base comportamental

La línea base se calcula automáticamente a partir del historial de eventos de auditoría del agente. Para cada herramienta que llama el agente, la línea base registra:

Métrica	Descripción
Frecuencia de llamadas	Media y desviación estándar de llamadas por hora en la ventana de línea base
Distribución por horas	Histograma UTC de 24 franjas — qué horas el agente está normalmente activo
Lista de herramientas	Conjunto de herramientas históricamente usadas por este agente

Fase de aprendizaje

Los nuevos agentes entran en una fase de aprendizaje. Durante este período, la línea base acumula datos pero las alertas de anomalía se suprimen. Cuando expira la ventana de aprendizaje, la línea base se bloquea automáticamente y las alertas comienzan a dispararse. La duración del aprendizaje es configurable por agente mediante la API.

Aprendizaje: anomalías registradas, alertas suprimidas (isLearning: true)

Bloqueado: línea base de confianza, alertas activas (isLearning: false)

Patrones de detección basados en eventos

Detección de anomalías comportamentales mediante líneas base estadísticas y reconocimiento de patrones. Los umbrales y ventanas de detección son configurables por tenant.

dlp_burst

Un pico repentino de eventos DLP de pérdida de datos sugiere que el agente está exfiltrando datos activamente o escaneando información sensible a una tasa inusual.

injection_clustering

Múltiples intentos de inyección en una ventana corta indican un ataque coordinado o un agente comprometido ejecutando payloads de inyección.

policy_denial_spike

Un aumento repentino en las denegaciones de políticas respecto a la línea base histórica del agente sugiere que el agente está probando herramientas restringidas o su configuración ha derivado.

unusual_tool_access

El agente está llamando a herramientas que nunca ha usado antes. Esto puede indicar una nueva tarea, una mala configuración o un compromiso de la cadena de suministro.

off_hours_activity

Actividad significativa durante horas en las que el agente nunca ha funcionado anteriormente. Se puede ajustar a una ventana explícita fuera de horario mediante configuración por agente.

Configuración

Todos los umbrales de detección, ventanas de línea base, duración de la fase de aprendizaje y horarios fuera de servicio son configurables por agente y por tenant mediante la API. Los valores predeterminados del sistema se pueden sobreescribir en cualquier nivel.

Referencia de API

GET/tenants/:tenantId/anomalies—Listar eventos de anomalía. Filtrar por ?agentId= o ?anomalyType=

GET/tenants/:tenantId/agents/:agentId/anomalies—Historial de anomalías de un agente (más reciente primero)

POST/tenants/:tenantId/agents/:agentId/analyze—Disparar un análisis de anomalía bajo demanda para un agente

GET/tenants/:tenantId/agents/:agentId/baseline—Perfil de línea base actual: herramientas, frecuencias, distribución por horas

PATCH/tenants/:tenantId/agents/:agentId/anomaly-config—Sobreescribir umbrales de anomalía por agente y duración de la fase de aprendizaje

Ejemplo — sobreescribir umbrales para un agente específico

bash

curl -s -X PATCH https://api.shieldagent.io/tenants/:tenantId/agents/:agentId/anomaly-config \
  -H 'Authorization: Bearer <token>' \
  -H 'Content-Type: application/json' \
  -d '{
    "anomalyThreshold": 70,
    "offHoursStart": 22,
    "offHoursEnd": 6,
    "learningPhaseDays": 14
  }'

Forma del evento de anomalía

json

{
  "id": "anev_...",
  "agentId": "...",
  "anomalyScore": 78,
  "anomalyType": "injection_clustering",
  "confidence": 80,
  "source": "statistical",
  "toolName": null,
  "details": {
    "explanation": "Injection clustering detected above configured threshold."
  },
  "detectedAt": "2026-04-24T14:05:00.000Z"
}