Un informe WAAP típico se abre con «12.483 ataques bloqueados este mes» y continúa con gráficos de tarta geográficos y listas de las 10 IPs atacantes principales. Eso puede satisfacer a un CISO a nivel de titular, pero no responde a las preguntas de nivel arquitectónico y de regulador: «¿Qué porcentaje de nuestro volumen de ataques impacta OWASP A03 Injection?», «¿En qué categorías de OWASP API Top 10 mostramos la mayor presión?», «¿Desde qué países, a qué horas, sobre qué argumento vemos intentos CWE-89 SQLi?»
Esas preguntas necesitan más que un panel de analítica WAAP estándar. Responderlas requiere que el ID de ataque esté vinculado a categorías OWASP, códigos CWE y niveles de riesgo en el origen. Los productos WAAP habituales tratan el ID de ataque como un código alfanumérico; no lo vinculan a una taxonomía curada. En su informe, «attack id 942100» es lo que se ve — no «OWASP A03».
La segunda brecha es la correlación de contexto. Por qué argumento (campo de formulario, parámetro de consulta, campo de cuerpo JSON) llegó el ataque, qué método HTTP, qué tamaño de cuerpo, qué user-agent, a qué hora — estos suelen vivir en paneles separados. El operador los une mentalmente. Las preguntas compuestas como «OWASP A03 × alcance cuerpo JSON × ASN dado» no son respondidas directamente por el informe.
La tercera brecha es la vista ejecutiva y de regulador. Cuando un auditor pregunta «En las categorías OWASP Top 10, ¿qué tipo de ataque tuvo el pico más alto en los últimos seis meses?», el operador debe mapear manualmente los IDs de ataque a las categorías OWASP y sumar las columnas a mano.
Los informes WAAP de TR7 cierran las tres brechas: las reglas y los IDs de ataque se pre-etiquetan en las taxonomías OWASP Web Top 10, OWASP API Top 10 y CWE como eje de primer nivel del informe; las combinaciones de correlación significativas se incorporan en la estructura del informe; y las vistas por categoría se convierten en diapositivas estándar para informes ejecutivos y de auditoría.
TR7 diseña el informe de ataques WAAP como la superficie de informes empresariales donde la taxonomía de categorías, los ejes de correlación, el nivel de riesgo y la intensidad geográfica convergen en un único documento.
El conjunto de reglas WAAP de TR7 de más de 3.000 reglas está pre-mapeado a OWASP Top 10 (2021) Web, OWASP API Security Top 10 (2023) y los códigos CWE aplicables. Cuando llega un ID de ataque, el sistema ya sabe qué categorías se aplican — los operadores no mapean manualmente.
Los ataques se representan como secciones separadas de barras / tarta + tabla de los N principales a través de 14 ejes de correlación. Las preguntas compuestas como «categoría X × argumento Y × país Z» se responden leyendo entre las secciones del informe, no uniendo paneles mentalmente.
Más allá de los ejes primarios, las combinaciones significativas (OWASP A03 × alcance cuerpo JSON, OWASP A01 × host header específico, CWE-89 × distribución ASN, API4 × método HTTP) se incluyen como diapositivas estándar del informe. La mayoría de las preguntas de auditoría y ejecutivas se responden directamente con estas combinaciones.
Los informes WAAP de TR7 corren dentro del mismo appliance que sirve el tráfico. El pipeline completo desde los logs de ataques hasta la generación de PDF vive en el dispositivo. Los productos WAAP habituales requieren una plataforma de gestión separada con su propia licencia, capacidad y coste de operaciones.
Informes de ataques WAAP con 14 ejes de correlación, taxonomía OWASP / API / CWE, un histograma de riesgo de seis niveles, detalle por grupo de host y PDF empresarial con marca.
El informe agrupa los ataques por categorías OWASP Top 10 (2021) Web: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Authentication Failures, A08 Software & Data Integrity, A09 Logging Failures, A10 SSRF. Para cada categoría, el recuento de ataques, la distribución de niveles de riesgo, la ruta de los N principales y el país de los N principales se representan como secciones separadas.
Los ataques a API se representan según OWASP API Security Top 10 (2023): API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Object Property Level Authorization, API4 Unrestricted Resource Consumption, API5 Broken Function Level Authorization, API6 Unrestricted Access to Sensitive Business Flows, API7 Server-Side Request Forgery, API8 Security Misconfiguration, API9 Improper Inventory Management, API10 Unsafe Consumption of APIs.
Cada ataque se etiqueta con los códigos CWE aplicables; CWE-89 (SQL Injection), CWE-79 (XSS), CWE-77 (Command Injection), CWE-22 (Path Traversal), CWE-352 (CSRF), CWE-918 (SSRF) y otros aparecen como secciones del informe. Los investigadores de seguridad y los equipos de auditoría hablan en taxonomías estándar.
Los ataques se representan como secciones separadas a través de: IP de origen, país, ciudad, user-agent, visitante (IP + UA), tamaño del cuerpo, tiempo de inspección WAAP (wafTime), hora del día, ID de ataque, alcance del ataque (form / header / query / json / xml / path / raw / cookie), puntuación de riesgo, nombre de variable de argumento (arg), host header, ruta, método HTTP. Cada eje: gráfico de barras / tarta emparejado con una tabla de los N principales.
Los ataques se dividen en seis niveles de riesgo: estructural, muy alto, alto, medio, bajo, muy bajo. El nivel estructural cubre la detección de anomalías estructurales propia de TR7 (abuso de protocolo HTTP, comportamiento de bots, firmas DDoS-IP) que se sitúa fuera del rango de reglas OWASP CRS.
Cuando un vService lleva múltiples grupos de host, se abre una sección de informe de ataques dedicada por grupo de host, y una sección de resumen cross-group presenta los grupos de host lado a lado. El operador ve tanto la presión global de la organización como la vista por grupo de host en el mismo informe.
El informe PDF se abre con una portada con marca que contiene el logotipo de la organización, el nombre del vService y el rango de fechas. La sección de resumen se abre con la intensidad de ataques en un mapa de calor SVG mundial completo, seguido de mini gráficos de series temporales de total de solicitudes frente a solicitudes bloqueadas.
Más allá de los ejes primarios, las combinaciones de categorías (OWASP A03 × alcance cuerpo JSON, API4 × método HTTP, CWE-89 × ASN, estructural × país) se generan automáticamente como secciones estándar del informe. La mayoría de las preguntas de auditoría y regulador obtienen una respuesta directa de estas combinaciones.
El informe WAAP está diseñado junto con el procesamiento de logs brutos, el etiquetado de taxonomía, la distribución por grupos de host, la generación en múltiples formatos y el comportamiento del clúster.
Los logs WAAP se resumen en agregados por hora por el motor WafLogReporter al final de cada hora. Los informes bajo demanda y programados ensamblan estos resúmenes pre-procesados; incluso los rangos largos mantienen el tiempo de generación del informe dentro de límites razonables.
Las etiquetas OWASP Top 10, OWASP API Top 10 y CWE están adjuntas a las propias reglas, de modo que cuando un ataque llega al informe la categorización ya es conocida. Cuando OWASP publica una nueva revisión las etiquetas se actualizan con el conjunto de reglas.
El informe sigue una jerarquía numerada: 1. Resumen, 2. Informe WAAP de [nombre del grupo de host], 2.1, 2.2 sub-secciones para cada dimensión. Múltiples grupos de host continúan en 3., 4., etc. El orden de las secciones prioriza argumento → país → ruta, luego alfabético.
PDF (A4, portada con marca, secciones de categorías y ejes, mapa de calor mundial), XLSX (una pestaña por sección), HTML (se abre desde la consola del operador). El mismo motor produce los tres formatos en paralelo; la elección del formato no cambia el contenido del informe.
En un clúster de alta disponibilidad, un informe WAAP programado dado se genera y envía una sola vez, desde el nodo activo únicamente. Sin entrega duplicada; los informes ad-hoc se ejecutan contra los datos visibles para el nodo al que está conectado el operador.
Desde un ID de ataque o ruta en el informe, los operadores saltan directamente a la regla WAAP que se activó, las sugerencias de aprendizaje relacionadas y la vista de tráfico en vivo. El informe actúa como punto de partida para un flujo de trabajo operacional, no como un documento estático.
La oficina del CISO puede responder «¿Qué categoría OWASP Top 10 mostró la mayor presión este mes, y en qué ruta?» directamente desde el informe. Los recuentos de ataques por categoría, la distribución de riesgo y la intensidad geográfica se entregan como PDF con marca al consejo directivo.
En auditorías bancarias, gubernamentales y de infraestructura crítica, el auditor solicita el historial de ataques desglosado por categoría OWASP y código CWE. El informe de TR7 presenta estos como secciones estándar — el expediente de auditoría no se prepara manualmente.
Los investigadores de seguridad investigan qué argumento, qué ASNs y a qué horas impacta un tipo de ataque específico (por ejemplo, intentos SQLi). Las secciones de combinación cross-axis (CWE-89 × argumento × ASN × hora) se incluyen directamente en el informe.
Los proveedores de servicios ejecutan un vService separado por cliente final y entregan el informe mensual de ataques WAAP de cada tenant con su propio logotipo, rango de fechas e idioma. El mismo motor produce informes para decenas de tenants en paralelo.
Taxonomía de más de 3.000 reglas, 14 ejes de correlación, 6 niveles de riesgo, combinaciones de categorías significativas y una portada PDF con marca. Permítanos mostrarle una demo en vivo con su propio perfil WAAP.