Trabajos históricos

Los trabajos históricos permiten realizar tests retrospectivos de las detecciones comparándolas con los logs históricos almacenados en Datadog Cloud SIEM.

A diferencia de una regla en tiempo real, un trabajo histórico no se ejecuta continuamente. Los trabajos históricos son consultas que se ejecutan una sola vez y analizan un periodo específico de datos históricos.

Los resultados de los trabajos históricos son versiones ligeras de las señales, que proporcionan información esencial sobre posibles amenazas o anomalías identificadas en los logs históricos.

Si se necesita una acción inmediata tras revisar los resultados generados por el trabajo histórico, puedes convertir con confianza un subconjunto de esos resultados a señales. Al convertir un resultado en señal, puedes establecer manualmente la gravedad de la señal y el destino de notificación, así como el manual de señales.

Ejecutar un trabajo histórico

Crear el trabajo

  1. Navega a la página Cloud SIEM Detection Rules (Reglas de detección de Cloud SIEM).
  2. Haz clic en el menú de tres puntos situado junto a la regla que deseas probar y selecciona Run as Historical Job (Ejecutar como trabajo histórico).
  3. Completa el formulario eligiendo el índice de log, el intervalo de tiempo, el caso de la regla y el destinatario o destinatarios de la notificación.
    Formulario de creación del Trabajo histórico
  4. Haz clic en Run Historical Job (Ejecutar trabajo histórico).

Revisar los resultados del trabajo

  1. Navega a la lista de Trabajos históricos.
  2. Haz clic en el trabajo histórico que has creado para abrir un panel que incluye los resultados detectados, los logs coincidentes, etc.
    El panel de resultados de un trabajo histórico

Convertir un resultado en una señal

  1. En la sección Results (Resultados) del panel de un trabajo histórico, haz clic en uno de los resultados de la lista para abrir un panel de detalles para ese resultado.
  2. Haz clic en Convert to Signal (Convertir en señal).
  3. Establece la gravedad de la señal, los destinatarios de notificación y el mensaje de descripción.
    El panel de resultados para un trabajo histórico
  4. Haz clic en Convert to Signals (Convertir en señales).

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Test retrospectivo de reglas de detección con trabajos históricos de Datadog Cloud SIEMBLOG more more