Trabajos históricos

Los trabajos históricos permiten realizar tests retrospectivos de las detecciones comparándolas con los logs históricos almacenados en Datadog Cloud SIEM.

A diferencia de una regla en tiempo real, un trabajo histórico no se ejecuta continuamente. Los trabajos históricos son consultas que se ejecutan una sola vez y analizan un periodo específico de datos históricos.

Los resultados de los trabajos históricos son versiones ligeras de las señales, que proporcionan información esencial sobre posibles amenazas o anomalías identificadas en los logs históricos.

Si se necesita una acción inmediata tras revisar los resultados generados por el trabajo histórico, puedes convertir con confianza un subconjunto de esos resultados en señales. Al convertir un resultado en señal, puedes establecer manualmente la gravedad de la señal y el destino de notificación, así como el manual de señales.

Ejecutar un trabajo histórico

Crear el trabajo

  1. Ve a la página Cloud SIEM Detection Rules (Reglas de detección de Cloud SIEM).
  2. Haz clic en el menú de tres puntos situado junto a la regla que deseas probar y selecciona Run as Historical Job (Ejecutar como trabajo histórico).
  3. Completa el formulario eligiendo el índice de log, el intervalo de tiempo, el caso de la regla y el destinatario o destinatarios de la notificación.
    Formulario de creación del trabajo histórico
  4. Haz clic en Run Historical Job (Ejecutar trabajo histórico).
  5. También puedes definir el trabajo desde cero en el Editor de reglas.

Revisar los resultados del trabajo

  1. Ve a Lista de trabajos históricos.
  2. Haz clic en el trabajo histórico que has creado para abrir un panel que incluye los resultados detectados, los logs coincidentes, etc.
    El panel de resultados de un trabajo histórico

Convertir un resultado en una señal

  1. En la sección Results (Resultados) del panel de un trabajo histórico, haz clic en uno de los resultados de la lista para abrir un panel de detalles para ese resultado.
  2. Haz clic en Convert to Signal (Convertir en señal).
  3. Establece la gravedad de la señal, los destinatarios de notificación y el mensaje de descripción.
    El panel de resultados para un trabajo histórico
  4. Haz clic en Convert to Signals (Convertir en señales).

Consultas de campos calculados

La opción de los campos calculados en el editor de reglas de detección

Puedes crear Campos calculados directamente en una consulta de trabajos históricos para definir un campo calculado a partir de fuentes de datos existentes.

Utiliza campos calculados para transformar y enriquecer tu consulta con fórmulas para:

  • Manipular texto
  • Realizar operaciones aritméticas
  • Evaluar la lógica condicional

Un campo calculado puede utilizarse como cualquier atributo de logs para el análisis de trabajos, la búsqueda de resultados de trabajos y la definición de otros campos calculados.

  1. Ve a Lista de trabajos históricos.
  2. Haz clic en Nuevo trabajo.
  3. Busca la sección Definir consultas de búsqueda.
  4. Haz clic en Add (Añadir).
  5. Selecciona Campos calculados entre las opciones.
La creación de un diálogo modal de campos calculados con campos para definir el nombre y la fórmula

Consulta Lenguaje de expresión de campos calculados para conocer los operadores y funciones disponibles.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Test retrospectivo de reglas de detección con trabajos históricos de Datadog Cloud SIEMBLOG more more