Investigar eventos del Agent

En este tema, se explica cómo utilizar el Agent Events Explorer para consultar y revisar los eventos de detección de amenazas del Datadog Agent generados por las reglas de detección predefinidas (OOTB).

El Datadog Agent evalúa la actividad del sistema en el host del Agent. Cuando la actividad coincide con una expresión de regla del Agent, el Agent genera un evento de detección y lo pasa al backend de Datadog.

Si un evento coincide con una regla de detección del Agent y una regla de detección de amenazas del backend, se crea una señal y se muestra en Señales (Agent detection rule + backend Threat detection rule = Signal).

Con el Agent Events Explorer, puedes investigar eventos del Agent por separado de las señales. Puedes revisar la ruta de host en la que se produjo el evento y ver los atributos de eventos, métricas y procesos. También puedes revisar la regla del Agent que generó el evento y ver las instrucciones de análisis y respuesta.

Bloquear de forma proactiva las amenazas con Active Protection

Por defecto, todas las reglas de detección de amenazas de minería de criptomonedas predefinidas del Agent están habilitadas y activas para la monitorización contra amenazas.

Active Protection te permite bloquear y terminar proactivamente las amenazas de minería de criptomonedas identificadas por las reglas de detección de amenazas de Datadog Agent.

Ver eventos del Agent

Para consultar eventos del Agent, ve al Agent Event Explorer.

Los eventos del Agent se consultan y visualizan utilizando los controles estándar del explorador en el Events Explorer de Datadog.

Investigar eventos del Agent

Para investigar por qué aparece un evento en el Agent Events Explorer, selecciona un evento.

Los detalles de evento incluyen los atributos, métricas y procesos. Las métricas se enlazan con los pasos de instalación del dashboard de host y los pasos de instalación de los procesos se enlazan con el dashboard de proceso y el Agent de proceso.

En Path (Ruta), se muestra el último árbol de proceso. Esto te da la mejor visión general de lo que ocurrió al mostrarte todos los comandos que condujeron al comando que inició el evento.

Tu descripción de imagen

Path (Ruta) es a menudo el mejor lugar para comenzar tu investigación de un evento.

Clasificación de eventos del Agent

Para clasificar un evento:

  1. Selecciona el evento en la columna AGENT RULE (REGLA DEL AGENT) en el Agent Events Explorer.
  2. Selecciona Click to copy (Hacer clic para copiar).
  3. Abre la documentación de las reglas predefinidas.
  4. En el campo de búsqueda, pega el nombre de la regla copiada.
  5. Selecciona la regla en los resultados.
  6. Revisa el Objetivo de la regla, Estrategia, y sigue los pasos en Clasificación y respuesta.

Leer más

Más enlaces, artículos y documentación útiles:

Explorar las reglas de detección de CSM ThreatsDOCUMENTACIÓN more more Más información sobre cómo gestionar las reglas de detección de CSM ThreatsDOCUMENTACIÓN more more Más información sobre las notificación de seguridadDOCUMENTACIÓN more more Protección de tus cargas de trabajo en Windows con Datadog Cloud Security ManagementBLOG more more