Investigar las señales de seguridad

Documentos > Datadog Security > Cloud Security Management Threats > Investigar las señales de seguridad

Las señales de seguridad de Cloud Security Management Threats (CSM Threats) se crean cuando Datadog detecta una amenaza basándose en una regla de seguridad. Ve, busca, filtra e investiga las señales de seguridad en el Signals Explorer, o configura reglas de notificación para enviar señales a herramientas de terceros.

Para modificar las señales de seguridad, debes tener el permiso security_monitoring_signals_write. Consulta Control de acceso basado en roles para obtener más información sobre los roles predeterminados de Datadog y los permisos detallados de control de acceso basados en roles disponibles para la Cloud Security Management.

Filtrar las señales de seguridad

Para filtrar las señales de seguridad en el Signals Explorer, utiliza la consulta de búsqueda @workflow.triage.state:<status> , donde <status> es el estado por el que deseas filtrar (open, under_review o archived). También puedes utilizar la faceta Signal State (Estado de la señal) del panel de facetas.

Clasificación de una señal

Puedes clasificar una señal asignándola a un usuario para que la investigue. El usuario asignado puede hacer un seguimiento de su revisión actualizando el estado de la señal.

En Signals Explorer, selecciona una señal de seguridad.
En el panel lateral de la señal, haz clic en el icono de perfil de usuario y selecciona un usuario.
Para actualizar el estado de la señal de seguridad, haz clic en el menú desplegable de estado de clasificación y selecciona un estado. El estado por defecto es Abierto.
- Abierto: la señal aún no ha sido resuelta.
- En revisión: la señal está siendo investigada activamente. Desde el estado En revisión, puedes mover la señal a Archivado o Abierto según sea necesario.
- Archivado: la detección que causó la señal se ha resuelto. Desde el estado Archivado, puedes volver a mover la señal a Abierto si no han transcurrido más de 30 días desde que se detectó la señal originalmente.

Crear un caso

Utiliza Gestión de casos para rastrear, clasificar e investigar las señales de seguridad.

En Signals Explorer, selecciona una señal de seguridad.
En el panel lateral de la señal, haz clic en el menú desplegable Escalate Investigation (Escalar investigación) y selecciona Create a case (Crear un caso). Alternativamente, selecciona Add to an existing case (Añadir a un caso existente) para añadir la señal a un caso existente.
Introduce un título y una descripción opcional.
Haz clic en Create case (Crear caso).

Declarar una incidencia

Utiliza Gestión de incidencias para crear una incidencia para una señal de seguridad.

En Signals Explorer, selecciona una señal de seguridad.
En el panel lateral de la señal, haz clic en el menú desplegable Escalate Investigation (Escalar investigación) y selecciona Create a case (Crear un caso). Alternativamente, selecciona Add to incident (Añadir a una incidencia) para añadir la señal a una incidencias existente.
En el modal de creación de incidencias, configura la incidencia especificando detalles como el nivel de gravedad y el encargado de la incidencia.
Haz clic en Declare Incident (Declarar incidencia).

Ejecutar un flujo de trabajo

Utiliza Workflow Automation para activar manualmente un flujo de trabajo para una señal de seguridad. Consulta Activar un flujo de trabajo desde una señal de seguridad para obtener más información.

En Signals Explorer, selecciona una señal de seguridad.
En el panel lateral de señales, haz clic en la pestaña Workflows (Flujos de trabajo).
Haz clic en Run Workflow (Ejecutar flujo de trabajo).
En el modal de flujo de trabajo, selecciona el flujo de trabajo que deseas ejecutar. El flujo de trabajo debe tener un desencadenante de seguridad para aparecer en la lista. En función del flujo de trabajo, es posible que debas introducir parámetros de entrada adicionales.
Haz clic en Run (Ejecutar).