Guías paso a paso
Analista | Administrador30 min
Para qué sirve
Flujos compuestos que cruzan varios módulos de Affinity de principio a fin.
Onboarding admin: de cero a ver logs de CloudTrail (30–45 min)
- 1. MANAGEMENT → SECRETS → Add Secret → Create New Secret (credenciales AWS).
- 2. INTEGRATIONS → New Integration.
- 3. Paso Connection → tarjeta S3 → Next.
- 4. Paso Integration → `CloudTrail` → Next.
- 5. Paso Configure → bucket, prefix, región, secreto, fecha histórica → Next.
- 6. Paso Review → validar prefijo S3 → crear integración.
- 7. En la lista, abrí el flujo Pipeline.
- 8. En Start ingestion → Process / enqueue.
- 9. Tras Queued successfully → Open Logs.
- 10. Verificá filas en la tabla.
Analista: investigar una alerta crítica en 30 minutos
- 1. ALERTS → clic en tarjeta Critical.
- 2. Elegí una alerta → View Details.
- 3. En Alert Management, cambiá `Status` a Investigating → Save Changes.
- 4. Clic en Execute Query (abre Logs con la consulta de la alerta).
- 5. Revisá resultados en Table View; exportá con Export Filtered Results si necesitás evidencia.
- 6. (Opcional) Seleccioná filas → Analytics → Send to IR for IOC Analysis.
- 7. En IR, Query Selected in Logs para ampliar búsqueda.
- 8. Volvé a alertas → marcá Resolved o False Positive → asigná `Owner` y `Resolved By` → Save Changes.
Admin: alerta automática a Slack
- 1. NOTIFICATIONS → Add Channel → tipo Slack → webhook → habilitar.
- 2. DETECTION RULES → Add Rule.
- 3. Paso Detection Logic → escribí SQL → probá.
- 4. Paso Rule Management → asigná canal Slack → habilitá regla.
- 5. Paso Basic Info / Details → severidad `High` o `Critical`.
- 6. Paso Review → Create Rule.
- 7. Verificá en ALERTS cuando el motor detecte coincidencias.