Validar los controles y la configuración de seguridad

Esta guía está dirigida a los ingenieros de seguridad que desean probar de forma proactiva su seguridad simulando ataques en su entorno de Google Cloud . En él, se explica cómo implementar un recorrido de validación de seguridad continua.

Security Validation usa acciones y secuencias de comandos que imitan las técnicas de los atacantes para activar alertas de detección en tus proyectos de Google Cloud . La operación continua identifica vulnerabilidades, y los equipos de seguridad pueden reducir el riesgo asegurándose de que las configuraciones y los controles respondan a las amenazas más recientes según lo esperado.

Completar con éxito este recorrido proporciona pruebas medibles de una mejor postura de seguridad y garantiza que las reglas de detección o las integraciones recién implementadas funcionen correctamente sin intervención manual.

Casos de uso habituales

En esta sección, se enumeran los casos de uso comunes de Security Validation.

Detecta la regresión de la postura de seguridad

Objetivo: Identificar cuándo se ejecuta correctamente en el entorno un comportamiento del atacante que se había bloqueado previamente.

Valor: Alerta a los equipos de seguridad y operaciones sobre la desviación no intencional de la configuración, lo que les permite corregir las vulnerabilidades antes de que se exploten.

Validar el ajuste del control de seguridad

Objetivo: Confirma que las reglas de detección o las integraciones de productos implementadas recientemente funcionen según lo previsto.

Valor: Proporciona pruebas medibles de que las actualizaciones de reglas o los cambios en el entorno mejoraron correctamente la postura de seguridad, lo que permite a los equipos establecer con confianza una nueva referencia.

Terminología clave

  • Contexto de validación de seguridad: Un contexto de validación de seguridad configura el entorno para tus pruebas de seguridad. Especifica qué proyecto usar, con qué cuenta ejecutar la prueba y cualquier otro detalle que necesiten tus acciones.

  • Acción de validación de seguridad: Es un script diseñado para imitar las técnicas de los atacantes del mundo real, que se usa para activar reglas de detección y verificar tu postura de seguridad.

  • Ejecución de la línea de base: Es una ejecución específica y completa de la Validación de seguridad que se usa como referencia estándar para comparar ejecuciones futuras.

  • Monitor: Es un trabajo programado (SecurityValidationJob en la API) que ejecuta una acción de validación de seguridad y evalúa los resultados en función de un valor de referencia definido.

  • Estado de desvío: Es el indicador de estado de un Monitor que se basa en si las ejecuciones recientes coinciden con el modelo de referencia (estado correcto) o muestran una desviación (se detectó un desvío).

  • Ventana de correlación: Es el período de 12 horas después de una ejecución durante el cual el sistema busca y asocia eventos y detecciones relacionados, según la plantilla de filtro de eventos en los metadatos de la acción ejecutada.

  • Tiempo de espera del monitor: Es la duración máxima que espera el sistema después de una ejecución para que se correlacionen los eventos y las detecciones antes de evaluar el estado final de la desviación. Este tiempo de espera funciona dentro del período de correlación más amplio de 12 horas. Se deben observar los resultados esperados antes de que se alcance el tiempo de espera de este monitor para que se considere que el monitor se ejecutó correctamente. Si las verificaciones no se aprueban antes de que se agote el tiempo de espera, el sistema marcará el monitor como failed. La duración predeterminada es de 8 horas, pero se puede configurar entre 15 minutos y 10 horas.

Antes de comenzar

Asegúrate de que se cumplan los siguientes requisitos de configuración y permisos.

Configuración obligatoria

Asegúrate de tener la siguiente configuración:

  • Tu organización debe tener habilitada la validación de seguridad.

  • La validación de seguridad solo funciona con proyectos autoadministrados.

  • Necesitas uno o dos Google Cloud proyectos. Si bien puedes usar el mismo proyecto para la ejecución y la segmentación, te recomendamos que uses proyectos separados para mejorar la seguridad, mantener tus pruebas limpias y facilitar la administración de tu configuración.

    • Proyecto de ejecución: La Validación de seguridad ejecuta tus pruebas de seguridad en el proyecto de ejecución. Para ello, usa Cloud Run y Cloud Storage. Estos trabajos y buckets solo están diseñados para que los use el servicio de validación. No se debe otorgar acceso a otros usuarios.

      Las APIs de Cloud Run, API de Resource Manager y IAM deben estar habilitadas en este proyecto, y debes tener los permisos resourcemanager.projects.SetIamPolicy, storage.buckets.SetIamPolicy, storage.buckets.create y storage.buckets.delete para crear un contexto de validación de seguridad para él. Consulta la referencia de permisos de IAM para ver la lista de roles que proporcionan este permiso.

    • Proyecto de destino: Es el proyecto en el que opera la secuencia de comandos de la acción de validación de seguridad. El éxito de las acciones depende de si las APIs requeridas que usan las acciones están habilitadas en este proyecto y de si las cuentas de servicio en el contexto de la Validación de seguridad tienen los permisos necesarios en ellas.

  • Cuentas de servicio: Requiere una o más cuentas de servicio en el proyecto de ejecución. Estas cuentas ejecutan las secuencias de comandos de acción. Cualquier usuario que necesite ejecutar una acción con un contexto específico debe tener el permiso iam.serviceAccounts.actAs en las cuentas de servicio de ese contexto.

Permisos necesarios

Asigna uno de los siguientes roles predefinidos en el proyecto de la instancia de SecOps.

  • chronicle.viewer: Acceso de solo lectura a las acciones, los contextos, los trabajos y los recursos de ejecución de la validación de seguridad.

  • chronicle.editor: Incluye todos los permisos de viewer y la capacidad de crear, actualizar, ejecutar y borrar contextos y trabajos de validación de seguridad.

  • chronicle.admin: Incluye todos los permisos de editor y la capacidad de crear, actualizar y borrar acciones de validación de seguridad personalizadas (solo para la API).

Si no usas los roles predefinidos que se mencionaron anteriormente, puedes otorgar permisos equivalentes con un rol personalizado o asignando el rol chronicle.securityValidationAdmin, que incluye los mismos permisos que chronicle.admin.

Para obtener más información, consulta las Funciones requeridas.

Implementa la validación de seguridad continua

La validación de tu postura de seguridad implica una progresión estructurada:

  • Cómo definir tu entorno

  • Ejecutar simulaciones para establecer un valor de referencia

  • Automatizar las simulaciones para detectar la desviación

Este flujo de trabajo garantiza que tus controles de seguridad sigan siendo eficaces a medida que evoluciona tu entorno.

Crea un contexto de Security Validation

Un contexto de validación de seguridad configura el entorno para tus pruebas de seguridad. Especifica qué proyecto usar, con qué cuenta ejecutar la prueba y cualquier otro detalle que necesiten tus acciones. Puedes reutilizar el mismo contexto para diferentes acciones.

Para crear un contexto de validación de seguridad, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Navega a Security Validation y ve a la pestaña Execution Contexts.

  3. Haz clic en Agregar contexto de ejecución.

  4. En el cuadro de diálogo Add Execution Context, haz lo siguiente:

    1. En Propiedades básicas, ingresa el nombre y la descripción del contexto, y haz clic en Siguiente.

    2. En Environment Settings, ingresa el ID del proyecto Google Cloud , la cuenta de servicio de ejecución y la cuenta de servicio de limpieza. Haz clic en Siguiente.

      Te recomendamos que uses cuentas de servicio independientes para action profile (para ejecutar secuencias de comandos de acción) y para setup/cleanup profile (para ejecutar las secuencias de comandos de configuración y limpieza que forman parte de algunas acciones). A estas cuentas de servicio se les pueden otorgar diferentes permisos en el proyecto de destino.

    3. En Variables de entorno de ejecución, agrega una o varias variables para anular de forma dinámica los parámetros predeterminados. Agrega pares clave-valor en los que key es el nombre del parámetro y value es su valor de anulación.

    4. Haz clic en Crear.

Ejecuta la acción de validación de seguridad

Para ejecutar una acción de validación de seguridad en un contexto de validación de seguridad, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Navega a Validación de seguridad y ve a la pestaña Biblioteca de contenido.

  3. Selecciona una acción y haz clic en Ejecutar.

  4. En el diálogo, selecciona el contexto de ejecución que creaste y haz clic en Ejecutar ahora.

Se creará una nueva ejecución que aparecerá en la pestaña Historial de ejecución.

Administra los monitores de Security Validation

Puedes volver a ejecutar automáticamente las acciones exitosas de forma recurrente con la función de supervisión. Permite la supervisión continua de la posición de seguridad sin intervención manual.

Crea un monitor

Solo puedes crear un Monitor a partir de una ejecución completada correctamente. Para crear un Monitor a partir de una ejecución, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Navega a Validación de seguridad y ve a la pestaña Historial de ejecución.

  3. Haz clic en el ID de ejecución de una ejecución y, luego, en Crear monitor.

  4. Opcional: En la ventana Create Monitor, asígnale un nombre al monitor.

    Si no ingresas un nombre de supervisor, se hará referencia al supervisor por un ID de supervisor.

    Revisa los detalles de la ejecución del modelo de referencia que se muestran en esta ventana.

  5. Haz clic en Siguiente.

  6. Configura los parámetros de configuración de Monitor.

    Puedes ejecutar un Monitor en momentos específicos o cada hora.

    Para ejecutar el Monitor en momentos específicos, haz lo siguiente:

    1. En el menú desplegable Hora, selecciona Ejecutar en un momento específico.

    2. Especifica la hora del día en el cuadro de texto adyacente.

    3. En la opción Días, selecciona una de las siguientes opciones:

      • Diario: Se ejecuta todos los días a la hora especificada.

      • Días de la semana: Se ejecuta solo en los días seleccionados (por ejemplo, lun., mié. y vie.) a la hora especificada.

      • Día del mes: Se ejecuta una vez al mes en el día especificado (por ejemplo, el 15) a la hora especificada.

    4. En el menú desplegable Meses, selecciona Mensual (para ejecutarlo todos los meses) o Meses específicos para especificar los meses exactos en los que se debe ejecutar el monitor (por ejemplo, enero, abril y julio).

    5. En el menú desplegable Zona horaria, selecciona la zona horaria requerida. De forma predeterminada, este campo se establece en la zona horaria configurada en tus Preferencias del usuario (que pueden diferir de la configuración de tu navegador). Para encontrar o cambiar este parámetro de configuración predeterminado, navega a Perfil > Preferencias del usuario > Localización > Zona horaria.

    6. Haz clic en Siguiente.

    Para ejecutar el monitor a intervalos horarios, haz lo siguiente:

    1. En el menú desplegable Hora, selecciona Repetir cada hora.

    2. Establece la frecuencia de repetición del ciclo de supervisión en el campo hora(s) y la marca de minuto específica en el campo minuto(s). Por ejemplo, si configuras 1 hora y 30 minutos, el monitor se ejecutará cada hora a los 30 minutos después de la hora (NO se ejecutará cada 90 minutos).

    3. En la opción Horario, selecciona una de las siguientes opciones:

      • Todas las horas del día: El Monitor se ejecutará las 24 horas del día, cada hora, según la frecuencia especificada.

      • Hora de inicio y finalización: El monitor se ejecutará solo dentro del rango de horas de inicio y finalización especificado (por ejemplo, entre las 8 a.m. y las 5 p.m.).

    4. En la opción Días, selecciona una de las siguientes opciones:

      • Diario: Se ejecuta todos los días a la hora especificada.

      • Días de la semana: Se ejecuta solo en los días seleccionados (por ejemplo, lun., mié., vie.) a la hora especificada.

      • Día del mes: Se ejecuta una vez al mes en el día especificado (por ejemplo, el 15) a la hora especificada.

    5. En el menú desplegable Meses, selecciona Mensual (para ejecutarlo todos los meses) o Meses específicos para especificar los meses exactos en los que se debe ejecutar el Monitor (por ejemplo, enero, abril, julio).

    6. En el menú desplegable Zona horaria, selecciona la zona horaria requerida. De forma predeterminada, este campo se establece en la zona horaria configurada en tus Preferencias del usuario (que pueden diferir de la configuración de tu navegador). Para encontrar o cambiar este parámetro de configuración predeterminado, navega a Perfil > Preferencias del usuario > Localización > Zona horaria.

    7. Haz clic en Siguiente.

  7. En Expected Outcomes, marca o desmarca las condiciones según sea necesario. Debes seleccionar al menos una condición.

    • El resultado de la acción coincide con el modelo de referencia: Evalúa si el estado de ejecución, el resultado y el motivo del resultado coinciden con el modelo de referencia. Los tres parámetros deben coincidir para que la verificación se evalúe como verdadera.

    • Los productos de eventos correlacionados coinciden con el modelo de referencia:

      • Agrupa los eventos correlacionados por producto.

      • Verifica que la ejecución actual tenga al menos un evento para cada producto que se indica en la referencia.

      • La verificación ignora los eventos de los productos que no tienen ningún evento en el modelo de referencia.

      • Se evalúa como false si los eventos que coinciden con el modelo de referencia no llegan antes del tiempo de espera.

    • Reglas de detección correlacionadas que alertan sobre la coincidencia del modelo de referencia:

      • Agrupa las detecciones por regla y estado de alerta.

      • Verifica que la ejecución actual tenga al menos una detección de una regla que tenga detecciones en la ejecución de referencia.

      • Ignora las detecciones de las reglas que no tienen detecciones en la ejecución del modelo de referencia.

      • Se evalúa como false si no llegan detecciones que coincidan con el modelo de referencia antes del tiempo de espera.

  8. Haz clic en Crear para crear el monitor.

Cómo ver y ejecutar un Monitor

Para ver un monitor creado, haz lo siguiente:

  1. Navega a Validación de seguridad y ve a la pestaña Monitores. Algunas columnas están ocultas de forma predeterminada. Haz clic en Administrador de columnas para administrar la visibilidad de las columnas.

  2. Ubica tu Monitor específico en la lista.

  3. Haz clic en el vínculo del monitor para abrir la página de detalles del monitor.

  4. Haz clic en Ejecutar ahora para ejecutar el Monitor.

En la página de detalles del monitor, se proporciona una descripción general centralizada y de alto nivel del monitor. Te ayuda a evaluar el estado y el rendimiento generales de un monitor de un vistazo. Proporciona la siguiente información importante sobre el Monitor:

Resumen de salud

Las siguientes tarjetas de métricas proporcionan una descripción general de alto nivel de la estabilidad del Monitor:

  • Monitor Health Status: Muestra el estado actual según la última ejecución con un resultado de supervisión finalizado (por ejemplo, Healthy) y cuánto tiempo se mantuvo ese estado.

  • Último resultado de buen o mal estado: Proporciona un puntero a la ejecución más reciente que se desvió del valor de referencia.

  • Actualidad del resultado: Muestra el tiempo transcurrido desde la última ejecución con un estado de supervisión finalizado.

Resultados esperados

En esta sección, se definen los criterios de éxito derivados de la ejecución de la referencia.

  • Resultado y motivo de la acción: El resultado y el motivo de la acción que coinciden con la ejecución del modelo de referencia (por ejemplo, NOT_BLOCKED con un motivo acompañante)

  • Productos que generaron eventos: Es la lista de productos para los eventos correlacionados que coinciden con la ejecución del modelo de referencia.

  • Reglas de detección de alertas: Es la lista de reglas de detección correlacionadas que coinciden con la ejecución del modelo de referencia.

En la tabla Monitor Results, se muestran todas las ejecuciones del monitor. La tabla admite la búsqueda de texto, el filtrado y la configuración de columnas.

Cómo habilitar o inhabilitar un Monitor

Para habilitar o inhabilitar un monitor, haz lo siguiente:

  1. Navega a Validación de seguridad y ve a la pestaña Monitores.

  2. Haz clic en el botón de activación Estado para habilitar o inhabilitar un monitor. Como alternativa, puedes hacer clic en Pausar supervisor o Reiniciar supervisor en la página Detalles del supervisor para cambiar su estado.

Cómo modificar o borrar un monitor

Para modificar o borrar un Monitor, haz lo siguiente:

  1. Navega a Validación de seguridad y ve a la pestaña Monitores.

  2. Haz clic en el menú del monitor que deseas modificar.

  3. Haz clic en Edit Monitor para modificar el supervisor o en Delete Monitor para borrarlo. También puedes hacer clic en Editar supervisor en la página Detalles del supervisor para modificarlo.

  4. Haz clic en Actualizar o Confirmar para aplicar los cambios.

Revisa los resultados del Monitor

Para ver todas las ejecuciones de un Monitor, haz lo siguiente:

  1. Navega a Validación de seguridad y ve a la pestaña Monitores.

  2. Haz clic en el menú del Monitor.

  3. Haz clic en Ver todos los resultados. Aparecerá la página Historial de ejecución.

Las ejecuciones se filtran para mostrar todas las ejecuciones asociadas con ese Monitor específico.

Cómo ver los resultados de la última ejecución

Para ver los resultados de la última ejecución de un monitor, haz lo siguiente:

  1. Navega a Validación de seguridad y ve a la pestaña Monitores.

  2. Haz clic en el menú del Monitor.

  3. Haz clic en Ver los resultados de la última ejecución para abrir los Detalles de la ejecución.

El sistema muestra los detalles de la ejecución más reciente que se realizó para ese monitor.

Revisa los resultados de la ejecución

Puedes ver la acción de validación de seguridad que ejecutas en la pestaña Historial de ejecución. Para revisar los resultados de la ejecución, haz lo siguiente:

  1. Accede a Google SecOps.

  2. Navega a Validación de seguridad y ve a la pestaña Historial de ejecución para supervisar el estado de ejecución.

    La columna Estado de ejecución indica si la ejecución se realizó correctamente o si se produjo un error. Si la acción se realiza correctamente, puedes ver los eventos generados y las detecciones activadas por la acción de validación de seguridad en Google SecOps.

  3. Haz clic en el ID de ejecución para ver los detalles de la ejecución.

En la página Detalles de ejecución de la acción, se proporcionan el estado, el resultado y el análisis detallado de una acción de validación. Usa esta página para validar tu postura de seguridad y comprender qué reglas de detección activó la actividad de la acción.

Progreso de la correlación muestra el progreso del flujo de trabajo de correlación en tiempo real para una ejecución. Mientras se ejecuta la correlación, es posible que el recuento total de eventos aumente hasta que finalice la tarea.

Analiza la tabla Correlated Rules

En la tabla Reglas correlacionadas, se enumeran las reglas de detección que se activaron durante la ejecución de la acción, incluidas las reglas personalizadas y las seleccionadas.

En la tabla, se muestran las reglas personalizadas y las seleccionadas. Incluye dos grupos: * Reglas definidas de forma explícita en los metadatos de la acción * Reglas adicionales activadas por eventos correlacionados

Esto te ayuda a identificar qué reglas funcionaron según lo esperado y cuáles podrían requerir una investigación más profunda.

La tabla incluye las siguientes columnas:

  • Nombre de la regla: Es el nombre de la regla de detección. Haz clic en el nombre de la regla para ver su definición y su historial de detección.

  • Cantidad de detecciones: Es la cantidad de detecciones que activó la regla. Un valor de 0 indica que no se encontraron eventos coincidentes.

  • Detecciones: Vínculo a la página Detecciones que muestra las detecciones activadas en esta ejecución.

  • Asociada con la acción: Indica si la regla formaba parte de los metadatos de la acción:

    • Sí: Los metadatos de la acción incluyen la regla. El sistema espera que se active cuando se ejecute la acción.

    • No: Los metadatos de esta acción no incluyen la regla, pero su lógica coincidió con los eventos generados y la activó.

Esta tabla te ayuda a identificar los resultados:

Columna Asociada a la acción Columna de recuento de detecciones Qué significa
YES 1 o más Éxito: Se activó correctamente una regla esperada que generó una o más detecciones.
NO 1 o más La actividad activó una regla inesperada.
YES 0 Una regla esperada no activó ninguna detección.

Analiza los eventos correlacionados

Después de ejecutar una acción de validación de seguridad, usa los eventos correlacionados para evaluar cómo respondieron tu entorno y tus controles de seguridad a la amenaza simulada.

Tu análisis incluye dos componentes: un estado en tiempo real del flujo de trabajo de correlación y una tabla detallada de todos los eventos generados.

El Estado de correlación de eventos muestra el estado actual del flujo de trabajo como uno de los siguientes:

  • En ejecución: El sistema está buscando activamente eventos correlacionados.

  • Completado: Todas las actividades de correlación de eventos se completaron correctamente.

  • Con errores: El flujo de trabajo de correlación detectó un error y no se pudo completar.

El mensaje El flujo de trabajo de correlación se completó el indica una estimación del momento en que se espera que se complete la correlación o en que se completó.

En la tabla de eventos, se enumeran todos los eventos que generó la acción. Usa estos datos para analizar las respuestas individuales en tu entorno y los controles de seguridad.

La tabla incluye las siguientes columnas:

  • Evento: ID del evento. Haz clic para ver los detalles del evento en la búsqueda de UDM.

  • Marca de tiempo del evento: Es la hora en la que se produjo el evento en el sistema de origen (por ejemplo, el servidor o el firewall).

  • Marca de tiempo observada: Hora en la que el servicio de Validación de seguridad encontró y correlacionó el evento con la ejecución.

  • Producto: Producto que generó el evento.

  • Acción del resultado de seguridad: Es el resultado del evento (Blocked o Not blocked), según el campo security_result.action del evento de UDM.

Las acciones pueden orientarse a regiones fuera de la instancia de Google SecOps en la que se ejecutan. En los resultados de la ejecución, se muestran los registros recuperados del proyecto de ejecución.

Accede a activos y referencias avanzados

Revisa los siguientes recursos para ver ejemplos de configuración y asignación de datos de referencia.

Implementación de ejemplo: Genera un token de acceso con signJWT

Considera un ejemplo de la acción de permiso Generate access token using signJWT. En este ejemplo, se supone que ya configuraste un contexto de validación de seguridad y que estás ejecutando la acción dentro de ese contexto. Se espera que la acción genere registros de auditoría de Cloud y active la regla de detección de amenazas signJWT de generación de tokens de acceso.

Se requiere la siguiente configuración:

  • APIs habilitadas: La API de credenciales de la cuenta de servicio de Identity and Access Management (IAM) debe estar habilitada en los proyectos de destino y de ejecución.

  • Permisos de la cuenta de servicio: La cuenta de servicio especificada en el campo profile del contexto de validación de seguridad debe tener el permiso iam.serviceAccounts.signJwt en el proyecto de destino. Esto se puede otorgar a través del rol de Creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator), que se puede otorgar en el proyecto o en la cuenta de servicio de destino (que, para esta acción, es la cuenta de servicio predeterminada de Compute Engine del proyecto de destino).

  • Registro de auditoría de IAM: El registro de auditoría de IAM (ADMIN_READ) debe estar habilitado en el proyecto de destino para capturar los eventos que genera esta acción.

  • Filtro de exportación personalizado: Para transferir los eventos generados por esta acción a través de la transferencia de SecOps Google Cloud , se debe establecer un filtro de exportación personalizado que incluya log_id("cloudaudit.googleapis.com/data_access").

  • Conjunto de reglas: El conjunto de reglas Cloud Threats -> [Google Cloud] IAM Abuse debe estar habilitado y configurado para generar alertas para ver las detecciones en la vista de búsqueda e investigación.

Ejemplos de supervisión de la programación

Usa estos ejemplos como referencia cuando configures programas recurrentes para la supervisión continua.

Configuración Cuándo se ejecuta
Hora: Ejecutar a una hora específica (10:00 p.m.)
Días: Días de la semana (lunes)
Meses: Mensual
Zona horaria: EST
Se ejecuta todos los lunes a las 22:00, hora estándar del Este.
Hora: Ejecutar a una hora específica (1:00 a.m.)
Días: Día del mes (1)
Meses: Especificar (ene., abr., jul., oct.)
Zona horaria: PST
Se ejecuta a la 1:00 a.m. (hora estándar del Pacífico) el primer día de enero, abril, julio y octubre.
Hora: Ejecutar a una hora específica (14:00)
Días: Diariamente
Meses: Mensualmente
Zona horaria: UTC
Se ejecuta todos los días a las 2 p.m. (hora universal coordinada).
Hora: Ejecutar a una hora específica (9:30 a.m.)
Días: Día del mes (15)
Meses: Especificar (feb., abr., jun., ago., oct., dic.)
Zona horaria: EST
Se ejecuta a las 9:30 a.m. (hora estándar del este) el día 15 de cada segundo mes (febrero, abril, junio, agosto, octubre y diciembre).
Hora: Repetir cada hora
Intervalo: Cada 1 hora
Horas: Todas las horas
Funciona sin interrupciones. Se ejecuta con precisión al comienzo de cada hora, las 24 horas del día (por ejemplo, a la 1:00, a las 2:00, a las 3:00, etcétera).
Hora: Repetir cada hora
Intervalo: Cada 4 horas
Horas: Hora de inicio y finalización (de 22:00 p.m. a 6:00 a.m.)
Solo se ejecuta durante la noche. Se ejecuta a las 10 p.m., a las 2 a.m. y a las 6 a.m. para capturar el estado del servidor durante los períodos de poco tráfico.

Soluciona problemas

Latencia y límites

Los resultados de las ejecuciones de supervisores recién activados no se completan de inmediato con datos de detección y eventos debido a la ventana de correlación.

Corrección de errores

Error Descripción del problema Corregir
Error de permiso de IAM Se denegó el permiso iam.serviceaccounts.actAs en la cuenta de servicio. Si creaste o actualizaste el contexto justo antes de ejecutar la acción, espera unos minutos y vuelve a intentarlo. Los cambios en IAM son coherentes, pero la propagación de las asignaciones de roles en el sistema puede tardar.

Verifica que la identidad que ejecuta la acción tenga el permiso `iam.serviceaccounts.actAs` en la cuenta de servicio especificada.

Validación y prueba

Para verificar que tu Monitor esté configurado correctamente sin esperar el próximo intervalo programado, usa el botón Ejecutar ahora en la página de detalles del Monitor. Actualiza la página después de que transcurra el período de correlación para verificar el Estado de ejecución.