Saltar al contenido
E3 CreaTIC

Operación

Ingesta y correlación de alertas

El pipeline de ingesta

Las alertas entran por el Ingestion Gateway y viajan por Kafka a través de consumers en secuencia: normalización, enriquecimiento y enrutamiento a los almacenes adecuados.

Estrategias de correlación

El motor de correlación agrupa N alertas en M incidentes (M << N) aplicando cinco estrategias en orden de prioridad:

  • Deduplicación: agrupa alertas idénticas repetidas.
  • Ventana temporal: agrupa eventos cercanos en el tiempo.
  • Grafo: usa la topología para relacionar recursos.
  • Regla: condiciones definidas por el implementador.
  • Regex: coincidencia por patrón en el mensaje.

Una buena configuración de reglas es la palanca principal para reducir el ruido del NOC.