Ir al contenido
Vulnity Vulnity Docs

Alertas

En el apartado Alertas se muestran todas las alertas generadas por los dominios conectados al SIEM.

Por defecto, las nuevas alertas aparecen en la sección “Sin resolver”. A medida que se gestionan, pueden trasladarse a los apartados “En proceso” o “Resueltas”, lo que permite mantener un control claro del estado y evolución de cada incidente.

Alert management interface

En el panel de Gestión de Alerta es donde se analiza y gestiona cada alerta detectada.

Dentro de este panel puedes realizar las siguientes acciones:

Alert management panel actions

  • Cambiar el título de la alerta: permite renombrarla para identificarla con mayor precisión. Si no se modifica, se mantiene el título por defecto.
  • Cambiar el estado de la alerta: puedes seleccionar entre Sin resolver, En proceso o Resuelta, según el progreso en la gestión del incidente.
  • Asignar responsable: opción para cambiar la persona asignada, dejando constancia de quién ha gestionado o resuelto la alerta.
  • Información general: muestra detalles técnicos como el dominio afectado, la IP del atacante y el payload completo, donde se puede consultar toda la información relacionada con el evento detectado.

Ejemplo de payload de alerta

Sección titulada «Ejemplo de payload de alerta»
{
  "schema_version": "1.0",
  "event_version": "1.0",
  "event_uuid": "dce1076e-b472-4ce8-b960-6c389169a364",
  "site_id": "1064b1e1-7916-4d13-9cbd-ab86f6fb55ea",
  "domain": "http://localhost/wordpress/",
  "event_type": "suspicious_query",
  "severity": "critical",
  "occurred_at": "2025-10-13T14:17:35.009+00:00",
  "detected_at": "2025-10-13T14:17:35.009+00:00",
  "dedup_key": "1064b1e1-7916-4d13-9cbd-ab86f6fb55ea_suspicious_query_1760365055060",
  "summary": "Suspicious Query Detected: Code Execution",
  "description": "Code Execution attack attempt detected from IP 127.0.0.1 with 2 suspicious pattern(s)",
  "metrics": {},
  "source": {},
  "details": {
    "referrer": "None",
    "timestamp": "2025-10-13 14:17:33",
    "ip_address": "72.129.237.221",
    "user_agent": "Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0",
    "attack_type": "Code Execution",
    "request_uri": "/wordpress/wp-login.php?loggedout=system(%22whoami%22)",
    "request_method": "GET",
    "suspicious_patterns": [
      {
        "type": "GET",
        "value": "system(\"whoami\")",
        "pattern": "system\\s*\\(",
        "parameter": "loggedout"
      },
      {
        "type": "URI",
        "value": "/wordpress/wp-login.php?loggedout=system(%22whoami%22)",
        "pattern": "system\\s*\\(",
        "parameter": "REQUEST_URI"
      }
    ]
  },
  "remediation": {
    "steps": [
      "Review alert details",
      "Take appropriate security measures"
    ],
    "summary": "Review and block suspicious database queries"
  },
  "ui": {
    "icon": "🗃️",
    "color": "#dc2626",
    "group": "Database"
  },
  "trace": {},
  "created_at": "2025-10-13T14:17:35.103978+00:00",
  "last_seen_at": "2025-10-13T14:17:35.103978+00:00",
  "id": "dce1076e-b472-4ce8-b960-6c389169a364",
  "count": 1,
  "status": "open",
  "resolved_at": null,
  "acknowledged_at": null,
  "resolved_by": null
}

Mitigación

Sección titulada «Mitigación»

En el apartado Mitigación encontrarás un botón de acceso rápido que permite bloquear directamente la IP responsable de la alerta, facilitando una respuesta inmediata ante intentos de ataque o actividad maliciosa.

Mitigation quick action button

También se incluye el apartado Nota de resolución, donde la persona que gestiona la alerta puede dejar comentarios o documentar el proceso de resolución.

Este campo permite registrar las acciones realizadas, observaciones técnicas o decisiones tomadas, manteniendo un historial claro y trazable de cómo se resolvió la incidencia.

Resolution notes section