Alertas de Auditoría
Requisitos previos de acceso
- Permiso (módulo):
viewAuditAlerts - Licencia/Feature: Ninguna
- Contenedor del menú: GENERAL → grupo Auditoría
Qué es / cuándo usar
La pantalla de Alertas de Auditoría (/audit-alerts) centraliza las alertas generadas por los distintos microservicios cuando se detecta una acción sensible o un patrón sospechoso — incluido el antifraude conductual de administradores (acceso desde una nueva IP, aprobaciones en alta velocidad, colusión entre aprobadores, acción fuera del horario laboral). Es el "buzón de entrada" de triaje de seguridad operacional.
Use esta pantalla para revisar, asignar y finalizar alertas: cada alerta tiene un estado (pendiente, en progreso, finalizado), el servicio de origen, la acción ejecutada y el mensaje descriptivo.
Requisitos previos
- Permiso: módulo
viewAuditAlerts. El permiso es doble — enum CPM en el backend + módulo dinámico en la base de datos. - Licencia/Feature: ninguna.
- Dependencias de otras pantallas: las alertas son producidas por los servicios de origen (AuditService y correlatos). Esta pantalla solo consume y actualiza el estado de tratamiento.
Paso a paso
- Acceda al menú GENERAL → Auditoría → Alertas.
- La tabla carga las alertas. Use Actualizar para recargar (muestra confirmación de éxito).
- Haga clic en Ver detalles de una alerta para abrir el modal de tratamiento.
- En el modal, defina el estado, registre quién está gestionando la alerta (Gestionado por) y describa la resolución; guarde.
Filtros y columnas
| Filtro / Columna | Qué muestra | Origen del dato |
|---|---|---|
| Estado | Estado de tratamiento: pending (pendiente), in_progress (en progreso), finalized (finalizado) | status de la alerta |
| Servicio | Microservicio que originó la alerta + identificación del actor (si la hay) | sourceService / actedBy |
| Acción | Acción ejecutada que disparó la alerta | actionExecuted |
| Mensaje | Descripción de la alerta | message |
| Creado en | Fecha/hora de creación | createdAt |
| Acciones | Abre el modal de detalles/tratamiento | — |
Campos (modal de tratamiento)
| Campo | Qué es | ¿Obligatorio? | Efecto en el sistema/backend |
|---|---|---|---|
| Estado | Nuevo estado de la alerta | Sí | Graba status; al elegir finalized, marca resolved = true |
| Gestionado por | Identificador del administrador responsable del tratamiento | No | Graba actedBy; si se completa, marca acted = true. El modal obtiene los datos del usuario (getUserById) para mostrar el actor |
| Detalles de la resolución | Texto libre que describe la investigación/decisión | No | Graba resolutionDetails |
Acciones y modales
- Actualizar: recarga la lista de alertas desde AuditService.
- Ver detalles: abre el
AuditAlertDetailsModal. Al guardar correctamente, el modal se cierra y la lista se recarga automáticamente.
Reglas de negocio / precauciones
Atención
- Las alertas de administradores (categorías como
isApprovalVelocityHigh,isApprovalPairRecurrent,isBulkActionBurst) indican posible insider/colusión. Trátelas con prioridad y registre la investigación en "Detalles de la resolución" — el campo es la pista de auditoría del tratamiento. - Esta pantalla no ejecuta la acción antifraude (bloqueo); registra y organiza el tratamiento humano. El bloqueo operacional de emergencia se realiza en el Botón de Pánico.
- Relación con step-up / 4-eyes: el ADR de antifraude de administradores prevé la aprobación de acciones sensibles por correo electrónico y step-up (reautenticación contraseña+MFA). Las alertas aquí son el lado de detección/triaje de ese flujo.