El Dominio 1 es Security Operations. Detección, monitoreo y respuesta a incidentes. El pilar del CySA+ CS0-003.

Memorizar herramientas no te hace analista. Lo que cuenta es leer señales débiles en un SIEM que no para de tragar ruido, y saber preguntarte por qué algo pinta raro antes de que el atacante mueva ficha.

En un SOC real, la diferencia entre un analista que empieza y uno con horas de vuelo no es saberse los EIDs de memoria — es entender el por qué detrás de cada registro.

Arquitectura de Seguridad e Infraestructura Moderna

Sistemas en la Nube y Virtualización

La infraestructura contemporánea ha migrado de centros de datos físicos a modelos de servicio flexibles.

Como analista, tu visibilidad y control dependen enteramente del modelo de despliegue

MODELOS DE SERVICIO EN LA NUBE


IaaS - Control total del SO y aplicaciones. Tu parchas el kernel, configuras firewall y gestionas logs. PaaS - El SO desaparece. Te enfocas en seguridad de la aplicación y manejo de datos. SaaS - Casi toda la responsabilidad es del proveedor. Tu accion se limita a gestion de identidades y auditoría via APIs. FaaS (Serverless) - Codigo bajo demanda. Seguridad centrada exclusivamente en el codigo y permisos de ejecución.

Entender la distinción técnica entre virtualización y contenedores para el análisis forense:

VIRTUALIZACION vs CONTENEDORES


VMs: Hypervisor (ESXi, Hyper-V) | Hardware emulado | SO completo propio | Pesado (GBs) | Minutos para arrancar | Persistente

Contenedores: Kernel del host | Namespaces + cgroups | Comparten kernel | Ligero (MBs) | Milisegundos | Ephemeral

El Shared Responsibility Model (Modelo de Responsabilidad Compartida) es el marco legal y operativo que delimita tus obligaciones.

En la nube, la seguridad “de” la infraestructura es del proveedor, pero la seguridad “en” la nube (tus datos, tus configuraciones) es tuya.

Una mala configuración en el IAM es la causa principal de brechas en la nube.

TRAMPA DEL EXAMEN

En un modelo SaaS, nunca intentes parchar el sistema operativo subyacente; es responsabilidad exclusiva del proveedor y tu careces de acceso.

Las herramientas de escaneo tradicionales fallan con los contenedores debido a su naturaleza ephemeral; la seguridad aqui debe desplazarse a la izquierda (shift-left ), escaneando las imágenes base en el pipeline de CI/CD antes de que lleguen a producción.

Estrategias Zero Trust y Segmentacion

La arquitectura Zero Trust (Confianza Cero) rompe con el modelo tradicional de “castillo y foso”.

Se basa en tres principios:

LOS TRES PRINCIPIOS ZERO TRUST


1. Verificar explícitamente cada solicitud de acceso

2. Utilizar acceso de mínimo privilegio

3. Asumir siempre la brecha (assume breach)

La segmentación es la herramienta táctica para implementar Zero Trust.

La segmentación física implica hardware separado para redes criticas, mientras que la segmentación lógica utiliza VLANs, VRFs y NGFWs para micro - segmentar el trafico.

Esto evita el movimiento lateral, confinando al atacante en un segmento pequeño y controlado.

Infraestructura de Clave Publica (PKI) y Cifrado

La Public Key Infrastructure (PKI) es el sistema de confianza que sustenta el cifrado asimétrico:

COMPONENTES PKI


CA (Certificate Authority) - Entidad raiz que emite y firma certificados RA (Registration Authority) - Intermediario que verifica la identidad del solicitante CSR (Certificate Signing Request) - Archivo para pedir un certificado, incluye tu clave publica CRL (Certificate Revocation List) - Lista estatica de certificados que ya no son válidos OCSP (Online Certificate Status Protocol) - Verificación en tiempo real de validez de certificado

El uso de certificados self-signed (auto firmados) en producción es un hallazgo critico: carecen de cadena de confianza validada por una CA publica, exponiendo a ataques Man-in-the-Middle.

El cifrado TLS es un arma de doble filo porque protege la privacidad pero oculta el malware y la exfiltración.

Para recuperar la visibilidad, se utiliza la TLS Interception o SSL Inspectiondonde un proxy rompe la conexión cifrada, inspecciona el contenido y lo vuelve a cifrar.

La clave publica del proxy debe estar en el trust store de cada endpoint.

TRAMPA DEL EXAMEN

Si estas en una escena de incidente con una laptop encendida pero bloqueada con

Full Disk Encryption (FDE) , no la apagues. Apagarla purga la clave de cifrado de la RAM. Debes realizar un memory dump en vivo o buscar el archivo hiberfil.sys , donde a menudo reside la clave en texto plano.

Monitoreo Avanzado y Análisis de Logs

Análisis de Registros en Windows y Linux

En Windows, los registros son bases de datos estructuradas en %SystemRoot%\System32\Winevt\Logs.

Un analista senior debe dominar los Event IDs (EID) y los Logon Types para reconstruir el movimiento lateral:

EVENT IDS CRITICOS DE WINDOWS


EID 4624 - Inicio de sesion exitoso. Mirar el Logon Type:

Tipo 2: Interactivo local | Tipo 3: Red (movimiento lateral) | Tipo 10: RDP

EID 4625 - Fallo de inicio de sesion. Multiples = fuerza bruta o password spraying

EID 1102 - Registro de auditoría BORRADO. Alerta critica de evasión de defensas

EID 7045 - Nuevo servicio instalado. Los atacantes lo usan para PsExec

EID 4698 - Tarea programada creada. Tecnica clasica de persistencia

Para visibilidad profunda:

  • Sysmon con sus EIDs de WMI (19, 20, 21).
  • El WMI es abusado para ejecuciones fileless y persistencia sigilosa.
  • Los atacantes también abusan del Registry en HKLM y HKCU, en las claves Run y RunOnce.

En Linux: /var/log/auth.log (Debian/Ubuntu), /var/log/secure (RHEL/CentOS), $HOME/.bash_history (historial), /proc/[pid]/maps (procesos en memoria).

  • Persistencia en /etc/crontab y /etc/systemd/system/.

TRAMPA DEL EXAMEN

Ante una cascada de eventos,

prioriza siempre el EID 1102 (borrado de logs) sobre el EID 4625 (fallo de inicio). El borrado de logs confirma que un atacante ya tiene privilegios administrativos y esta realizando tareas de limpieza forense.

Logs Web e Inyecciones SQL

Al analizar registros de Apache o IIS, buscamos anomalías en la query string

FIRMAS DE ATAQUE EN LOGS WEB


SQLi: %27 (comilla simple), UNION SELECT, operador — para comentar

XSS: etiquetas script, eventos JavaScript en parámetros de URL

Registros de Red y Estandar Syslog

Syslog utiliza Facility (que origino el mensaje) y Severity (que tan urgente es).

Niveles del 0 al 7:

NIVELES DE SEVERIDAD SYSLOG


0 Emergency - Sistema inutilizable | 1 Alert - Accion inmediata

5 Notice - Evento normal pero significativo | 6 Informational - Informativo

7 Debug - Extremadamente ruidoso, nunca en produccion

En monitoreo de red: Packet Sniffing (captura completa, Wireshark/tcpdump) vs NetFlow (solo metadatos: IPs, puertos, volumen). NetFlow detecta:

PATRONES DETECTADOS POR NETFLOW


Vertical scan - Un origen ataca muchos puertos en un solo host

Horizontal scan (Sweep) - Un origen busca un puerto en toda una subred

C2 beaconing - Conexiones con cadencia matemática perfecta (ej. cada 60s), firma de C2

TRAMPA DEL EXAMEN

Activar el nivel 7 (Debug) en produccion satura el SIEM y eleva costos de almacenamiento.

Vigila siempre el trafico Direct-IP outbound ; las conexiones directas a IPs sin resolución DNS previa son indicadores de compromiso de alta fidelidad.

Herramientas Centrales: Detección y Orquestación

SIEM frente a SOAR

El SIEM (Security Information and Event Management) es el cerebro recolector, en el SIEM hay log ingestion, normalización y reglas de Correlation para detectar ataques complejos que un solo dispositivo no vería.

El SOAR (Security Orchestration, Automation, and Response) es el brazo ejecutor y se integra via APIs

Utiliza Playbooks para automatizar la respuesta.

SIEM vs SOAR - COMPARATIVA


SIEM

  • Objetivo: Visibilidad y detección
  • Fortalezas: Agregación y retención histórica
  • Operación: Reglas de correlación

SOAR

  • Objetivo: Respuesta y eficiencia
  • Fortalezas: Automatización y orquestación
  • Operación: Playbooks y flujos de trabajo

TRAMPA DEL EXAMEN

Si el objetivo es

“conectar eventos de multiples fuentes” , la respuesta es SIEM. Si el objetivo es “reducir el tiempo de respuesta mediante acciones automáticas” , la respuesta es SOAR.

EDR frente a UEBA

El EDR (Endpoint Detection and Response) utiliza agents para monitorear procesos, archivos y conexiones en tiempo real.

Es la herramienta definitiva para detectar técnicas de LOTLdonde el atacante usa binarios legítimos para evadir antivirus.

El UEBA (User and Entity Behavior Analytics) se centra en la identidad.

Establece baselines de comportamiento normal y alerta sobre anomalías.

Es la mejor defensa contra insider threats.

TRAMPA DEL EXAMEN

El EDR se enfoca en el

dispositivo y sus procesos (ej. inyección de codigo en un proceso legitimo). El UEBA se enfoca en el comportamiento de la cuenta (ej. desviaciones de la norma de acceso).

Scripting y Automatización Táctica

Python para interactuar con APIs de inteligencia.

Bash o PowerShell para filtrados rápidos mediante one-liners.

Regex para extraer IoCs de logs masivos.

En Windows, configura Set-ExecutionPolicy RemoteSigned para permitir la ejecución de scripts.

TRAMPA DEL EXAMEN

El análisis de riesgos cualitativo, al basarse en juicios humanos y subjetividad, no puede ser automatizado.

Solo los procesos repetibles y que no requieren intuición humana son candidatos para la automatización.

Inteligencia de Amenazas y Frameworks de Análisis

Modelos de Análisis de Intrusión

TRES MARCOS DE ANÁLISIS


Cyber Kill Chain

Modelo lineal de 7 fases (Reconnaissance a Actions on Objectives).

Útil para comunicación estratégica.

Debilidad: se enfoca en el perímetro.

MITRE ATT&CK

Base de conocimiento granular. Tácticas (el objetivo) y Técnicas (el como).

Estandar para threat hunting y mapeo de grupos.

Diamond Model

Cuatro vertices: Adversary, Capability, Infrastructure, Victim. Permite pivoting (usar un dato para descubrir otro).

TRAMPA DEL EXAMEN

El Diamond Model

no es secuencial ; los cuatro vertices existen simultaneamente. Si un servidor de un tercero es comprometido para lanzarte un ataque, ese servidor se clasifica como Infrastructure , no como victima primaria.

Estándares y Protocolos de Inteligencia

PROTOCOLOS DE INTELIGENCIA DE AMENAZAS


STIX (Structured Threat Information eXpression)

El formato de los datos (basado en JSON)

TAXII (Trusted Automated eXchange of Indicator Information)

El protocolo de transporte sobre HTTPS

OpenIOC

Formato XML creado por Mandiant para indicadores forenses técnicos

MISP

Plataforma open source para almacenar y correlacionar inteligencia

TRAMPA DEL EXAMEN

STIX es el contenido (la carga) y TAXII es el medio de transporte (el camión). OpenIOC fue desarrollado por Mandiant.

Dimensiones de Calidad de la Inteligencia

DIMENSIONES DE CALIDAD


Timeliness (Oportunidad)

Que la información sea reciente

Relevancy (Relevancia)

Que aplique a tu sector o infraestructura

Confidence / Accuracy (Confianza/Precisión)

Que la fuente sea fiable

TRAMPA DEL EXAMEN

Nunca bloques trafico automáticamente basándote en inteligencia de Low-confidence.

Estos indicadores solo deben usarse para vigilancia y monitoreo para evitar falsos positivos que interrumpan el negocio.

Threat Hunting y Defensa Activa

Estrategias de Caza Proactiva

El Threat Hunting es proactivo

El analista asume que el atacante ya burlo las defensas.

Su meta es reducir el Dwell time (el tiempo que el atacante permanece oculto).

TIPOS DE THREAT HUNTING


Hypothesis-driven - Empieza con una teoría (ej. “nuestros servidores web están siendo usados para minar criptomonedas”)

IOC-based - Busca rastros conocidos (hashes, IPs maliciosas) en logs historicos

Técnicas de Engaño y Control de Acceso

DEFENSA ACTIVA


Honeypot

Un solo sistema senuelo

Honeynet

Una red completa de senuelos

Tarpit

Sistema disenado para ralentizar al atacante (sticky)

Allowlisting opera bajo default-deny (denegacion por defecto). Blocklisting solo prohibe lo que ya se sabe que es malo.

TRAMPA DEL EXAMEN

Configurar una alerta en el SIEM es monitoreo reactivo.

El Threat Hunting es siempre una busqueda manual y creativa basada en una hipótesis tecnica.

Malware, Identidad y Seguridad de Email

Análisis de Malware

Static analysis examina el archivo sin ejecutarlo.

Técnica común: comando strings para extraer texto legible de un binario.

Dynamic analysis ejecuta el malware en una Sandbox para observar su comportamiento real.

Reverse engineering desensambla el código para entender su lógica interna.

Infiltración y Exfiltración

La Infiltratión ocurre en las etapas iniciales del ataque.

La Exfiltratión es el robo de datos hacia el exterior.

  • DNS tunneling (encapsular datos en consultas DNS)
  • Slow-and-low exfiltration (enviar datos poco a poco para no disparar alertas).

TRAMPA DEL EXAMEN

Si ves una transferencia de 30GB desde un servidor de base de datos hacia una IP externa desconocida, es un indicador claro de

exfiltración , sin importar si el protocolo parece legitimo.

Seguridad de Email (La Trilogía)

SPF (Sender Policy Framework)

Lista de IPs autorizadas para enviar correos de un dominio

DKIM (DomainKeys Identified Mail)

Firma criptográfica que asegura que el mensaje no fue alterado

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

La política que une a ambos y exige Alignment

TRAMPA DEL EXAMEN

El SPF por si solo

no detiene la suplantación visual del remitente. Solo DMARC , mediante el requisito de Alignment (alineacion entre el dominio tecnico y el visible para el usuario), soluciona este problema de forma integral.

Resumen

PUNTOS CRITICOS PARA EL DOMINIO 1


Contexto es Rey: Un Event ID no significa nada sin el Logon Type o la actividad previa y posterior.

Automatiza lo Rutinario: Deja los Playbooks de SOAR para lo repetible y tu intuición para el Threat Hunting.

Conoce tus Frameworks: MITRE para lo tecnico, Kill Chain para lo estratégico, Diamond para pivotar.

Forensia Moderna: No apagues sistemas cifrados; la RAM es donde residen las llaves del reino.

DMARC es el Estandar: Es la única defensa real contra la suplantación de identidad en el correo corporativo.

[ EOF ]

“Logs do not explain themselves. Correlation does.”