El Dominio 1 es Security Operations. Detección, monitoreo y respuesta a incidentes. El pilar del CySA+ CS0-003.
Memorizar herramientas no te hace analista. Lo que cuenta es leer señales débiles en un SIEM que no para de tragar ruido, y saber preguntarte por qué algo pinta raro antes de que el atacante mueva ficha.
En un SOC real, la diferencia entre un analista que empieza y uno con horas de vuelo no es saberse los EIDs de memoria — es entender el por qué detrás de cada registro.
Arquitectura de Seguridad e Infraestructura Moderna
Sistemas en la Nube y Virtualización
La infraestructura contemporánea ha migrado de centros de datos físicos a modelos de servicio flexibles.
Como analista, tu visibilidad y control dependen enteramente del modelo de despliegue
MODELOS DE SERVICIO EN LA NUBE
IaaS - Control total del SO y aplicaciones. Tu parchas el kernel, configuras firewall y gestionas logs. PaaS - El SO desaparece. Te enfocas en seguridad de la aplicación y manejo de datos. SaaS - Casi toda la responsabilidad es del proveedor. Tu accion se limita a gestion de identidades y auditoría via APIs. FaaS (Serverless) - Codigo bajo demanda. Seguridad centrada exclusivamente en el codigo y permisos de ejecución.
Entender la distinción técnica entre virtualización y contenedores para el análisis forense:
VIRTUALIZACION vs CONTENEDORES
VMs: Hypervisor (ESXi, Hyper-V) | Hardware emulado | SO completo propio | Pesado (GBs) | Minutos para arrancar | Persistente
Contenedores: Kernel del host | Namespaces + cgroups | Comparten kernel | Ligero (MBs) | Milisegundos | Ephemeral
El Shared Responsibility Model (Modelo de Responsabilidad Compartida) es el marco legal y operativo que delimita tus obligaciones.
En la nube, la seguridad “de” la infraestructura es del proveedor, pero la seguridad “en” la nube (tus datos, tus configuraciones) es tuya.
Una mala configuración en el IAM es la causa principal de brechas en la nube.
TRAMPA DEL EXAMEN
En un modelo SaaS, nunca intentes parchar el sistema operativo subyacente; es responsabilidad exclusiva del proveedor y tu careces de acceso.
Las herramientas de escaneo tradicionales fallan con los contenedores debido a su naturaleza ephemeral; la seguridad aqui debe desplazarse a la izquierda (shift-left ), escaneando las imágenes base en el pipeline de CI/CD antes de que lleguen a producción.
Estrategias Zero Trust y Segmentacion
La arquitectura Zero Trust (Confianza Cero) rompe con el modelo tradicional de “castillo y foso”.
Se basa en tres principios:
LOS TRES PRINCIPIOS ZERO TRUST
1. Verificar explícitamente cada solicitud de acceso
2. Utilizar acceso de mínimo privilegio
3. Asumir siempre la brecha (assume breach)
La segmentación es la herramienta táctica para implementar Zero Trust.
La segmentación física implica hardware separado para redes criticas, mientras que la segmentación lógica utiliza VLANs, VRFs y NGFWs para micro - segmentar el trafico.
Esto evita el movimiento lateral, confinando al atacante en un segmento pequeño y controlado.
Infraestructura de Clave Publica (PKI) y Cifrado
La Public Key Infrastructure (PKI) es el sistema de confianza que sustenta el cifrado asimétrico:
COMPONENTES PKI
CA (Certificate Authority) - Entidad raiz que emite y firma certificados RA (Registration Authority) - Intermediario que verifica la identidad del solicitante CSR (Certificate Signing Request) - Archivo para pedir un certificado, incluye tu clave publica CRL (Certificate Revocation List) - Lista estatica de certificados que ya no son válidos OCSP (Online Certificate Status Protocol) - Verificación en tiempo real de validez de certificado
El uso de certificados self-signed (auto firmados) en producción es un hallazgo critico: carecen de cadena de confianza validada por una CA publica, exponiendo a ataques Man-in-the-Middle.
El cifrado TLS es un arma de doble filo porque protege la privacidad pero oculta el malware y la exfiltración.
Para recuperar la visibilidad, se utiliza la TLS Interception o SSL Inspectiondonde un proxy rompe la conexión cifrada, inspecciona el contenido y lo vuelve a cifrar.
La clave publica del proxy debe estar en el trust store de cada endpoint.
TRAMPA DEL EXAMEN
Si estas en una escena de incidente con una laptop encendida pero bloqueada con
Full Disk Encryption (FDE) , no la apagues. Apagarla purga la clave de cifrado de la RAM. Debes realizar un memory dump en vivo o buscar el archivo hiberfil.sys , donde a menudo reside la clave en texto plano.
Monitoreo Avanzado y Análisis de Logs
Análisis de Registros en Windows y Linux
En Windows, los registros son bases de datos estructuradas en %SystemRoot%\System32\Winevt\Logs.
Un analista senior debe dominar los Event IDs (EID) y los Logon Types para reconstruir el movimiento lateral:
EVENT IDS CRITICOS DE WINDOWS
EID 4624 - Inicio de sesion exitoso. Mirar el Logon Type:
Tipo 2: Interactivo local | Tipo 3: Red (movimiento lateral) | Tipo 10: RDP
EID 4625 - Fallo de inicio de sesion. Multiples = fuerza bruta o password spraying
EID 1102 - Registro de auditoría BORRADO. Alerta critica de evasión de defensas
EID 7045 - Nuevo servicio instalado. Los atacantes lo usan para PsExec
EID 4698 - Tarea programada creada. Tecnica clasica de persistencia
Para visibilidad profunda:
- Sysmon con sus EIDs de WMI (19, 20, 21).
- El WMI es abusado para ejecuciones fileless y persistencia sigilosa.
- Los atacantes también abusan del Registry en HKLM y HKCU, en las claves Run y RunOnce.
En Linux: /var/log/auth.log (Debian/Ubuntu), /var/log/secure (RHEL/CentOS), $HOME/.bash_history (historial), /proc/[pid]/maps (procesos en memoria).
- Persistencia en /etc/crontab y /etc/systemd/system/.
TRAMPA DEL EXAMEN
Ante una cascada de eventos,
prioriza siempre el EID 1102 (borrado de logs) sobre el EID 4625 (fallo de inicio). El borrado de logs confirma que un atacante ya tiene privilegios administrativos y esta realizando tareas de limpieza forense.
Logs Web e Inyecciones SQL
Al analizar registros de Apache o IIS, buscamos anomalías en la query string
FIRMAS DE ATAQUE EN LOGS WEB
SQLi: %27 (comilla simple), UNION SELECT, operador — para comentar
XSS: etiquetas script, eventos JavaScript en parámetros de URL
Registros de Red y Estandar Syslog
Syslog utiliza Facility (que origino el mensaje) y Severity (que tan urgente es).
Niveles del 0 al 7:
NIVELES DE SEVERIDAD SYSLOG
0 Emergency - Sistema inutilizable | 1 Alert - Accion inmediata
5 Notice - Evento normal pero significativo | 6 Informational - Informativo
7 Debug - Extremadamente ruidoso, nunca en produccion
En monitoreo de red: Packet Sniffing (captura completa, Wireshark/tcpdump) vs NetFlow (solo metadatos: IPs, puertos, volumen). NetFlow detecta:
PATRONES DETECTADOS POR NETFLOW
Vertical scan - Un origen ataca muchos puertos en un solo host
Horizontal scan (Sweep) - Un origen busca un puerto en toda una subred
C2 beaconing - Conexiones con cadencia matemática perfecta (ej. cada 60s), firma de C2
TRAMPA DEL EXAMEN
Activar el nivel 7 (Debug) en produccion satura el SIEM y eleva costos de almacenamiento.
Vigila siempre el trafico Direct-IP outbound ; las conexiones directas a IPs sin resolución DNS previa son indicadores de compromiso de alta fidelidad.
Herramientas Centrales: Detección y Orquestación
SIEM frente a SOAR
El SIEM (Security Information and Event Management) es el cerebro recolector, en el SIEM hay log ingestion, normalización y reglas de Correlation para detectar ataques complejos que un solo dispositivo no vería.
El SOAR (Security Orchestration, Automation, and Response) es el brazo ejecutor y se integra via APIs
Utiliza Playbooks para automatizar la respuesta.
SIEM vs SOAR - COMPARATIVA
SIEM
- Objetivo: Visibilidad y detección
- Fortalezas: Agregación y retención histórica
- Operación: Reglas de correlación
SOAR
- Objetivo: Respuesta y eficiencia
- Fortalezas: Automatización y orquestación
- Operación: Playbooks y flujos de trabajo
TRAMPA DEL EXAMEN
Si el objetivo es
“conectar eventos de multiples fuentes” , la respuesta es SIEM. Si el objetivo es “reducir el tiempo de respuesta mediante acciones automáticas” , la respuesta es SOAR.
EDR frente a UEBA
El EDR (Endpoint Detection and Response) utiliza agents para monitorear procesos, archivos y conexiones en tiempo real.
Es la herramienta definitiva para detectar técnicas de LOTLdonde el atacante usa binarios legítimos para evadir antivirus.
El UEBA (User and Entity Behavior Analytics) se centra en la identidad.
Establece baselines de comportamiento normal y alerta sobre anomalías.
Es la mejor defensa contra insider threats.
TRAMPA DEL EXAMEN
El EDR se enfoca en el
dispositivo y sus procesos (ej. inyección de codigo en un proceso legitimo). El UEBA se enfoca en el comportamiento de la cuenta (ej. desviaciones de la norma de acceso).
Scripting y Automatización Táctica
Python para interactuar con APIs de inteligencia.
Bash o PowerShell para filtrados rápidos mediante one-liners.
Regex para extraer IoCs de logs masivos.
En Windows, configura Set-ExecutionPolicy RemoteSigned para permitir la ejecución de scripts.
TRAMPA DEL EXAMEN
El análisis de riesgos cualitativo, al basarse en juicios humanos y subjetividad, no puede ser automatizado.
Solo los procesos repetibles y que no requieren intuición humana son candidatos para la automatización.
Inteligencia de Amenazas y Frameworks de Análisis
Modelos de Análisis de Intrusión
TRES MARCOS DE ANÁLISIS
Cyber Kill Chain
Modelo lineal de 7 fases (Reconnaissance a Actions on Objectives).
Útil para comunicación estratégica.
Debilidad: se enfoca en el perímetro.
MITRE ATT&CK
Base de conocimiento granular. Tácticas (el objetivo) y Técnicas (el como).
Estandar para threat hunting y mapeo de grupos.
Diamond Model
Cuatro vertices: Adversary, Capability, Infrastructure, Victim. Permite pivoting (usar un dato para descubrir otro).
TRAMPA DEL EXAMEN
El Diamond Model
no es secuencial ; los cuatro vertices existen simultaneamente. Si un servidor de un tercero es comprometido para lanzarte un ataque, ese servidor se clasifica como Infrastructure , no como victima primaria.
Estándares y Protocolos de Inteligencia
PROTOCOLOS DE INTELIGENCIA DE AMENAZAS
STIX (Structured Threat Information eXpression)
El formato de los datos (basado en JSON)
TAXII (Trusted Automated eXchange of Indicator Information)
El protocolo de transporte sobre HTTPS
OpenIOC
Formato XML creado por Mandiant para indicadores forenses técnicos
MISP
Plataforma open source para almacenar y correlacionar inteligencia
TRAMPA DEL EXAMEN
STIX es el contenido (la carga) y TAXII es el medio de transporte (el camión). OpenIOC fue desarrollado por Mandiant.
Dimensiones de Calidad de la Inteligencia
DIMENSIONES DE CALIDAD
Timeliness (Oportunidad)
Que la información sea reciente
Relevancy (Relevancia)
Que aplique a tu sector o infraestructura
Confidence / Accuracy (Confianza/Precisión)
Que la fuente sea fiable
TRAMPA DEL EXAMEN
Nunca bloques trafico automáticamente basándote en inteligencia de Low-confidence.
Estos indicadores solo deben usarse para vigilancia y monitoreo para evitar falsos positivos que interrumpan el negocio.
Threat Hunting y Defensa Activa
Estrategias de Caza Proactiva
El Threat Hunting es proactivo
El analista asume que el atacante ya burlo las defensas.
Su meta es reducir el Dwell time (el tiempo que el atacante permanece oculto).
TIPOS DE THREAT HUNTING
Hypothesis-driven - Empieza con una teoría (ej. “nuestros servidores web están siendo usados para minar criptomonedas”)
IOC-based - Busca rastros conocidos (hashes, IPs maliciosas) en logs historicos
Técnicas de Engaño y Control de Acceso
DEFENSA ACTIVA
Honeypot
Un solo sistema senuelo
Honeynet
Una red completa de senuelos
Tarpit
Sistema disenado para ralentizar al atacante (sticky)
Allowlisting opera bajo default-deny (denegacion por defecto). Blocklisting solo prohibe lo que ya se sabe que es malo.
TRAMPA DEL EXAMEN
Configurar una alerta en el SIEM es monitoreo reactivo.
El Threat Hunting es siempre una busqueda manual y creativa basada en una hipótesis tecnica.
Malware, Identidad y Seguridad de Email
Análisis de Malware
Static analysis examina el archivo sin ejecutarlo.
Técnica común: comando strings para extraer texto legible de un binario.
Dynamic analysis ejecuta el malware en una Sandbox para observar su comportamiento real.
Reverse engineering desensambla el código para entender su lógica interna.
Infiltración y Exfiltración
La Infiltratión ocurre en las etapas iniciales del ataque.
La Exfiltratión es el robo de datos hacia el exterior.
- DNS tunneling (encapsular datos en consultas DNS)
- Slow-and-low exfiltration (enviar datos poco a poco para no disparar alertas).
TRAMPA DEL EXAMEN
Si ves una transferencia de 30GB desde un servidor de base de datos hacia una IP externa desconocida, es un indicador claro de
exfiltración , sin importar si el protocolo parece legitimo.
Seguridad de Email (La Trilogía)
SPF (Sender Policy Framework)
Lista de IPs autorizadas para enviar correos de un dominio
DKIM (DomainKeys Identified Mail)
Firma criptográfica que asegura que el mensaje no fue alterado
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
La política que une a ambos y exige Alignment
TRAMPA DEL EXAMEN
El SPF por si solo
no detiene la suplantación visual del remitente. Solo DMARC , mediante el requisito de Alignment (alineacion entre el dominio tecnico y el visible para el usuario), soluciona este problema de forma integral.
Resumen
PUNTOS CRITICOS PARA EL DOMINIO 1
Contexto es Rey: Un Event ID no significa nada sin el Logon Type o la actividad previa y posterior.
Automatiza lo Rutinario: Deja los Playbooks de SOAR para lo repetible y tu intuición para el Threat Hunting.
Conoce tus Frameworks: MITRE para lo tecnico, Kill Chain para lo estratégico, Diamond para pivotar.
Forensia Moderna: No apagues sistemas cifrados; la RAM es donde residen las llaves del reino.
DMARC es el Estandar: Es la única defensa real contra la suplantación de identidad en el correo corporativo.
[ EOF ]
“Logs do not explain themselves. Correlation does.”