Técnicas de Caza de Amenazas

Explica el porqué, qué y cómo de la detección proactiva de amenazas

Cómo debería alguien planificar una operación adecuada de threat hunt en una organización basada en THMM

Cómo redactar una documentación adecuada de threat hunt

Introducción a diferentes metodologías de threat hunting para explorar cómo se realiza en la vida real. Aquí vamos a discutir el modelo de madurez de threat hunting y cómo se logra.

En threat hunting, comprender fuentes de datos como telemetría de endpoints, logs de red, autenticación, correo electrónico y nube es clave para detectar amenazas ocultas, correlacionar eventos e identificar tácticas de ataque.

El threat hunting utiliza herramientas como Splunk, Elastic, MISP, Velociraptor, Sysmon y Jupyter Notebooks para detectar, investigar y analizar amenazas avanzadas.

Esta sección presenta el Framework MITRE ATT&CK y cómo ayuda a los threat hunters a mapear tácticas de atacantes, desarrollar hipótesis y mejorar estrategias de detección.

Esta sección explicará cómo utilizar de manera práctica el Framework MITRE ATT&CK en operaciones de threat hunting. Aprenderá cómo alinear sus hipótesis de hunting con tácticas y técnicas específicas de MITRE.

Aprenda cómo transformar tácticas y técnicas MITRE ATT&CK en estrategias prácticas de threat hunting para detectar amenazas reales.

Esta sección introduce los fundamentos de la ciencia de datos y cómo se aplican al threat hunting mediante análisis, visualización y detección de anomalías en grandes volúmenes de datos de seguridad.

Esta sección cubrirá cómo utilizar la biblioteca de Python pandas para estructurar, limpiar y preparar datos de logs para análisis de threat hunting. Aprenderá cómo cargar logs desde formatos comunes como CSV y JSON, explorar los datos utilizando DataFrames y manejar valores faltantes o inconsistentes. Revisaremos operaciones clave como filtrar eventos específicos, convertir timestamps y normalizar campos para facilitar el análisis. Esta sección también mostrará cómo fusionar logs de diferentes fuentes y crear nuevas columnas para obtener insights enriquecidos. Al finalizar, podrá utilizar pandas con confianza para transformar logs sin procesar en un formato estructurado, facilitando la detección de anomalías, la construcción de hipótesis y la visualización de amenazas potenciales.

Esta sección explicará qué es el análisis de datos, cómo se realiza y por qué desempeña un papel crítico en el threat hunting. Aprenderá cómo el parsing implica extraer campos relevantes de entradas de logs sin procesar — como timestamps, direcciones IP, acciones de usuarios y nombres de procesos — y convertirlos en un formato estructurado para análisis. Exploraremos técnicas comunes de parsing utilizando herramientas como pandas, expresiones regulares o parsers integrados en SIEMs. La sección también destacará la importancia de un parsing consistente y preciso para garantizar que los logs sean utilizables, buscables y mapeables a técnicas MITRE. Al finalizar, comprenderá cómo un análisis de datos adecuado permite mejor filtrado, enriquecimiento, correlación y, en última instancia, una detección de amenazas más confiable.

Esta lección cubre técnicas para analizar, limpiar y estructurar logs de seguridad con el fin de prepararlos para análisis, detección de amenazas y procesos de threat hunting.

Esta sección introducirá métodos de ingeniería de características en ciberseguridad y explicará cómo ayudan a mejorar la detección de amenazas. Aprenderá cómo crear características significativas a partir de datos de logs sin procesar, como duración de sesiones, profundidad del árbol de procesos, frecuencia de acceso a archivos o conteos de inicios de sesión fallidos, que pueden resaltar comportamientos anormales.

Esta sección explorará técnicas visuales utilizadas para identificar patrones de comportamiento en datos de ciberseguridad. Aprenderá cómo la visualización ayuda a descubrir anomalías, tendencias y actividades sospechosas que podrían pasar desapercibidas en formatos de logs sin procesar.

Esta lección muestra cómo utilizar visualizaciones para identificar patrones, anomalías y comportamientos sospechosos en datos de seguridad durante procesos de threat hunting.

Lectura detallada sobre técnicas de visualización

Cómo crear técnicas visuales para identificar patrones de comportamiento

Esta lección explora visualizaciones clave utilizadas en threat hunting para detectar anomalías, patrones sospechosos y actividades maliciosas en datos de seguridad.

Esta sección introducirá el concepto de aprendizaje no supervisado y su relevancia en el threat hunting de ciberseguridad. Aprenderá que el aprendizaje no supervisado es un tipo de machine learning donde el modelo no recibe datos etiquetados; en cambio, intenta encontrar patrones ocultos, agrupaciones o anomalías por sí mismo.

Esta sección explicará cómo usar métricas de puntuación como precisión, recall y validación visual para evaluar el rendimiento de modelos de detección de amenazas. Aprenderá qué significan estas métricas: precisión mide cuántas amenazas detectadas son realmente correctas, mientras que recall muestra cuántas amenazas reales fueron identificadas exitosamente.

Esta sección lo guiará a través del proceso de identificar modelos óptimos para detección de amenazas en ciberseguridad utilizando técnicas de ciencia de datos. Aprenderá cómo comparar diferentes modelos de machine learning, como árboles de decisión, random forests o algoritmos de detección de anomalías.

Esta sección le mostrará cómo aplicar el algoritmo Isolation Forest para detectar anomalías de inicio de sesión en datos de ciberseguridad. Aprenderá cómo Isolation Forest funciona aislando puntos de datos raros, lo que lo hace efectivo para detectar horarios inusuales de inicio de sesión, direcciones IP o comportamientos de usuarios sin necesidad de datos etiquetados.

Esta sección explicará cómo identificar eventos de inicio de sesión sospechosos utilizando técnicas de clustering en análisis de datos de ciberseguridad. Aprenderá cómo el clustering agrupa comportamientos de inicio de sesión similares — como tiempo de acceso, ubicación del usuario y tipo de dispositivo — en clusters, facilitando la detección de valores atípicos que no encajan con el patrón normal.

Esta sección demostrará cómo correlacionar eventos utilizando diferentes fuentes de datos para descubrir patrones complejos de ataque. Aprenderá cómo combinar logs de endpoints, firewalls, sistemas de autenticación y dispositivos de red para construir una línea de tiempo del comportamiento del atacante.

Esta sección cubrirá los desafíos críticos del ruido, falsos positivos y supuestos de modelos en la detección de amenazas de ciberseguridad. Aprenderá qué es el ruido — datos irrelevantes o benignos que pueden saturar su análisis — y cómo conduce a falsos positivos que desperdician tiempo de los analistas. Explicaremos cómo reducir el ruido mediante filtrado de datos, selección de características y ajuste de umbrales.

Esta sección comparará y explicará tres técnicas populares de detección de anomalías utilizadas en ciberseguridad: Isolation Forest, Detección de Entropía y Análisis Z-Score. Aprenderá cómo Isolation Forest aísla anomalías según la facilidad con la que los puntos de datos pueden separarse, haciéndolo efectivo para identificar intentos raros de inicio de sesión o ejecuciones de procesos. La Detección de Entropía se enfoca en medir aleatoriedad en los datos — como nombres de archivos o consultas DNS inusuales — destacando posibles intentos de ofuscación o exfiltración.

Esta sección le ayudará a comprender cuándo y por qué elegir un modelo o algoritmo específico durante diferentes etapas del threat hunting. Aprenderá cómo técnicas más simples como Análisis Z-Score son ideales para una detección rápida e interpretable de anomalías numéricas en conteos de inicios de sesión o frecuencia de eventos. Al trabajar con datos de alta dimensionalidad o no etiquetados, Isolation Forest se vuelve valioso para detectar comportamientos sutiles y raros sin conocimiento previo.