Contacta con nosotros

Temario del curso

Introducción y orientación del curso

  • Objetivos del curso, resultados esperados y configuración del entorno de laboratorio.
  • Arquitectura EDR de alto nivel y componentes de OpenEDR.
  • Revisión del marco MITRE ATT&CK y fundamentos de la búsqueda de amenazas.

Despliegue de OpenEDR y recopilación de telemetría

  • Instalación y configuración de los agentes de OpenEDR en puntos finales Windows.
  • Componentes del servidor, canalizaciones de ingesta de datos y consideraciones de almacenamiento.
  • Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento de datos.

Comprensión de la telemetría del punto final y modelado de eventos

  • Tipos clave de eventos en el punto final, campos y cómo se mapean a las técnicas ATT&CK.
  • Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido.
  • Creación de señales de detección confiables a partir de telemetría de baja fidelidad.

Mapeo de detecciones a MITRE ATT&CK

  • Traducción de la telemetría en cobertura de técnicas ATT&CK y detección de vacíos.
  • Uso de MITRE ATT&CK Navigator y documentación de las decisiones de mapeo.
  • Priorización de técnicas para la búsqueda basada en el riesgo y la disponibilidad de telemetría.

Metodologías de búsqueda de amenazas

  • Búsqueda basada en hipótesis versus investigaciones guiadas por indicadores.
  • Desarrollo de guías de caza (hunt playbooks) y flujos de trabajo de descubrimiento iterativo.
  • Prácticas de caza en laboratorio: identificación de patrones de movimiento lateral, persistencia y escalada de privilegios.

Ingeniería de detección y ajuste

  • Diseño de reglas de detección utilizando correlación de eventos y líneas base conductuales.
  • Prueba de reglas, ajuste para reducir falsos positivos y medición de la efectividad.
  • Creación de firmas y contenido analítico reutilizable en todo el entorno.

Respuesta a incidentes y análisis de causa raíz con OpenEDR

  • Uso de OpenEDR para triaje de alertas, investigación de incidentes y cronología de ataques.
  • Recopilación de artefactos forenses, preservación de evidencias y consideraciones sobre la cadena de custodia.
  • Integración de hallazgos en las guías de respuesta a incidentes (IR playbooks) y flujos de trabajo de remediación.

Automatización, orquestación e integración

  • Automatización de cacias rutinarias y enriquecimiento de alertas utilizando scripts y conectores.
  • Integración de OpenEDR con SIEM, plataformas SOAR y de inteligencia contra amenazas (threat intelligence).
  • Escalabilidad de telemetría, retención y consideraciones operativas para despliegues empresariales.

Casos de uso avanzados y colaboración con equipos de Red Team

  • Simulación del comportamiento del adversario para validación: ejercicios de equipo púrpura (purple-team) y emulación basada en ATT&CK.
  • Estudios de caso: cacerías del mundo real y análisis post-incidente.
  • Diseño de ciclos de mejora continua para la cobertura de detección.

Laboratorio final (Capstone) y presentaciones

  • Taller guiado: cacería completa desde la hipótesis hasta el contención y el análisis de causa raíz utilizando escenarios de laboratorio.
  • Presentaciones por parte de los participantes sobre hallazgos y mitigaciones recomendadas.
  • Cierre del curso, distribución de materiales y próximos pasos recomendados.

Requerimientos

  • Comprensión de los fundamentos de la seguridad en puntos finales (endpoint).
  • Experiencia con análisis de registros y administración básica de Linux/Windows.
  • Familiaridad con técnicas de ataque comunes y conceptos de respuesta a incidentes.

Público objetivo

  • Analistas de centros de operaciones de seguridad (SOC).
  • Cazadores de amenazas y respondedores de incidentes.
  • Ingenieros de seguridad responsables de la ingeniería de detección y la telemetría.
 21 Horas

Número de participantes


Precio por participante

Testimonios (2)

Próximos cursos

Categorías Relacionadas