IBM QRadar SIEM: de Principiante a Avanzado

Módulo 1: Fundamentos del SIEM, Arquitectura y Panorama General del Ecosistema

Establece una comprensión integral de los fundamentos del SIEM (Gestión de Información y Eventos de Seguridad), la arquitectura de la plataforma IBM QRadar, su integración con el ecosistema y el panorama más amplio de la analítica de seguridad, incluidas las plataformas XDR, SOAR e inteligencia de amenazas.

1.1 Analítica de Seguridad y Fundamentos del SIEM

• El panorama del SIEM: evolución desde la gestión de registros hacia la analítica de seguridad.
• SIEM frente a SOAR frente a XDR: comprensión de la convergencia de herramientas de seguridad.
• Componentes principales del SIEM: recopilación de registros, normalización, correlación y alertas.
• Flujo de trabajo del analista SOC: detección, triaje, investigación y respuesta.
• Descripción general del marco MITRE ATT&CK y su papel en la asignación de reglas SIEM.

1.2 Arquitectura de la plataforma IBM QRadar

• Arquitectura de QRadar on-premise: Procesador de eventos, Gestor de registros, Consola y Procesador de flujos.
• QRadar en la nube: arquitectura multitenancy, modelos de ingesta y escalabilidad.
• Despliegue híbrido en la nube de QRadar: combinación de capacidades on-premise y en la nube.
• Opciones de despliegue: Appliances virtuales, Appliances hardware y SaaS.
• Alta disponibilidad (HA) y configuraciones Activo-Pasivo frente a Activo-Activo.

1.3 Componentes de QRadar y navegación por la consola

• Consola IBM QRadar: descripción general de la interfaz, espacios de trabajo, cuadros de mandos y navegación.
• Complementos complementarios, Marco de aplicaciones QRadar e IBM App Exchange.
• Explorador de contexto, Analizador de riesgos e integración de inteligencia de amenazas.
• Modelo de datos: Equipos, Dispositivos, Protocolos y Categorías en QRadar.

1.4 El ecosistema QRadar

• IBM QRadar SOAR: integración de orquestación de seguridad y respuesta automatizada.
• IBM QRadar EDR: integración de detección y respuesta en endpoints.
• Integración con inteligencia de amenazas (flujos VTI, flujos de amenazas personalizados).
• Integración con herramientas SIEM: Splunk, Elastic SIEM, IBM QRadar (gestión de fuentes de registros).

1.5 Integración con la suite de seguridad IBM

• Integración de IBM QRadar SOAR para automatización y orquestación de playbooks.
• Integración de IBM QRadar EDR para telemetría de endpoint.
• Integración de IBM QRadar VTI (Inteligencia de Vulnerabilidades y Amenazas).
• Aplicaciones y complementos de IBM QRadar App Exchange.
• Integración de la plataforma de integración de red de IBM QRadar (NFI).

Competencias alineadas con el mercado: Fundamentos del SIEM, Gestión de Información y Eventos de Seguridad, Arquitectura de la plataforma IBM QRadar, Despliegue on-premise de QRadar, Arquitectura en la nube de QRadar, Seguridad en la nube híbrida, Operaciones SOC y SIEM, Analítica de seguridad, Integración XDR, Integración de plataforma SOAR, Plataforma de inteligencia de amenazas (TIP), Asignación del marco MITRE ATT&CK, Convergencia de herramientas de seguridad, Arquitectura de seguridad empresarial, Gestión de registros y analítica, Escalabilidad y planificación de capacidad SIEM, Configuración de Alta disponibilidad (HA), Navegación y configuración de la consola QRadar.

Módulo 2: Gestión de fuentes de registros, ingesta de datos y normalización

Profundiza en la configuración de fuentes de registros, estrategias de recopilación de datos, normalización de registros y protocolos esenciales para establecer visibilidad de seguridad en toda la empresa en entornos on-premise, nube e híbridos.

2.1 Configuración de fuentes de registros y protocolos

• Métodos de recopilación de registros: Syslog (RSYSLOG), Conexiones de red (CEF), Formato de evento común (CEF) y Formato de eventos comunes de QRadar (CEF).
• Protocolo CEF: encabezado, nombres de extensiones, extensiones personalizadas y mapeo CEF a CEF.
• Recopilación de registros basada en red: NetFlow v5/v9, IPFIX (sFlow).
• Recopilación basada en agentes (Agente IBM QRadar) para visibilidad del endpoint.
• Configuración de fuentes de registros para Active Directory, DNS, DHCP, HTTP, SMTP y bases de datos.
• Mejores prácticas de despliegue de fuentes de registros: fuentes de alto rendimiento, compresión y cifrado.

2.2 Ingesta de datos y planificación de capacidad

• Comprensión del volumen diario de archivos de registros (GLP) y la capacidad diaria de ingesta de datos de eventos.
• Políticas de retención de datos y gestión de retención impulsada por cumplimiento normativo.
• Priorización de fuentes de registros y filtrado de eventos para controlar costos.
• Planificación de capacidad para despliegues SIEM a escala empresarial.
• Cálculos de dimensionamiento y optimización del rendimiento para entornos a gran escala.

2.3 Normalización y clasificación de registros

• El Motor de Normalización de QRadar: mapeo de formatos nativos de registros a protocolos QRadar.
• Gestor de propiedades de fuentes de registros y mapeo de protocolos.
• Creación de fuentes de registros personalizadas para registros propietarios.
• Mapeo de eventos, flujos y fuentes de registros.
• Reglas de normalización y resolución de problemas de análisis sintáctico.

Competencias alineadas con el mercado: Gestión de fuentes de registros, Configuración Syslog, Protocolo CEF, Conexiones de red (CEF), Despliegue del Agente QRadar, Recopilación de registros de Active Directory, Recopilación de registros DNS y DHCP, Recopilación de registros HTTP/S y SMTP, Integración de recopilación de registros de bases de datos (CEF), Recopilación NetFlow e IPFIX, Despliegue SIEM sin agentes, Estrategia empresarial de recopilación de registros, Normalización de registros, Mapeo de protocolos, Configuración de fuentes de registros personalizadas, Análisis y clasificación de eventos, Estimación del volumen diario de registros (DLV), Planificación de capacidad SIEM, Ajuste de rendimiento para SIEM a gran escala, Retención de datos impulsada por cumplimiento normativo.

Módulo 3: Detección, correlación y desarrollo de reglas

El núcleo de las operaciones SIEM: construir, probar y gestionar reglas de detección desde reglas de eventos simples hasta complejas reglas de correlación compuestas que identifican ataques, anomalías y violaciones de políticas.

El núcleo de las operaciones SIEM: construir, probar y gestionar reglas de detección desde reglas de eventos simples hasta complejas reglas de correlación compuestas que identifican ataques, anomalías y violaciones de políticas.

3.1 Reglas de eventos y reglas de agregación

• Reglas de eventos: filtrado, extracción de campos y creación de atributos personalizados a partir de eventos en bruto.
• Reglas de agregación: conteo y agrupación de eventos por IP, protocolo, usuario, etc.
• Acciones de reglas de agregación: notificaciones, umbrales de contador y propiedades personalizadas.
• Activación de reglas, orden de ejecución y lógica de ejecución de reglas.

3.2 Reglas de correlación compuestas

• Construcción de reglas de correlación compuestas: unión de datos de múltiples fuentes.
• Tipos de regla: Eventos, Agregación y Correlación Compuesta.
• Componentes de la regla compuesta: desencadenantes, agregaciones, correlaciones y acciones.
• Lógica de correlación: correlación temporal, correlación por umbral y correlación contextual.
• Propiedades de reglas de predicción y correlación: niveles de confianza, severidad y escalado.
• Redacción efectiva de reglas de correlación: evitar la fatiga de alertas y garantizar la calidad de la señal.

3.3 Reglas de detección para técnicas MITRE ATT&CK

• Reglas mapeadas a técnicas MITRE ATT&CK: Acceso inicial, Ejecución, Persistencia, Escalamiento de privilegios, Evasión de defensa, Acceso a credenciales, Descubrimiento, Movimiento lateral, Recopilación, Comando y control (C2), Exfiltración.
• Detecciones personalizadas para categorías específicas de ataques:
• Reglas para: Fuerza bruta, Escaneo de puertos, Comunicación con malware, Amenaza interna, Movimiento lateral, Escalamiento de privilegios, Exfiltración de datos, Comando y control (C2).
• Reglas para: Fallos de autenticación por fuerza bruta, Escaneo de puertos, Inyección SQL, Tunelización DNS, Escalamiento de privilegios, Movimiento lateral mediante 'Pass-the-Hash'.

3.4 Caza de amenazas con reglas QRadar

• Metodología proactiva de caza de amenazas utilizando QRadar.
• Creación de reglas para la detección de amenazas desconocidas/de día cero.
• Análisis de comportamiento y reglas de detección de desviaciones de la línea base.

Competencias alineadas con el mercado: Desarrollo de reglas de eventos, Creación de reglas de agregación, Desarrollo de reglas de correlación compuesta, Diseño de reglas de correlación personalizadas, Mapeo MITRE ATT&CK, Ingeniería de detección de amenazas, Asignación de técnicas de ataque (Acceso inicial, Ejecución, Persistencia, Escalamiento de privilegios, Evasión de defensa, Acceso a credenciales, Descubrimiento, Movimiento lateral, Recopilación, Comando y control, Exfiltración), Detección de comunicación con malware, Detección de inyección SQL, Detección de tunelización DNS, Regla de escalamiento de privilegios, Detección de fuerza bruta, Detección de movimiento lateral, Detección de amenaza interna, Detección de exfiltración de datos, Detección de comando y control (C2), Gestión de la fatiga de alertas, Ajuste y optimización de reglas, Ingeniería de reglas de detección SOC, Caza proactiva de amenazas.

Módulo 4: Motor de Ofensas de QRadar e investigación de incidentes

Cubre en profundidad el motor de ofensas de QRadar: creación de ofensas, flujos de trabajo de investigación, análisis contextual, gestión de falsos positivos, triaje y manejo de incidentes.

4.1 El motor de ofensas

• Creación, agregación y gestión del ciclo de vida de las ofensas.
• Propiedades de la ofensa: severidad, confianza, estado y atribución.
• Lógica de agregación de ofensas: agrupación de eventos relacionados en incidentes significativos.
• Escalado, asignación y gestión del flujo de trabajo de ofensas.

4.2 Investigación de incidentes y análisis contextual

• Explorador de contexto para el análisis profundo de eventos y reconstrucción de la línea de tiempo.
• Análisis de la línea de tiempo de eventos: reconstrucción cronológica de incidentes de seguridad.
• Análisis de direcciones IP y enriquecimiento con reputación (inteligencia de amenazas).
• Contexto de usuario y activos: actividad del usuario, inventario de equipos y análisis de riesgo del activo.
• Eventos correlacionados en las vistas detalladas de ofensas y eventos.
• Correlación de eventos, agrupamiento de eventos y recopilación de pruebas.

4.3 Integración con inteligencia de amenazas

• Integración de flujos de Vulnerability and Threat Intelligence (VTI).
• Enriquecimiento automatizado de inteligencia de amenazas con IBM QRadar VTI.
• Cargas de flujos de amenazas personalizados y perfiles de actores de amenazas.
• Contexto de inteligencia de amenazas en ofensas y análisis de riesgos.

4.4 Gestión de falsos positivos y ajuste de reglas

• Identificación y clasificación de falsos positivos en el motor de ofensas.
• Reglas de supresión de falsos positivos y flujos de trabajo de supresión.
• Ajuste de reglas: reducción del ruido manteniendo la sensibilidad de detección.
• Documentación de incidentes de falsos positivos para la mejora continua.

Competencias alineadas con el mercado: Gestión del motor de ofensas QRadar, Investigación y análisis de incidentes, Investigación de amenazas, Uso del Explorador de contexto, Análisis de línea de tiempo de eventos, Análisis de reputación IP, Análisis de riesgo de activos, Enriquecimiento de inteligencia de amenazas, Integración de flujos VTI, Gestión de falsos positivos, Ajuste de alertas y reducción de ruido, Flujo de trabajo de respuesta a incidentes SOC, Ciclo de vida de incidentes de seguridad, Análisis de indicadores de compromiso, Atribución de ciberamenazas.

Módulo 5: Gestión de vulnerabilidades QRadar (QVM) y Risk Manager (QRM)

Profundiza en IBM QVM: integración de escaneo de vulnerabilidades, priorización de vulnerabilidades basada en riesgos, configuraciones de gestión de riesgos y evaluación de la postura de seguridad impulsada por el riesgo.

5.1 IBM QRadar Vulnerability Manager (QVM)

• Arquitectura QVM: integración con escáneres Nessus, Qualys y Rapid7.
• Flujos de trabajo de escaneo de vulnerabilidades y programación de análisis.
• Análisis de resultados de evaluación de vulnerabilidades e integración con QRadar.
• Correlación de puntuaciones CVSS y clasificación de severidad de vulnerabilidades.
• Análisis de tendencias de vulnerabilidad y priorización de la remediación.

5.2 IBM QRadar Risk Manager (QRM)

• Arquitectura QRM: motor de cálculo de riesgos y metodología de puntuación de riesgos.
• Configuración de reglas de riesgo: criticidad del activo, probabilidad de explotación de vulnerabilidades, perfiles de riesgo del activo.
• Cálculo de la puntuación de riesgo: combinación de datos de vulnerabilidad, inteligencia de amenazas, datos de ofensa y valor del activo.
• Clasificación de activos basada en riesgos y configuración del cuadro de mandos de riesgos.
• Priorización de activos y remediación impulsada por el riesgo.

Competencias alineadas con el mercado: Evaluación y gestión de vulnerabilidades, IBM QRadar Vulnerability Manager (QVM), Correlación de puntuaciones CVE, Integración de escaneo de vulnerabilidades, Integración Qualys/Nessus, Priorización de vulnerabilidades basada en riesgos, IBM QRadar Risk Manager (QRM), Cálculo de la puntuación de riesgo, Evaluación de criticidad del activo, Remediación impulsada por el riesgo, Configuración del cuadro de mandos de riesgos, Análisis de tendencias de vulnerabilidad, Gestión empresarial de vulnerabilidades, Evaluación y gestión de riesgos empresariales.

Módulo 6: QRadar SOAR, Automatización y respuesta a incidentes

Cubre IBM QRadar SOAR (Orquestación, Automatización y Respuesta de Seguridad), orquestación de playbooks, automatización de runbooks y automatización de la respuesta a incidentes esenciales para las operaciones modernas del SOC.

6.1 Descripción general de IBM QRadar SOAR

• Orquestación de seguridad y respuesta automatizada: definición y valor.
• Arquitectura y componentes de QRadar SOAR: playbooks, incidentes, acciones de automatización y acciones de datos.
• Integración de QRadar SOAR: conexión de SIEM, EDR, inteligencia de amenazas y sistemas de gestión de tickets (ServiceNow, Jira).
• SOAR frente a la automatización tradicional: orquestación de flujos de trabajo impulsada por playbooks.

6.2 Diseño y ejecución de playbooks

• Creación de playbook: construcción de flujos de trabajo de investigación y respuesta automatizados.
• Desencadenantes del playbook: creación de ofensas, desencadenantes de reglas y activación manual.
• Acciones del playbook: enriquecer direcciones IP, bloquear IPs, crear tickets, consultar flujos de amenazas.
• Condiciones del playbook y lógica ramificada.

6.3 Automatización de la respuesta a incidentes

• Respuesta automatizada a incidentes: desde la alerta hasta el aislamiento en minutos.
• Caza proactiva de amenazas: investigación de amenazas impulsada por playbooks.
• Contención automatizada de incidentes: bloqueo de IP, aislamiento del endpoint y suspensión de cuentas.
• Flujos de trabajo de respuesta automatizada a incidentes para ransomware, phishing, ataques de fuerza bruta y amenazas internas.

6.4 Integración con sistemas externos

• Integraciones de QRadar SOAR con ServiceNow, Jira, Slack, correo electrónico y sistemas basados en webhook.
• Integración de API personalizada con plataformas de inteligencia de amenazas.
• Integración EDR para acciones automatizadas en el endpoint.
• Automatización del análisis de paquetes (archivo, URL, dominio).

Competencias alineadas con el mercado: Orquestación de seguridad, Automatización IA y respuesta (SOAR), IBM QRadar SOAR, Automatización de playbook, Diseño de runbook, Orquestación de flujo de trabajo de respuesta a incidentes automatizada, Automatización de seguridad basada en API, Integración de inteligencia de amenazas, Automatización de contención de incidentes, Análisis automatizado de amenazas, Integración ServiceNow para seguridad, Automatización de sistemas de gestión de tickets, Automatización de respuesta de endpoint, Lista negra automatizada de IPs, Automatización de respuesta al phishing, Automatización de respuesta al ransomware.

Módulo 7: Forense QRadar, Análisis de Datos y Forense de Red

Cubre el forense de incidentes de QRadar (QRIF) y las capacidades de investigación forense, la forense de red (NFI) para el análisis de captura de paquetes y las técnicas de análisis forense utilizadas en la investigación de incidentes.

7.1 IBM QRadar Forensics (QRIF)

• QRIF: recopilación y almacenamiento de datos forenses para investigaciones.
• Fuentes de datos forenses: capturas de paquetes, registros de eventos y forense de endpoints.
• Análisis forense: reconstrucción de la línea de tiempo, análisis de archivos y análisis forense de red.
• Preservación de evidencias forenses y cadena de custodia.
• Herramientas y técnicas de análisis forense dentro de QRIF.

7.2 Forense e inspección de red (NFI)

• Forense de red: análisis de captura de paquetes e inspección del tráfico de red.
• Análisis de datos de flujo: NetFlow, sFlow e IPFIX en la forense de red QRadar.
• Análisis de protocolos: inspección de HTTP, DNS, SMTP, SSH, FTP y protocolos personalizados.
• Detección de amenazas a través de la forense de red: beaconing C2, exfiltración de datos y detección de movimiento lateral.
• Identificación de patrones de tráfico sospechosos.

7.3 Analítica de comportamiento de usuarios y entidades (UEBA)

• UEBA: comprensión de la línea base del comportamiento del usuario y detección de anomalías.
• Fuentes de datos UEBA: Active Directory, registros de proxy, registros de endpoint, registros DLP, registros de autenticación, registros en la nube.
• Puntuación UEBA: puntuaciones de riesgo del usuario y puntuaciones de riesgo de la entidad.
• Detección de amenazas impulsada por UEBA: cuentas comprometidas, amenazas internas y exfiltración de datos.

Competencias alineadas con el mercado: Forense de incidentes QRadar (QRIF), Recopilación de datos forenses, Investigación y análisis forense, Forense de red, Análisis de captura de paquetes, Análisis de datos de flujo, Detección de amenazas a través de la forense de red, Analítica de comportamiento de usuarios y entidades (UEBA), Detección de anomalías de usuario, Detección de amenazas internas, Detección de cuentas comprometidas, Exfiltración de datos mediante el comportamiento del usuario, Detección de beaconing C2, Detección de movimiento lateral mediante forense de red, Forense digital y respuesta a incidentes (DFIR), Preservación de evidencias y cadena de custodia, Análisis de protocolos, Forense de registros de seguridad, Caza de amenazas mediante analítica de red.

Módulo 8: SIEM en la nube, SIEM como código, cumplimiento y operaciones SIEM

Evalúa las operaciones de IBM QRadar, escalado, informes de cumplimiento, integración de SIEM en la nube, prácticas de detección como código y gobernanza SOC esenciales para el despliegue empresarial a gran escala.

8.1 Operaciones y administración de QRadar

• Administración de QRadar: roles de usuario, permisos y políticas de seguridad.
• Auditoría de configuraciones de QRadar y registros de acceso.
• Informes programados y diseño de informes personalizados para gestión y cumplimiento.
• Tareas programadas: copia de seguridad/restauración, limpieza de bases de datos y mantenimiento.
• Configuración del servidor Syslog para el reenvío de registros SIEM.
• Actualizaciones de software y gestión de parches para los appliances QRadar.

8.2 Informes de cumplimiento y mapeo regulatorio

• Requisitos SIEM PCI DSS e informes de cumplimiento de QRadar.
• Mapeo de cumplimiento HIPAA, GDPR, SOX, NIST CSF e ISO 27001 con los informes de QRadar.
• Informes de auditoría regulatoria: plantillas de informes personalizados para auditores PCI DSS y HIPAA.
• Monitoreo de cumplimiento en tiempo real y cuadros de mandos de cumplimiento continuo.

8.3 SIEM como código e infraestructura como código

• Gestión de reglas SIEM con control de versiones: despliegue de reglas basado en Git.
• Terraform y Ansible para el aprovisionamiento y configuración de appliances QRadar.
• Pipeline CI/CD para reglas y playbooks SIEM.
• Automatización basada en la API de QRadar para el despliegue y gestión de reglas.

8.4 SIEM en la nube y seguridad en la nube híbrida

• Integración de fuentes de registros en la nube: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor.
• Estrategias SIEM nativas de la nube: SIEM para entornos SaaS (AWS, Azure, GCP, Office 365, AWS).
• Integraciones SIEM de microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs y Google Cloud Logging.
• Monitoreo de identidad y acceso en la nube: IAM, Active Directory, Entra ID.
• Protección de cargas de trabajo en la nube e integración con SIEM.

8.5 Detección de amenazas de identidad

• La identidad como nueva frontera de amenazas: detección de compromiso de cuentas.
• Detección de amenazas en Active Directory: Kerberoasting, AS-REP roasting, ataques con tickets Golden/Sid.
• Detección de evasión de autenticación multifactor (MFA).
• Monitoreo de gestión de identidades privilegiadas (PIM).

8.6 Monitoreo Zero Trust

• Monitoreo de la arquitectura Zero Trust: controles de identidad, dispositivo y red.
• Monitoreo de microsegmentación y validación del cumplimiento de políticas.
• Informes de cumplimiento Zero Trust mediante integración SIEM.

8.7 Operaciones SOC y gobernanza SIEM

• Métricas y KPIs del SOC: MTTR (Tiempo medio para responder), MTTD (Tiempo medio para detectar) para el monitoreo SIEM.
• Evaluación de la madurez del SOC y mejora del SOC impulsada por SIEM.
• Gobernanza SIEM: gestión de reglas, seguimiento de falsos positivos y mejora continua.
• Mejores prácticas operativas SIEM: monitoreo, alertas y procedimientos de escalado.

Competencias alineadas con el mercado: Administración QRadar, Operaciones y gestión SIEM, Gestión del cumplimiento SIEM, Informes de cumplimiento SIEM PCI D, Cumplimiento SIEM HIPAA y GDPR, Cumplimiento SIEM SOX e ISO 27001, Mapeo SIEM NIST CSF, Monitoreo continuo de cumplimiento, Informes personalizados de cumplimiento, SIEM como código e infraestructura como código, Terraform para SIEM, Ansible para despliegue SIEM, CI/CD para reglas SIEM, Automatización API QRadar, Integración SIEM en la nube, AWS CloudTrail SIEM, Integración Microsoft Sentinel, GCP Cloud Logging SIEM, Azure Monitor SIEM, Integración Office 365 SIEM, SIEM nativo de la nube, Monitoreo Zero Trust, Detección de amenazas IAM, Detección de amenazas de identidad, Detección de amenazas Active Directory, Detección de ataques Kerberos, Monitoreo de identidades privilegiadas, Seguridad de autenticación multifactor (MFA), Gestión de KPIs y métricas SOC, Evaluación de madurez del SOC, Mejores prácticas operativas SIEM, Gobernanza de respuesta a incidentes, Gestión del ciclo de vida de reglas SIEM, Gobernanza enterprise de SIEM.

Módulo 9: Proyecto final y escenarios de amenazas del mundo real

Un proyecto práctico integral que simula escenarios de seguridad empresarial, incluida la detección de amenazas, investigación y respuesta a incidentes utilizando IBM QRadar.

9.1 Proyecto final: Escenario de seguridad empresarial

• Configuración del entorno empresarial simulado con fuentes de registros realistas y escenarios de ataque.
• Despliegue de fuentes de registros y configuración de políticas de recopilación de registros.
• Creación de reglas de detección mapeadas a MITRE ATT&CK.
• Investigación de datos de ofensas del mundo real en QRadar y realización de análisis forense.
• Diseño y despliegue de playbooks SOAR para respuesta automatizada.
• Generación de informes de cumplimiento para PCI DSS, HIPAA y GDPR.
• Ejecución de planificación de capacidad y escalado del despliegue SIEM.

9.2 Escenarios de amenazas del mundo real

• Ataques simulados: despliegue de ransomware, amenaza interna, movimiento lateral, ataques de fuerza bruta, ataques a la cadena de suministro y phishing.
• Detección de ransomware: movimiento lateral, recopilación de datos y detección de movimiento lateral.
• Amenaza interna: intentos de exfiltración de datos y detección de anomalías.
• Detección de ataques a la cadena de suministro: detección de acceso comprometido del proveedor.
• Respuesta al phishing: bloqueo automatizado de URL y flujos de trabajo de investigación de correo electrónico.
• Caza de amenazas de día cero: detección de amenazas desconocidas utilizando técnicas de caza sin reglas.
• Detección de Amenazas Persistentes Avanzadas (APT) mediante UEBA y análisis forense.

Competencias alineadas con el mercado: Entrega del proyecto de seguridad final, Simulación SIEM empresarial, Diseño de escenarios de amenazas reales, Despliegue de reglas de detección MITRE ATT&CK, Investigación de incidentes SOC, Diseño de playbook QRadar SOAR, Simulación de respuesta al ransomware, Detección de amenaza interna, Automatización de respuesta al phishing, Detección de ataques a la cadena de suministro, Caza de amenazas de día cero, Detección de Amenazas Persistentes Avanzadas (APT), Planificación de capacidad y escalado SIEM, Informes multicumplimiento (PCI DSS, HIPAA, GDPR), Respuesta a amenazas empresariales, Investigación forense de amenazas, Enriquecimiento de inteligencia de amenazas, Contención automatizada de incidentes, Simulación de operaciones SOC, Práctica integral de ingeniería SIEM.