Contacta con nosotros

Temario del curso

Introducción y orientación del curso

  • Objetivos del curso, resultados esperados y configuración del entorno de laboratorio
  • Arquitectura de alto nivel de EDR y componentes de OpenEDR
  • Revisión del marco MITRE ATT&CK y fundamentos de la caza de amenazas

Despliegue de OpenEDR y recopilación de telemetría

  • Instalación y configuración de los agentes de OpenEDR en endpoints Windows
  • Componentes del servidor, canalizaciones de ingestión de datos y consideraciones de almacenamiento
  • Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento de datos

Comprensión de la telemetría del endpoint y modelado de eventos

  • Tipos clave de eventos del endpoint, campos y cómo se mapean a las técnicas de ATT&CK
  • Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido
  • Creación de señales de detección confiables a partir de telemetría de baja fidelidad

Mapeo de detecciones a MITRE ATT&CK

  • Traducción de la telemetría en cobertura de técnicas ATT&CK e identificación de brechas de detección
  • Uso de ATT&CK Navigator y documentación de las decisiones de mapeo
  • Priorización de técnicas para la caza basándose en el riesgo y la disponibilidad de telemetría

Metodologías de caza de amenazas

  • Caza basada en hipótesis frente a investigaciones guiadas por indicadores
  • Desarrollo de libros de jugada para la caza y flujos de trabajo de descubrimiento iterativo
  • Prácticas de caca en laboratorio: identificación de patrones de movimiento lateral, persistencia y escalada de privilegios

Ingeniería de detección y ajuste (tuning)

  • Diseño de reglas de detección utilizando correlación de eventos y lineamientos conductuales
  • Prueba y ajuste de reglas para reducir falsos positivos, y medición de la efectividad
  • Creación de firmas y contenido analítico reutilizable en todo el entorno

Respuesta a incidentes y análisis de causa raíz con OpenEDR

  • Uso de OpenEDR para la triaje de alertas, investigación de incidentes y creación de líneas de tiempo de ataques
  • Recopilación de artefactos forenses, preservación de evidencia y consideraciones sobre la cadena de custodia
  • Integración de hallazgos en los libros de jugada de IR (Respuesta a Incidentes) y flujos de trabajo de remediación

Automatización, orquestación e integración

  • Automatización de cacerías rutinarias y enriquecimiento de alertas mediante scripts y conectores
  • Integración de OpenEDR con SIEM, SOAR y plataformas de inteligencia sobre amenazas
  • Escalado de telemetría, retención de datos y consideraciones operativas para despliegues empresariales

Casos de uso avanzados y colaboración con equipos ofensivos (Red Team)

  • Simulación de comportamiento adversario para validación: ejercicios de equipo morado y emulación basada en ATT&CK
  • Estudios de caso: cacerías del mundo real y análisis posteriores a incidentes
  • Diseño de ciclos de mejora continua para la cobertura de detección

Laboratorio final y presentaciones

  • Laboratorio final guiado: cacería completa desde la hipótesis hasta el aislamiento y análisis de causa raíz utilizando escenarios del laboratorio
  • Presentaciones de los participantes sobre sus hallazgos y mitigaciones recomendadas
  • Cierre del curso, distribución de materiales y próximos pasos recomendados

Requerimientos

  • Comprensión de los fundamentos de la seguridad en endpoints
  • Experiencia con análisis de registros y administración básica de Linux/Windows
  • Familiaridad con técnicas de ataque comunes y conceptos de respuesta a incidentes

Público objetivo

  • Analistas del Centro de Operaciones de Seguridad (SOC)
  • Cazadores de amenazas y respondedores de incidentes
  • Ingenieros de seguridad responsables de la ingeniería de detección y telemetría
 21 Horas

Número de participantes


Precio por participante

Testimonios (2)

Próximos cursos

Categorías Relacionadas