IBM QRadar SIEM: De principiante a avanzado

Módulo 1: Fundamentos del SIEM, arquitectura y visión general del ecosistema

Establece una comprensión integral de los fundamentos del SIEM (Gestión de Información y Eventos de Seguridad), la arquitectura de la plataforma IBM QRadar, su integración con el ecosistema y el panorama más amplio de la analítica de seguridad, incluidas las plataformas XDR, SOAR e inteligencia de amenazas.

1.1 Fundamentos de la analítica de seguridad y el SIEM

• El panorama del SIEM: evolución desde la gestión de registros hasta la analítica de seguridad.
• SIEM frente a SOAR frente a XDR: comprensión de la convergencia de herramientas de seguridad.
• Componentes principales del SIEM: recopilación de registros, normalización, correlación y alertas.
• Flujo de trabajo del analista del SOC: detección, clasificación triaje, investigación y respuesta.
• Visión general del marco MITRE ATT&CK y su papel en el mapeo del SIEM.

1.2 Arquitectura de la plataforma IBM QRadar

• Arquitectura de QRadar on-premises: Procesador de Eventos, Administrador de Registros, Consola y Procesador de Flujos.
• QRadar en la nube: arquitectura multitenant, modelos de ingestión y escalabilidad.
• Despliegue de QRadar en la nube híbrida: combinación de capacidades on-premises y en la nube.
• Opciones de despliegue: Appliances virtuales, appliances de hardware y SaaS.
• Alta disponibilidad (HA) y configuraciones activo-pasivo frente a activo-activo.

1.3 Componentes de QRadar y navegación en la consola

• Consola IBM QRadar: descripción general de la interfaz, espacios de trabajo, cuadros de mando y navegación.
• Complementos complementarios, Framework de aplicaciones QRadar e IBM App Exchange.
• Explorador de contexto, Analizador de riesgos e integración de inteligencia de amenazas.
• Modelo de datos: hosts, dispositivos, protocolos y categorías en QRadar.

1.4 El ecosistema de QRadar

• IBM QRadar SOAR: integración de orquestación de seguridad y respuesta automatizada.
• IBM QRadar EDR: integración de detección y respuesta en endpoints.
• Integración de inteligencia de amenazas (feeds de VTI, feeds de amenazas personalizados).
• Integración con herramientas SIEM: Splunk, Elastic SIEM, IBM QRadar (gestión de fuentes de registros).

1.5 Integración con la suite de IBM Security

• Integración de IBM QRadar SOAR para automatización y orquestación de playbooks.
• Integración de IBM QRadar EDR para telemetría del endpoint.
• Integración de IBM QRadar VTI (Inteligencia de Vulnerabilidades y Amenazas).
• Aplicaciones y complementos de IBM QRadar App Exchange.
• Integración de IBM QRadar Network Integration Platform (NFI).

Competencias alineadas con el mercado: Fundamentos del SIEM, Gestión de Información y Eventos de Seguridad, Arquitectura de la plataforma IBM QRadar, Despliegue de QRadar On-Premises, Arquitectura de QRadar en la nube, Seguridad en la nube híbrida, Operaciones del SOC y SIEM, Analítica de seguridad, Integración XDR, Integración de plataforma SOAR, Plataforma de Inteligencia de Amenazas (TIP), Mapeo del marco MITRE ATT&CK, Convergencia de herramientas de seguridad, Arquitectura de seguridad empresarial, Gestión y analítica de registros, Escalabilidad y planificación de capacidad del SIEM, Configuración de Alta Disponibilidad (HA), Navegación y configuración de la consola de QRadar.

Módulo 2: Gestión de fuentes de registros, ingestión de datos y normalización

Análisis profundo de la configuración de fuentes de registros, estrategias de recopilación de datos, normalización de registros y protocolos esenciales para establecer visibilidad de seguridad empresarial en entornos locales, en la nube e híbridos.

2.1 Configuración de fuentes de registros y protocolos

• Métodos de recopilación de registros: Syslog (RSYSLOG), Conexiones de red (CEF), Formato Común de Eventos (CEF) y Formato Común de Eventos de QRadar (CEF).
• Protocolo CEF: encabezado, nombres de extensión, extensiones personalizadas y mapeo de CEF a CEF.
• Recopilación de registros basada en red: NetFlow v5/v9, IPFIX (sFlow).
• Recopilación basada en agentes (agente IBM QRadar) para visibilidad del endpoint.
• Configuración de fuentes de registros de Active Directory, DNS, DHCP, HTTP, SMTP y bases de datos.
• Mejores prácticas de despliegue de fuentes de registros: fuentes de alto rendimiento, compresión y cifrado.

2.2 Ingestión de datos y planificación de capacidad

• Comprensión del volumen diario de archivos de registro (GLP) y la capacidad diaria de ingestión de datos de eventos.
• Políticas de retención de datos y gestión de retención impulsada por cumplimiento normativo.
• Priorización de fuentes de registros y filtrado de eventos para controlar costos.
• Planificación de la capacidad para despliegues SIEM a escala empresarial.
• Cálculos de dimensionamiento y optimización del rendimiento para entornos a gran escala.

2.3 Normalización y clasificación de registros

• Motor de normalización de QRadar: mapeo de formatos nativos de registro a protocolos QRadar.
• Gestor de propiedades de fuentes de registros y mapeo de protocolos.
• Creación de fuentes de registros personalizadas para registros propietarios.
• Mapeo de eventos, flujos y fuentes de registros.
• Reglas de normalización y resolución de problemas de análisis (parsing).

Competencias alineadas con el mercado: Gestión de fuentes de registros, Configuración de Syslog, Protocolo CEF, Conexiones de red (CEF), Despliegue del agente QRadar, Recopilación de registros de Active Directory, Recopilación de registros de DNS y DHCP, Recopilación de registros HTTP/S y SMTP, Integración de recopilación de registros de bases de datos (CEF), Recopilación de NetFlow e IPFIX, Despliegue SIEM sin agentes, Estrategia de recopilación de registros empresariales, Normalización de registros, Mapeo de protocolos, Configuración de fuentes de registros personalizadas, Análisis y clasificación de eventos, Estimación de volumen diario de registros (DLV), Planificación de capacidad del SIEM, Ajuste de rendimiento para SIEM a gran escala, Retención de datos impulsada por cumplimiento normativo.

Módulo 3: Detección, correlación y desarrollo de reglas

El núcleo de las operaciones del SIEM: crear, probar y gestionar reglas de detección desde reglas de eventos simples hasta reglas complejas de correlación compuesta que identifican ataques, anomalías y violaciones de políticas.

El núcleo de las operaciones del SIEM: crear, probar y gestionar reglas de detección desde reglas de eventos simples hasta reglas complejas de correlación compuesta que identifican ataques, anomalías y violaciones de políticas.

3.1 Reglas de eventos y reglas de agregación

• Reglas de eventos: filtrado, extracción de campos y creación de atributos personalizados a partir de eventos en bruto.
• Reglas de agregación: conteo y agrupación de eventos por IP, protocolo, usuario, etc.
• Acciones de reglas de agregación: notificaciones, umbrales de contador y propiedades personalizadas.
• Activación de reglas, ordenamiento de reglas y lógica de ejecución de reglas.

3.2 Reglas de correlación compuesta

• Creación de reglas de correlación compuesta: unión de datos de múltiples fuentes.
• Tipos de reglas: evento, agregación y correlación compuesta.
• Componentes de la regla compuesta: disparadores (triggers), agregaciones, correlaciones y acciones.
• Lógica de correlación: correlación temporal, correlación por umbral y correlación contextual.
• Propiedades de reglas de predicción y correlación: niveles de confianza, severidad y escalado.
• Redacción de reglas de correlación efectivas: evitar la fatiga de alertas y garantizar la calidad de las señales.

3.3 Reglas de detección para técnicas MITRE ATT&CK

• Reglas mapeadas a técnicas MITRE ATT&CK: Acceso Inicial, Ejecución, Persistencia, Escalada de privilegios, Evasión de defensa, Acceso a credenciales, Descubrimiento, Movimiento lateral, Recopilación, Comando y control (C2), Exfiltración.
• Detecciones personalizadas para categorías específicas de ataques:
• Reglas para: Fuerza bruta, Escaneo de puertos, Comunicación de malware, Amenaza interna, Movimiento lateral, Escalada de privilegios, Exfiltración de datos, Comando y control (C2).
• Reglas para: Fallas de autenticación por fuerza bruta, Escaneo de puertos, Inyección SQL, Túneles DNS, Escalada de privilegios, Movimiento lateral mediante Pass-the-Hash.

3.4 Caza de amenazas con reglas de QRadar

• Metodología de caza proactiva de amenazas utilizando QRadar.
• Creación de reglas para la detección de amenazas desconocidas/zero-day.
• Reglas de análisis de comportamiento y detección de desviaciones de la línea base.

Competencias alineadas con el mercado: Desarrollo de reglas de eventos, Creación de reglas de agregación, Desarrollo de reglas de correlación compuesta, Diseño de reglas de correlación personalizadas, Mapeo MITRE ATT&CK, Ingeniería de detección de amenazas, Mapeo de técnicas de ataque (Acceso Inicial, Ejecución, Persistencia, Escalada de privilegios, Evasión de defensa, Acceso a credenciales, Descubrimiento, Movimiento lateral, Recopilación, Comando y control, Exfiltración), Detección de comunicación de malware, Detección de inyección SQL, Detección de túneles DNS, Regla de escalada de privilegios, Detección de fuerza bruta, Detección de movimiento lateral, Detección de amenaza interna, Detección de exfiltración de datos, Detección de comando y control (C2), Gestión de la fatiga de alertas, Ajuste y optimización de reglas, Ingeniería de reglas de detección del SOC, Caza proactiva de amenazas.

Módulo 4: Motor de ofensas de QRadar e investigación de incidentes

Cubre en profundidad el motor de ofensas de QRadar: creación de ofensas, flujos de trabajo de investigación, análisis contextual, gestión de falsos positivos, triaje y manejo de incidentes.

4.1 El motor de ofensas

• Creación, agregación y gestión del ciclo de vida de las ofensas.
• Propiedades de la ofensa: severidad, confianza, estado y atribución.
• Lógica de agregación de ofensas: agrupación de eventos relacionados en incidentes significativos.
• Escalado, asignación y gestión del flujo de trabajo de las ofensas.

4.2 Investigación de incidentes y análisis contextual

• Explorador de contexto para un análisis profundo de eventos y reconstrucción de la línea temporal.
• Análisis de la línea temporal de eventos: reconstrucción cronológica de incidentes de seguridad.
• Análisis de direcciones IP y enriquecimiento con reputación (Inteligencia de amenazas).
• Contexto de usuario y activos: actividad del usuario, inventario de hosts y análisis de riesgo de activos.
• Eventos correlacionados en las vistas detalladas de ofensa y eventos.
• Correlación de eventos, agrupamiento de eventos y recopilación de evidencias.

4.3 Integración de inteligencia de amenazas

• Integración de feeds de Inteligencia de Vulnerabilidades y Amenazas (VTI).
• Enriquecimiento automatizado de inteligencia de amenazas con IBM QRadar VTI.
• Cargas de feeds de amenazas personalizados y perfiles de actores de amenazas.
• Contexto de inteligencia de amenazas en ofensas y análisis de riesgo.

4.4 Gestión de falsos positivos y ajuste de reglas

• Identificación y clasificación de falsos positivos en el motor de ofensas.
• Reglas de supresión de falsos positivos y flujos de trabajo de supresión.
• Ajuste de reglas: reducción de ruido mientras se mantiene la sensibilidad de detección.
• Documentación de incidentes de falsos positivos para la mejora continua.

Competencias alineadas con el mercado: Gestión del motor de ofensas QRadar, Investigación y análisis de incidentes, Investigación de amenazas, Uso del explorador de contexto, Análisis de la línea temporal de eventos, Análisis de reputación IP, Análisis de riesgo de activos, Enriquecimiento de inteligencia de amenazas, Integración de feeds VTI, Gestión de falsos positivos, Ajuste de alertas y reducción de ruido, Flujo de trabajo de respuesta a incidentes del SOC, Ciclo de vida de incidentes de seguridad, Análisis de indicadores de compromiso, Atribución de ciberamenazas.

Módulo 5: Gestión de vulnerabilidades QRadar (QVM) y Risk Manager (QRM)

Análisis profundo de IBM QVM: integración de escaneo de vulnerabilidades, priorización de vulnerabilidades basada en riesgos, configuraciones de gestión de riesgos y evaluación de la postura de seguridad impulsada por riesgos.

5.1 IBM QRadar Vulnerability Manager (QVM)

• Arquitectura QVM: integración con escáneres Nessus, Qualys y Rapid7.
• Flujos de trabajo de escaneo de vulnerabilidades y programación de escaneos.
• Análisis de resultados de evaluación de vulnerabilidades e integración con QRadar.
• Correlación de puntuaciones CVSS y clasificación de severidad de vulnerabilidades.
• Análisis de tendencias de vulnerabilidades y priorización de remediación.

5.2 IBM QRadar Risk Manager (QRM)

• Arquitectura QRM: motor de cálculo de riesgos y metodología de puntuación de riesgos.
• Configuración de reglas de riesgo: criticidad del activo, probabilidad de explotación de vulnerabilidades, perfiles de riesgo de activos.
• Cálculo del puntaje de riesgo: combinación de datos de vulnerabilidad, inteligencia de amenazas, datos de ofensa y valor del activo.
• Clasificación de activos basada en riesgos y configuración de cuadros de mando de riesgos.
• Priorización de activos impulsada por riesgos y priorización de remediación impulsada por riesgos.

Competencias alineadas con el mercado: Evaluación y gestión de vulnerabilidades, IBM QRadar Vulnerability Manager (QVM), Correlación de puntuaciones CVE, Integración de escaneo de vulnerabilidades, Integración Qualys/Nessus, Priorización de vulnerabilidades basada en riesgos, IBM QRadar Risk Manager (QRM), Cálculo de puntaje de riesgo, Evaluación de criticidad del activo, Remediación impulsada por riesgos, Configuración de cuadros de mando de riesgos, Análisis de tendencias de vulnerabilidades, Gestión de vulnerabilidades empresarial, Evaluación y gestión de riesgos empresariales.

Módulo 6: QRadar SOAR, automatización y respuesta a incidentes

Cubre IBM QRadar SOAR (Orquestación, Automatización y Respuesta de Seguridad), orquestación de playbooks, automatización de manuales de procedimientos (runbooks) y automatización de respuesta a incidentes esencial para las operaciones modernas del SOC.

6.1 Visión general de IBM QRadar SOAR

• Orquestación de seguridad y respuesta automatizada: definición y valor.
• Arquitectura y componentes de QRadar SOAR: playbooks, incidentes, acciones de automatización y acciones de datos.
• Integración de QRadar SOAR: conexión de SIEM, EDR, inteligencia de amenazas y sistemas de gestión de tickets (ServiceNow, Jira).
• SOAR frente a la automatización tradicional: orquestación de flujos de trabajo basada en playbooks.

6.2 Diseño y ejecución de playbooks

• Creación de playbooks: construcción de flujos de trabajo de investigación y respuesta automatizados.
• Disparadores (triggers) de playbooks: creación de ofensas, disparadores de reglas y activación manual.
• Acciones de playbook: enriquecimiento de direcciones IP, bloqueo de IPs, creación de tickets, consulta de feeds de amenazas.
• Condiciones de playbook y lógica de ramificación.

6.3 Automatización de la respuesta a incidentes

• Respuesta automatizada a incidentes: desde la alerta hasta la contención en minutos.
• Caza de amenazas automatizada: investigación de amenazas impulsada por playbooks.
• Contención automatizada de incidentes: bloqueo de IPs, aislamiento del endpoint y suspensión de cuentas.
• Flujos de trabajo de respuesta automatizada a incidentes para ransomware, phishing, ataques de fuerza bruta y amenazas internas.

6.4 Integración con sistemas externos

• Integraciones de QRadar SOAR con ServiceNow, Jira, Slack, correo electrónico y sistemas basados en webhook.
• Integración de API personalizada con plataformas de inteligencia de amenazas.
• Integración EDR para acciones automatizadas del endpoint.
• Automatización del análisis de payloads (archivos, URL, dominios).

Competencias alineadas con el mercado: Orquestación de seguridad, Automatización e inteligencia artificial y respuesta (SOAR), IBM QRadar SOAR, Automatización de playbooks, Diseño de runbooks, Orquestación de flujos de trabajo de respuesta automatizada a incidentes, Automatización de seguridad impulsada por API, Integración de inteligencia de amenazas, Automatización de contención de incidentes, Análisis de amenazas automatizado, Integración con ServiceNow para seguridad, Automatización de sistemas de gestión de tickets, Automatización de respuesta del endpoint, Listado negro automático de IPs, Automatización de respuesta a phishing, Automatización de respuesta a ransomware.

Módulo 7: Forense de QRadar, forense de red y análisis de datos

Cubre QRadar Incident Forensics (QRIF) y capacidades de investigación forense, forense de red (NFI) para el análisis de captura de paquetes y técnicas de análisis forense utilizadas en la investigación de incidentes.

7.1 IBM QRadar Forensics (QRIF)

• QRIF: recopilación y almacenamiento de datos forenses para investigaciones.
• Fuentes de datos forenses: capturas de paquetes, registros de eventos y forense del endpoint.
• Análisis forense: reconstrucción de la línea temporal, análisis de archivos y análisis forense de red.
• Preservación de evidencias forenses y cadena de custodia.
• Herramientas y técnicas de análisis forense dentro de QRIF.

7.2 Forense e inspección de red (NFI)

• Forense de red: análisis de captura de paquetes e inspección del tráfico de red.
• Análisis de datos de flujo: NetFlow, sFlow e IPFIX en la forense de red QRadar.
• Análisis de protocolos: HTTP, DNS, SMTP, SSH, FTP e inspección de protocolos personalizados.
• Detección de amenazas a través de la forense de red: balizamiento de C2, exfiltración de datos y detección de movimiento lateral.
• Identificación de patrones de tráfico sospechosos.

7.3 Analítica de comportamiento de usuarios e entidades (UEBA)

• UEBA: comprensión de la línea base del comportamiento del usuario y detección de anomalías.
• Fuentes de datos UEBA: Active Directory, registros de proxy, registros del endpoint, registros DLP, registros de autenticación, registros en la nube.
• Puntuación UEBA: puntuaciones de riesgo de usuario y puntuaciones de riesgo de entidad.
• Detección de amenazas impulsada por UEBA: cuentas comprometidas, amenazas internas y exfiltración de datos.

Competencias alineadas con el mercado: QRadar Incident Forensics (QRIF), Recopilación de datos forenses, Investigación y análisis forense, Forense de red, Análisis de captura de paquetes, Análisis de datos de flujo, Detección de amenazas a través de la forense de red, Analítica de comportamiento de usuarios e entidades (UEBA), Detección de anomalías de usuario, Detección de amenazas internas, Detección de cuentas comprometidas, Exfiltración de datos mediante el comportamiento del usuario, Detección de balizamiento C2, Movimiento lateral mediante forense de red, Forense digital y respuesta a incidentes (DFIR), Preservación de evidencias y cadena de custodia, Análisis de protocolos, Forense de registros de seguridad, Caza de amenazas mediante analítica de red.

Módulo 8: SIEM en la nube, SIEM como código, cumplimiento y operaciones del SIEM

Evalúa las operaciones de IBM QRadar, escalado, informes de cumplimiento, integración de SIEM en la nube, prácticas de detección como código y gobernanza del SOC esenciales para el despliegue empresarial de SIEM.

8.1 Operaciones y administración de QRadar

• Administración de QRadar: roles de usuario, permisos y políticas de seguridad.
• Auditoría de configuraciones de QRadar y registros de acceso.
• Informes programados y diseño de informes personalizados para la gestión y el cumplimiento normativo.
• Tareas programadas: copia de seguridad/restauración, limpieza de bases de datos y mantenimiento.
• Configuración del servidor Syslog para el reenvío de registros SIEM.
• Actualizaciones de software y gestión de parches para appliances QRadar.

8.2 Informes de cumplimiento y mapeo regulatorio

• Requisitos del SIEM PCI DSS e informes de cumplimiento de QRadar.
• Mapeo de cumplimiento con HIPAA, GDPR, SOX, NIST CSF e ISO 27001 con informes de QRadar.
• Informes de auditoría regulatoria: plantillas de informes personalizados para auditores de PCI DSS e HIPAA.
• Monitoreo de cumplimiento en tiempo real y cuadros de mando de cumplimiento continuo.

8.3 SIEM como código e infraestructura como código

• Gestión de reglas SIEM controlada por versión: despliegue de reglas basado en Git.
• Terraform y Ansible para el aprovisionamiento y configuración de appliances QRadar.
• Pipeline CI/CD para reglas SIEM y playbooks.
• Automatización impulsada por API de QRadar para la implementación y gestión de reglas.

8.4 SIEM en la nube y seguridad en la nube híbrida

• Integración de fuentes de registros en la nube: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor.
• Estrategias de SIEM nativas de la nube: SIEM para entornos SaaS (AWS, Azure, GCP, Office 365, AWS).
• Integraciones SIEM de Microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs y Google Cloud Logging.
• Monitoreo de identidad y acceso en la nube: IAM, Active Directory, Entra ID.
• Protección de cargas de trabajo en la nube e integración con SIEM.

8.5 Detección de amenazas a la identidad

• La identidad como nueva frontera de amenazas: detección de compromiso de cuentas.
• Detección de amenazas en Active Directory: Kerberoasting, AS-REP roasting, ataques con tickets dorados/sid.
• Detección de evasión de autenticación multifactor (MFA).
• Monitoreo de Gestión de identidades privilegiadas (PIM).

8.6 Monitoreo Zero Trust

• Monitoreo de la arquitectura Zero Trust: controles de identidad, dispositivo y red.
• Monitoreo de microsegmentación y validación del cumplimiento de políticas.
• Informes de cumplimiento de Zero Trust mediante integración SIEM.

8.7 Operaciones del SOC y gobernanza del SIEM

• Métricas e indicadores clave de rendimiento (KPI) del SOC: MTTR (Tiempo medio de respuesta), MTTD para monitoreo del SIEM.
• Evaluación de la madurez del SOC y mejora del SOC impulsada por SIEM.
• Gobernanza del SIEM: gestión de reglas, seguimiento de falsos positivos y mejora continua.
• Mejores prácticas operativas del SIEM: monitoreo, alertas y procedimientos de escalado.

Competencias alineadas con el mercado: Administración de QRadar, Operaciones y gestión del SIEM, Gestión del cumplimiento del SIEM, Informes de cumplimiento SIEM PCI D, Cumplimiento SIEM HIPAA y GDPR, Cumplimiento SIEM SOX e ISO 27001, Mapeo SIEM NIST CSF, Monitoreo continuo de cumplimiento, Informes personalizados de cumplimiento, SIEM como código e infraestructura como código, Terraform para SIEM, Ansible para despliegue de SIEM, CI/CD para reglas SIEM, Automatización de API QRadar, Integración de SIEM en la nube, AWS CloudTrail SIEM, Integración Microsoft Sentinel, Google Cloud Logging SIEM GCP, Azure Monitor SIEM, Integración SIEM Office 365, SIEM nativo de la nube, Monitoreo Zero Trust, Detección de amenazas IAM, Detección de amenazas a la identidad, Detección de amenazas en Active Directory, Detección de ataques Kerberos, Monitoreo de identidad privilegiada, Seguridad de Autenticación Multifactor (MFA), Gestión de KPI y métricas del SOC, Evaluación de madurez del SOC, Mejores prácticas operativas del SIEM, Gobernanza de respuesta a incidentes, Gestión del ciclo de vida de reglas SIEM, Gobernanza empresarial del SIEM.

Módulo 9: Proyecto integrador y escenarios reales de amenazas

Un proyecto integrador práctico exhaustivo que simula escenarios de seguridad empresarial, incluida la detección de amenazas, investigación y respuesta a incidentes utilizando IBM QRadar.

9.1 Proyecto integrador: Escenario de seguridad empresarial

• Configuración de un entorno empresarial simulado con fuentes de registros realistas y escenarios de ataque.
• Despliegue de fuentes de registros y configuración de políticas de recopilación de registros.
• Construcción de reglas de detección mapeadas a MITRE ATT&CK.
• Investigación de datos de ofensa del mundo real en QRadar y realización de análisis forense.
• Diseño e implementación de playbooks SOAR para respuesta automatizada.
• Generación de informes de cumplimiento para PCI DSS, HIPAA y GDPR.
• Realización de planificación de capacidad y escalado del despliegue SIEM.

9.2 Escenarios reales de amenazas

• Ataques simulados: implementación de ransomware, amenaza interna, movimiento lateral, ataques de fuerza bruta, ataques a la cadena de suministro y phishing.
• Detección de ransomware: movimiento lateral, agrupamiento de datos y detección de movimiento lateral.
• Amenaza interna: intentos de exfiltración de datos y detección de anomalías.
• Detección de ataque a la cadena de suministro: detección de acceso comprometido del proveedor.
• Respuesta al phishing: bloqueo automatizado de URL y flujos de trabajo de investigación de correo electrónico.
• Caza de amenazas zero-day: detección de amenazas desconocidas utilizando técnicas de caza sin reglas.
• Detección de Amenazas Persistentes Avanzadas (APT) mediante UEBA y análisis forense.

Competencias alineadas con el mercado: Entrega del proyecto de seguridad integrador, Simulación empresarial SIEM, Diseño de escenarios reales de amenazas, Implementación de reglas de detección MITRE ATT&CK, Investigación de incidentes del SOC, Diseño de playbooks QRadar SOAR, Simulación de respuesta a ransomware, Detección de amenaza interna, Automatización de respuesta al phishing, Detección de ataque a la cadena de suministro, Caza de amenazas zero-day, Detección de Amenazas Persistentes Avanzadas (APT), Planificación de capacidad y escalado del SIEM, Informes multicumplimiento (PCI DSS, HIPAA, GDPR), Respuesta empresarial a amenazas, Investigación forense de amenazas, Enriquecimiento de inteligencia de amenazas, Contención automatizada de incidentes, Simulación de operaciones del SOC, Práctica de ingeniería SIEM a gran escala.