Contacta con nosotros

Temario del curso

Introducción y orientación del curso

  • Objetivos del curso, resultados esperados y configuración del entorno de laboratorio.
  • Arquitectura general de EDR y componentes de OpenEDR.
  • Revisión del marco de trabajo MITRE ATT&CK y fundamentos de la caza de amenazas.

Despliegue de OpenEDR y recopilación de telemetría

  • Instalación y configuración de los agentes de OpenEDR en extremos Windows.
  • Componentes del servidor, tuberías de ingestión de datos y consideraciones sobre el almacenamiento.
  • Configuración de fuentes de telemetría, normalización de eventos y enriquecimiento.

Comprensión de la telemetría del extremo y modelado de eventos

  • Tipos clave de eventos del extremo, campos y su relación con las técnicas de ATT&CK.
  • Filtrado de eventos, estrategias de correlación y técnicas de reducción de ruido.
  • Creación de señales de detección confiables a partir de telemetría de baja fidelidad.

Mapeo de detecciones a MITRE ATT&CK

  • Traducción de la telemetría a cobertura de técnicas ATT&CK y brechas de detección.
  • Uso de ATT&CK Navigator y documentación de las decisiones de mapeo.
  • Priorización de técnicas para la caza basada en el riesgo y disponibilidad de telemetría.

Metodologías de caza de amenazas

  • Caza basada en hipótesis versus investigaciones guiadas por indicadores.
  • Desarrollo de playbooks de caza y flujos de trabajo de descubrimiento iterativo.
  • Laboratorios prácticos de caza: identificación de patrones de movimiento lateral, persistencia y escalada de privilegios.

Ingeniería de detección y ajuste

  • Diseño de reglas de detección utilizando correlación de eventos y líneas base conductuales.
  • Prueba de reglas, ajuste para reducir falsos positivos y medición de la efectividad.
  • Creación de firmas y contenido analítico para su reutilización en todo el entorno.

Respuesta ante incidentes y análisis de causa raíz con OpenEDR

  • Uso de OpenEDR para priorizar alertas, investigar incidentes y crear líneas temporales de los ataques.
  • Recopilación de artefactos forenses, preservación de evidencias y consideraciones sobre la cadena de custodia.
  • Integración de los hallazgos en playbooks de respuesta ante incidentes (IR) y flujos de trabajo de remediación.

Automatización, orquestación e integración

  • Automatización de caza rutinaria y enriquecimiento de alertas utilizando scripts y conectores.
  • Integración de OpenEDR con plataformas SIEM, SOAR e inteligencia de amenazas.
  • Escalamiento de telemetría, retención y consideraciones operativas para despliegues empresariales.

Casos de uso avanzados y colaboración con equipos de ataque (Red Team)

  • Simulación de comportamiento del adversario para validación: ejercicios de equipo púrpura y emulación basada en ATT&CK.
  • Estudios de caso: cacerías reales y análisis posteriores a incidentes.
  • Diseño de ciclos de mejora continua para la cobertura de detección.

Laboratorio integrador y presentaciones

  • Integración guiada: cacería completa desde la hipótesis hasta el contención y el análisis de causa raíz utilizando escenarios de laboratorio.
  • Presentaciones de los participantes sobre los hallazgos y mitigaciones recomendadas.
  • Clausura del curso, distribución de materiales y próximos pasos recomendados.

Requerimientos

  • Comprensión de los fundamentos de la seguridad en el extremo (endpoint).
  • Experiencia con análisis de registros y administración básica de Linux/Windows.
  • Familiaridad con técnicas de ataque comunes y conceptos de respuesta ante incidentes.

Audiencia objetivo

  • Analistas del centro de operaciones de seguridad (SOC).
  • Cazadores de amenazas y respondientes ante incidentes.
  • Ingenieros de seguridad responsables de la ingeniería de detección y telemetría.
 21 Horas

Número de participantes


Precio por participante

Testimonios (2)

Próximos cursos

Categorías Relacionadas