Temario del curso
Módulo 1: Fundamentos, Arquitectura y Panorama General del Ecosistema de SIEM
Establece una comprensión integral de los fundamentos del SIEM (Gestión de Información y Eventos de Seguridad), la arquitectura de la plataforma IBM QRadar, su integración en el ecosistema y el panorama más amplio de los análisis de seguridad, incluidas las plataformas XDR, SOAR e inteligencia contra amenazas.
1.1 Fundamentos de los Análisis de Seguridad y SIEM
- El panorama del SIEM: evolución desde la gestión de registros hasta los análisis de seguridad
- SIEM frente a SOAR frente a XDR: comprensión de la convergencia de herramientas de seguridad
- Componentes principales del SIEM: recopilación de registros, normalización, correlación y alertas
- Flujo de trabajo del analista del SOC: detección, triaje, investigación y respuesta
- Panorama general del marco MITRE ATT&CK y su papel en el mapeo del SIEM
1.2 Arquitectura de la Plataforma IBM QRadar
- Arquitectura de QRadar on-premises: Procesador de Eventos, Administrador de Registros, Consola y Procesador de Flujos
- QRadar en la nube: arquitectura multiinquilino, modelos de ingestión y escalabilidad
- Despliegue híbrido de QRadar Cloud: combinación de capacidades locales y en la nube
- Opciones de despliegue: Appliances Virtuales, Appliances Hardware y SaaS
- Alta Disponibilidad (HA) y configuraciones Activo-Pasivo frente a Activo-Activo
1.3 Componentes de QRadar y Navegación por la Consola
- Consola IBM QRadar: panorama de la interfaz, espacios de trabajo, tableros y navegación
- Complementos complementarios, Marco de Apps QRadar e IBM App Exchange
- Explorador de Contexto, Analizador de Riesgos e integración de inteligencia contra amenazas
- Modelo de datos: Hosts, Dispositivos, Protocolos y Categorías en QRadar
1.4 El Ecosistema QRadar
- IBM QRadar SOAR: integración de orquestación de seguridad y respuesta automatizada
- IBM QRadar EDR: integración de detección y respuesta en el extremo
- Integración de inteligencia contra amenazas (alimentaciones VTI, alimentaciones personalizadas)
- Integración con herramientas SIEM: Splunk, Elastic SIEM, IBM QRadar (gestión de fuentes de registros)
1.5 Integración con la Suite de Seguridad IBM
- Integración IBM QRadar SOAR para automatización y orquestación de playbooks
- Integración IBM QRadar EDR para telemetría del extremo
- Integración IBM QRadar VTI (Inteligencia de Vulnerabilidades y Amenazas)
- Apps y complementos de IBM QRadar App Exchange
- Integración de la Plataforma de Integración de Red de IBM QRadar (NFI)
Competencias Alineadas con el Mercado: Fundamentos de SIEM, Gestión de Información y Eventos de Seguridad, Arquitectura de la Plataforma IBM QRadar, Despliegue de QRadar en Local, Arquitectura de QRadar en la Nube, Seguridad Híbrida en la Nube, Operaciones del SOC y SIEM, Análisis de Seguridad, Integración XDR, Integración de Plataforma SOAR, Plataforma de Inteligencia contra Amenazas (TIP), Mapeo del Marco MITRE ATT&CK, Convergencia de Herramientas de Seguridad, Arquitectura de Seguridad Empresarial, Gestión de Registros y Análisis, Escalabilidad y Planificación de Capacidad del SIEM, Configuración de Alta Disponibilidad (HA), Navegación y Configuración de la Consola QRadar
Módulo 2: Gestión de Fuentes de Registro, Ingestión de Datos y Normalización
Profundiza en la configuración de fuentes de registros, estrategias de recopilación de datos, normalización de registros y protocolos esenciales para establecer visibilidad de seguridad empresarial en entornos locales, híbridos y en la nube.
2.1 Configuración de Fuentes de Registro y Protocolos
- Métodos de recopilación de registros: Syslog (RSYSLOG), Conexiones de Red (CEF), Formato de Evento Común (CEF) y Formato de Evento Común de QRadar (CEF)
- Protocolo CEF: encabezado, nombres de extensión, extensiones personalizadas y mapeo CEF a CEF
- Recopilación de registros basada en red: NetFlow v5/v9, IPFIX (sFlow)
- Recopilación basada en agentes (Agente IBM QRadar) para visibilidad del extremo
- Configuración de fuentes de registros de Active Directory, DNS, DHCP, HTTP, SMTP y bases de datos
- Mejores prácticas para el despliegue de fuentes de registros: fuentes de alto rendimiento, compresión y cifrado
2.2 Ingestión de Datos y Planificación de Capacidad
- Comprensión del volumen diario de archivos de registro (GLP) y la capacidad de ingestión de datos de eventos diarios
- Políticas de retención de datos y gestión de retención impulsada por cumplimiento normativo
- Priorización de fuentes de registros y filtrado de eventos para controlar costos
- Planificación de capacidad para despliegues SIEM a escala empresarial
- Cálculos de dimensionamiento y optimización del rendimiento para entornos a gran escala
2.3 Normalización y Clasificación de Registros
- Motor de Normalización QRadar: mapeo de formatos nativos de registros a protocolos QRadar
- Gestor de Propiedades de Fuente de Registro y mapeo de protocolos
- Creación de fuentes de registros personalizadas para registros propietarios
- Mapeo de eventos, flujos y fuentes de registros
- Reglas de normalización y resolución de problemas de análisis sintáctico
Competencias Alineadas con el Mercado: Gestión de Fuentes de Registro, Configuración Syslog, Protocolo CEF, Conexiones de Red (CEF), Despliegue del Agente QRadar, Recopilación de Registros de Active Directory, Recopilación de Registros DNS y DHCP, Recopilación de Registros HTTP/S y SMTP, Integración de Recopilación de Registros de Bases de Datos (CEF), Recopilación NetFlow e IPFIX, Despliegue SIEM sin Agentes, Estrategia Empresarial de Recopilación de Registros, Normalización de Registros, Mapeo de Protocolos, Configuración de Fuentes de Registro Personalizadas, Análisis y Clasificación de Eventos, Estimación de Volumen Diario de Registros (DLV), Planificación de Capacidad SIEM, Ajuste de Rendimiento para SIEM a Gran Escala, Retención de Datos Impulsada por Cumplimiento
Módulo 3: Detección, Correlación y Desarrollo de Reglas
El núcleo de las operaciones del SIEM: construir, probar y gestionar reglas de detección, desde reglas de eventos simples hasta complejas reglas de correlación compuestas que identifican ataques, anomalías y violaciones de políticas.
El núcleo de las operaciones del SIEM: construir, probar y gestionar reglas de detección, desde reglas de eventos simples hasta complejas reglas de correlación compuestas que identifican ataques, anomalías y violaciones de políticas.
3.1 Reglas de Eventos y Reglas de Agregación
- Reglas de Eventos: filtrado, extracción de campos y creación de atributos personalizados a partir de eventos en crudo
- Reglas de Agregación: conteo y agrupamiento de eventos por IP, protocolo, usuario, etc.
- Acciones de reglas de agregación: notificaciones, umbrales del contador y propiedades personalizadas
- Activación de reglas, ordenamiento de reglas y lógica de ejecución de reglas
3.2 Reglas de Correlación Compuestas
- Construcción de reglas de correlación compuestas: unión de datos de múltiples fuentes
- Tipos de reglas: Evento, Agregación y Correlación Compuesta
- Componentes de la regla compuesta: activadores, agregaciones, correlaciones y acciones
- Lógica de correlación: correlación temporal, correlación por umbral y correlación contextual
- Propiedades de las reglas de predicción y correlación: niveles de confianza, severidad y escalada
- Escritura de reglas de correlación efectivas: evitar fatiga de alertas y garantizar la calidad de la señal
3.3 Reglas de Detección para Técnicas MITRE ATT&CK
- Reglas mapeadas a técnicas MITRE ATT&CK: Acceso Inicial, Ejecución, Persistencia, Escalada de Privilegios, Evitación de Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Recolección, Comando y Control (C2), Exfiltración
- Detecciones personalizadas para categorías específicas de ataques:
- Reglas para: Fuerza Bruta, Escaneo de Puertos, Comunicación de Malware, Amenaza Interna, Movimiento Lateral, Escalada de Privilegios, Exfiltración de Datos, Comando y Control (C2)
- Reglas para: Fallos de Autenticación por Fuerza Bruta, Escaneo de Puertos, Inyección SQL, Túneles DNS, Escalada de Privilegios, Movimiento Lateral mediante Pass-the-Hash
3.4 Caza de Amenazas con Reglas QRadar
- Metodología proactiva de caza de amenazas utilizando QRadar
- Construcción de reglas para la detección de amenazas desconocidas/de día cero
- Análisis de comportamiento y reglas de detección de desviaciones de la línea base
Competencias Alineadas con el Mercado: Desarrollo de Reglas de Eventos, Creación de Reglas de Agregación, Desarrollo de Reglas de Correlación Compuestas, Diseño de Reglas de Correlación Personalizadas, Mapeo MITRE ATT&CK, Ingeniería de Detección de Amenazas, Mapeo de Técnicas de Ataque (Acceso Inicial, Ejecución, Persistencia, Escalada de Privilegios, Evitación de Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Recolección, Comando y Control, Exfiltración), Detección de Comunicación de Malware, Detección de Inyección SQL, Detección de Túneles DNS, Regla de Escalada de Privilegios, Detección de Fuerza Bruta, Detección de Movimiento Lateral, Detección de Amenaza Interna, Detección de Exfiltración de Datos, Detección de Comando y Control (C2), Gestión de Fatiga de Alertas, Ajuste y Optimización de Reglas, Ingeniería de Reglas de Detección del SOC, Caza Proactiva de Amenazas
Módulo 4: Motor de Ofensas QRadar e Investigación de Incidentes
Cubre en profundidad el motor de ofensas de QRadar: creación de ofensas, flujos de trabajo de investigación, análisis contextual, gestión de falsos positivos, triaje y manejo de incidentes.
4.1 El Motor de Ofensas
- Creación, agregación y gestión del ciclo de vida de ofensas
- Propiedades de las ofensas: severidad, confianza, estado y atribución
- Lógica de agregación de ofensas: agrupamiento de eventos relacionados en incidentes significativos
- Escalada, asignación y gestión de flujos de trabajo de ofensas
4.2 Investigación de Incidentes y Análisis Contextual
- Explorador de Contexto para análisis profundo de eventos y reconstrucción de línea temporal
- Análisis de la línea temporal de eventos: reconstrucción cronológica de incidentes de seguridad
- Análisis de direcciones IP y enriquecimiento con reputación (Inteligencia contra Amenazas)
- Contexto de usuario y activo: actividad del usuario, inventario de hosts y análisis de riesgo de activos
- Eventos de correlación en vistas detalladas de ofensas y eventos
- Correlación de eventos, agrupamiento de eventos y recopilación de evidencia
4.3 Integración de Inteligencia contra Amenazas
- Integración de alimentaciones de Inteligencia de Vulnerabilidades y Amenazas (VTI)
- Enriquecimiento automatizado de inteligencia contra amenazas con IBM QRadar VTI
- Cargas de alimentaciones personalizadas de amenazas y perfiles de actores de amenazas
- Contexto de inteligencia contra amenazas en ofensas y análisis de riesgo
4.4 Gestión de Falsos Positivos y Ajuste de Reglas
- Identificación y clasificación de falsos positivos en el Motor de Ofensas
- Reglas de supresión de falsos positivos y flujos de trabajo de supresión
- Ajuste de reglas: reducción de ruido mientras se mantiene la sensibilidad de detección
- Documentación de incidentes de falsos positivos para mejora continua
Competencias Alineadas con el Mercado: Gestión del Motor de Ofensas QRadar, Investigación y Análisis de Incidentes, Investigación de Amenazas, Uso del Explorador de Contexto, Análisis de Línea Temporal de Eventos, Análisis de Reputación IP, Análisis de Riesgo de Activos, Enriquecimiento de Inteligencia contra Amenazas, Integración de Alimentaciones VTI, Gestión de Falsos Positivos, Ajuste de Alertas y Reducción de Ruido, Flujo de Trabajo de Respuesta a Incidentes del SOC, Ciclo de Vida de Incidentes de Seguridad, Análisis de Indicadores de Compromiso (IoC), Atribución de Ciberamenazas
Módulo 5: Gestión de Vulnerabilidades QRadar (QVM) y Administrador de Riesgos (QRM)
Profundiza en IBM QVM: integración de escaneo de vulnerabilidades, priorización de vulnerabilidades basada en riesgos, configuraciones de gestión de riesgos y evaluación de postura de seguridad impulsada por riesgos.
5.1 Administrador de Vulnerabilidades IBM QRadar (QVM)
- Arquitectura QVM: integración con analizadores Nessus, Qualys y Rapid7
- Flujos de trabajo de escaneo de vulnerabilidades y programación de escaneos
- Análisis de resultados de evaluación de vulnerabilidades e integración con QRadar
- Correlación de puntuaciones CVSS y clasificación de severidad de vulnerabilidades
- Análisis de tendencias de vulnerabilidades y priorización de remediación
5.2 Administrador de Riesgos IBM QRadar (QRM)
- Arquitectura QRM: motor de cálculo de riesgos y metodología de puntuación de riesgos
- Configuración de reglas de riesgo: criticidad del activo, probabilidad de explotación de vulnerabilidades, perfiles de riesgo de activos
- Cálculo de la puntuación de riesgo: combinación de datos de vulnerabilidad, inteligencia contra amenazas, datos de ofensas y valor del activo
- Clasificación de activos basada en riesgos y configuración de tableros de riesgo
- Priorización de activos impulsada por riesgos y priorización de remediación impulsada por riesgos
Competencias Alineadas con el Mercado: Evaluación y Gestión de Vulnerabilidades, Administrador de Vulnerabilidades IBM QRadar (QVM), Correlación de Puntuaciones CVE, Integración de Escaneo de Vulnerabilidades, Integración Qualys/Nessus, Priorización de Vulnerabilidades Basada en Riesgos, Administrador de Riesgos IBM QRadar (QRM), Cálculo de Puntuación de Riesgo, Evaluación de Criticidad de Activos, Remediación Impulsada por Riesgos, Configuración de Tablero de Riesgos, Análisis de Tendencias de Vulnerabilidades, Gestión Empresarial de Vulnerabilidades, Evaluación y Gestión de Riesgos Empresariales
Módulo 6: SOAR QRadar, Automatización y Respuesta a Incidentes
Cubre IBM QRadar SOAR (Orquestación, Automatización y Respuesta de Seguridad), orquestación de playbooks, automatización de runbooks y automatización de respuesta a incidentes esenciales para las operaciones modernas del SOC.
6.1 Panorama General del SOAR IBM QRadar
- Orquestación de seguridad y respuesta automatizada: definición y valor
- Arquitectura y componentes de QRadar SOAR: playbooks, incidentes, acciones de automatización y acciones de datos
- Integración QRadar SOAR: conexión entre SIEM, EDR, inteligencia contra amenazas y sistemas de tickets (ServiceNow, Jira)
- SOAR frente a automatización tradicional: orquestación de flujos de trabajo impulsada por playbooks
6.2 Diseño y Ejecución de Playbooks
- Creación de playbooks: construcción de flujos de trabajo automatizados de investigación y respuesta
- Activadores de playbooks: creación de ofensas, activadores de reglas y activación manual
- Acciones de playbook: enriquecimiento de direcciones IP, bloqueo de IPs, creación de tickets, consulta de alimentaciones de amenazas
- Lógica condicional y ramificación de playbooks
6.3 Automatización de Respuesta a Incidentes
- Respuesta automatizada a incidentes: desde la alerta hasta el aislamiento en minutos
- Caza automatizada de amenazas: investigación de amenazas impulsada por playbooks
- Contención automatizada de incidentes: bloqueo de IP, aislamiento del extremo y suspensión de cuentas
- Flujos de trabajo de respuesta automatizada a incidentes para ransomware, phishing, ataques de fuerza bruta y amenazas internas
6.4 Integración con Sistemas Externos
- Integraciones QRadar SOAR con ServiceNow, Jira, Slack, correo electrónico y sistemas basados en webhooks
- Integración de API personalizada con plataformas de inteligencia contra amenazas
- Integración EDR para acciones automatizadas en el extremo
- Automatización del análisis de cargas (archivos, URL, dominios)
Competencias Alineadas con el Mercado: Orquestación de Seguridad, Automatización y Respuesta Basada en IA (SOAR), IBM QRadar SOAR, Automatización de Playbooks, Diseño de Runbooks, Orquestación de Flujos de Trabajo de Respuesta a Incidentes Automatizados, Automatización de Seguridad Impulsada por API, Integración de Inteligencia contra Amenazas, Automatización de Contención de Incidentes, Análisis Automatizado de Amenazas, Integración ServiceNow para Seguridad, Automatización de Sistemas de Tickets, Automatización de Respuesta en el Extremo, Listado Negro Automatizado de IPs, Automatización de Respuesta a Phishing, Automatización de Respuesta a Ransomware
Módulo 7: Forensia QRadar, Forensia de Red y Análisis de Datos
Cubre IBM QRadar Incident Forensics (QRIF) y capacidades de investigación forense, forensia de red (NFI) para análisis de captura de paquetes y técnicas de análisis forense utilizadas en la investigación de incidentes.
7.1 Forensia IBM QRadar (QRIF)
- QRIF: recopilación y almacenamiento de datos forenses para investigaciones
- Fuentes de datos forenses: capturas de paquetes, registros de eventos y forensia en el extremo
- Análisis forense: reconstrucción de línea temporal, análisis de archivos y análisis forense de red
- Preservación de evidencia forense y cadena de custodia
- Herramientas y técnicas de análisis forense dentro de QRIF
7.2 Forensia e Inspección de Red (NFI)
- Forensia de red: análisis de captura de paquetes e inspección de tráfico de red
- Análisis de datos de flujo: NetFlow, sFlow e IPFIX en la forensia de red QRadar
- Análisis de protocolos: HTTP, DNS, SMTP, SSH, FTP e inspección de protocolos personalizados
- Detección de amenazas a través de la forensia de red: balizamiento de C2, exfiltración de datos y detección de movimiento lateral
- Identificación de patrones de tráfico sospechosos
7.3 Análisis de Comportamiento de Usuarios y Entidades (UEBA)
- UEBA: comprensión de la línea base del comportamiento del usuario y detección de anomalías
- Fuentes de datos UEBA: Active Directory, registros de proxy, registros del extremo, registros DLP, registros de autenticación, registros en la nube
- Puntuación UEBA: puntuaciones de riesgo de usuario y puntuaciones de riesgo de entidad
- Detección de amenazas impulsada por UEBA: cuentas comprometidas, amenazas internas y exfiltración de datos
Competencias Alineadas con el Mercado: Forensia de Incidentes QRadar (QRIF), Recopilación de Datos Forenses, Investigación y Análisis Forense, Forensia de Red, Análisis de Captura de Paquetes, Análisis de Datos de Flujo, Detección de Amenazas a Través de la Forensia de Red, Análisis de Comportamiento de Usuarios y Entidades (UEBA), Detección de Anomalías del Usuario, Detección de Amenaza Interna, Detección de Cuentas Comprometidas, Exfiltración de Datos mediante Comportamiento del Usuario, Detección de Balizamiento C2, Movimiento Lateral a Través de Forensia de Red, Forensia Digital y Respuesta a Incidentes (DFIR), Preservación de Evidencia y Cadena de Custodia, Análisis de Protocolo, Forensia de Registros de Seguridad, Caza de Amenazas mediante Análisis de Red
Módulo 8: SIEM en la Nube, SIEM-as-Code, Cumplimiento y Operaciones del SIEM
Evalúa las operaciones, escalabilidad, informes de cumplimiento, integración de SIEM en la nube, prácticas de detección-as-code y gobernanza del SOC esenciales para el despliegue empresarial del SIEM.
8.1 Operaciones y Administración de QRadar
- Administración de QRadar: roles de usuario, permisos y políticas de seguridad
- Auditoría de configuraciones de QRadar y registros de acceso
- Informes programados y diseño de informes personalizados para gerencia y cumplimiento
- Tareas programadas: copia de seguridad/restauración, limpieza de bases de datos y mantenimiento
- Configuración del servidor Syslog para reenvío de registros SIEM
- Actualizaciones de software y gestión de parches para appliances QRadar
8.2 Informes de Cumplimiento y Mapeo Regulatorio
- Requisitos SIEM PCI DSS e informes de cumplimiento con QRadar
- Mapeo de cumplimiento HIPAA, GDPR, SOX, NIST CSF e ISO 27001 con informes QRadar
- Informes de auditoría regulatoria: plantillas de informes personalizados para auditores PCI DSS y HIPAA
- Monitoreo de cumplimiento en tiempo real y tableros de cumplimiento continuo
8.3 SIEM-as-Code e Infraestructura como Código
- Gestión de reglas de SIEM controlada por versiones: despliegue de reglas basado en Git
- Terraform y Ansible para aprovisionamiento y configuración de appliances QRadar
- Pipeline CI/CD para reglas y playbooks del SIEM
- Automatización basada en API de QRadar para despliegue y gestión de reglas
8.4 SIEM en la Nube y Seguridad Híbrida en la Nube
- Integración de fuentes de registros en la nube: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor
- Estrategias de SIEM nativo para la nube: SIEM para entornos SaaS (AWS, Azure, GCP, Office 365, AWS)
- Integraciones SIEM de microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs, Google Cloud Logging
- Monitoreo de identidad y acceso en la nube: IAM, Active Directory, Entra ID
- Protección de cargas de trabajo en la nube e integración con SIEM
8.5 Detección de Amenazas a la Identidad
- La identidad como la nueva frontera de amenazas: detección de compromiso de cuentas
- Detección de amenazas en Active Directory: Kerberoasting, AS-REP roasting, ataques de boletos Dorados/Sid
- Detección de evasión de autenticación multifactor (MFA)
- Monitoreo de Gestión de Identidades Privilegiadas (PIM)
8.6 Monitoreo Zero Trust
- Monitoreo de arquitectura Zero Trust: controles de identidad, dispositivo y red
- Monitoreo de microsegmentación y validación de aplicación de políticas
- Informes de cumplimiento Zero Trust a través de la integración con SIEM
8.7 Operaciones del SOC y Gobernanza del SIEM
- Métricas e indicadores clave de rendimiento (KPI) del SOC: MTTR (Tiempo Medio para Responder), MTTD para monitoreo SIEM
- Evaluación de madurez del SOC y mejora del SOC impulsada por SIEM
- Gobernanza del SIEM: gestión de reglas, seguimiento de falsos positivos y mejora continua
- Mejores prácticas operativas del SIEM: monitoreo, alertas y procedimientos de escalada
Competencias Alineadas con el Mercado: Administración QRadar, Operaciones y Gestión de SIEM, Gestión de Cumplimiento de SIEM, Informes de Cumplimiento SIEM PCI D, Cumplimiento SIEM HIPAA y GDPR, Cumplimiento SIEM SOX e ISO 27001, Mapeo SIEM NIST CSF, Monitoreo Continuo de Cumplimiento, Informes Personalizados de Cumplimiento, SIEM-as-Code e Infraestructura como Código, Terraform para SIEM, Ansible para Despliegue de SIEM, CI/CD para Reglas SIEM, Automatización API QRadar, Integración de SIEM en la Nube, AWS CloudTrail SIEM, Integración Microsoft Sentinel, GCP Cloud Logging SIEM, Azure Monitor SIEM, Integración Office 365 SIEM, SIEM Nativo para la Nube, Monitoreo Zero Trust, Detección de Amenazas IAM, Detección de Amenazas a la Identidad, Detección de Amenazas Active Directory, Detección de Ataques Kerberos, Monitoreo de Identidades Privilegiadas, Seguridad de Autenticación Multifactor (MFA), Gestión de KPI y Métricas SOC, Evaluación de Madurez del SOC, Mejores Prácticas Operativas de SIEM, Gobernanza de Respuesta a Incidentes, Gestión del Ciclo de Vida de Reglas SIEM, Gobernanza Empresarial SIEM
Módulo 9: Proyecto Final y Escenarios de Amenazas del Mundo Real
Un proyecto final práctico integral que simula escenarios de seguridad empresarial, incluida la detección de amenazas, investigación y respuesta a incidentes utilizando IBM QRadar.
9.1 Proyecto Final: Escenario de Seguridad Empresarial
- Configuración de un entorno empresarial simulado con fuentes de registros realistas y escenarios de ataque
- Despliegue de fuentes de registros y configuración de políticas de recopilación de registros
- Construcción de reglas de detección mapeadas a MITRE ATT&CK
- Investigación de datos de ofensas del mundo real en QRadar y realización de análisis forense
- Diseño y despliegue de playbooks SOAR para respuesta automatizada
- Generación de informes de cumplimiento para PCI DSS, HIPAA y GDPR
- Realización de planificación de capacidad y escalado del despliegue del SIEM
9.2 Escenarios de Amenazas del Mundo Real
- Ataques simulados: despliegue de ransomware, amenaza interna, movimiento lateral, ataques de fuerza bruta, ataques a la cadena de suministro y phishing
- Detección de ransomware: movimiento lateral, preparación de datos y detección de movimiento lateral
- Amenaza interna: intentos de exfiltración de datos y detección de anomalías
- Detección de ataques a la cadena de suministro: detección de acceso comprometido del proveedor
- Respuesta al phishing: bloqueo automatizado de URL y flujos de trabajo de investigación de correo electrónico
- Caza de amenazas de día cero: detección de amenazas desconocidas utilizando técnicas de caza sin reglas
- Detección de Amenazas Persistentes Avanzadas (APT) utilizando UEBA y análisis forense
Competencias Alineadas con el Mercado: Entrega de Proyectos de Seguridad Finales, Simulación SIEM Empresarial, Diseño de Escenarios de Amenazas del Mundo Real, Despliegue de Reglas de Detección MITRE ATT&CK, Investigación de Incidentes SOC, Diseño de Playbooks QRadar SOAR, Simulación de Respuesta a Ransomware, Detección de Amenaza Interna, Automatización de Respuesta al Phishing, Detección de Ataques a la Cadena de Suministro, Caza de Amenazas de Día Cero, Detección de Amenazas Persistentes Avanzadas (APT), Planificación y Escalado de Capacidad del SIEM, Informes Multi-Cumplimiento (PCI DSS, HIPAA, GDPR), Respuesta a Amenazas Empresariales, Investigación Forense de Amenazas, Enriquecimiento de Inteligencia Contra Amenazas, Contención Automatizada de Incidentes, Simulación de Operaciones SOC, Práctica Completa de Ingeniería SIEM
Requerimientos
- Comprensión de la seguridad informática (IT security)
Audiencia
- Ingenieros de Seguridad