Blue Team, C2 defense y plataformas EDR/XDR
Los equipos de defensa necesitan tanto conocimiento teórico de las amenazas como dominio práctico de las plataformas de detección y respuesta. Esta serie cubre ambos: técnicas de Command & Control, metodología Blue Team, y guías específicas para las principales plataformas EDR/XDR del mercado.
Bloque 1: Command & Control (artículos 1-2) Frameworks C2, técnicas de evasión, y defensa de conexiones C2.
Bloque 2: Metodología Blue Team (artículos 3-4) Recomendaciones generales y flujo de trabajo del analista EDR.
Bloque 3: Plataformas EDR/XDR (artículos 5-10) Guías prácticas para Wazuh, Trellix, Trend Micro, Cortex XDR, CrowdStrike Falcon y Cytomic.
Serie de nivel intermedio a avanzado. Experiencia previa en un SOC o con al menos una plataforma EDR es recomendable.
Cada artículo incluye una infografía técnica de referencia rápida, diseñada como cheatsheet para el trabajo diario del analista.
Guía completa sobre frameworks Command & Control (C2), protocolos de comunicación, técnicas modernas de evasión y herramientas de detección. Mapeo MITRE ATT&CK T1071, indicadores de C2, y configuración de laboratorio para analistas Blue Team y SOC.
Recomendaciones prácticas para Blue Teams: prevención, detección, hardening, respuesta a incidentes, monitorización continua y herramientas recomendadas frente a malware.
Guía completa para analistas EDR: flujo de investigación desde triage hasta respuesta, checklist diario, análisis de procesos, red y ficheros, métricas clave y progresión profesional N1-N2-N3.
Guía práctica para detectar y analizar malware con Wazuh: arquitectura, capacidades FIM/rootcheck/YARA/VirusTotal, reglas XML personalizadas, integración MITRE ATT&CK y mejores prácticas para analistas SOC.
Guía completa de Trellix XDR para analistas SOC: plataforma unificada McAfee+FireEye, flujo de investigación, Storyline visualization, Real Protect ML, MVX sandbox, threat hunting, playbooks y cobertura MITRE ATT&CK.
Guía práctica de Trend Micro Vision One XDR para analistas SOC: flujo de investigación, Workbench, Search App, threat intelligence, acciones de respuesta, playbooks de automatización y mapping MITRE ATT&CK.
Guía práctica de Palo Alto Cortex XDR para analistas SOC: agente unificado, Causality View, XQL queries para hunting, integración con XSOAR y WildFire, Analytics Engine (UEBA) y mejores prácticas operativas.
Guía práctica de CrowdStrike Falcon para analistas SOC: arquitectura cloud-native, flujo de investigación, Event Search, OverWatch, Falcon Intelligence, acciones de respuesta RTR, Charlotte AI y resultados en MITRE ATT&CK Evaluations.
Guía práctica de Cytomic/WatchGuard EPDR para analistas SOC. Zero-Trust Application Service, Threat Hunting, investigación de incidentes, automatización y mejores prácticas.