¿Cuál es el flujo de investigación estándar en un EDR?

El flujo sigue cinco fases: 1) Triage (validar la alerta y asignar prioridad), 2) Investigación (analizar proceso, red y ficheros), 3) Clasificación (determinar si es true positive, false positive o benign), 4) Scope (evaluar el alcance del compromiso), 5) Respuesta (contener, erradicar y documentar).

¿Qué métricas debe seguir un equipo SOC con EDR?

Las métricas clave son MTTD (Mean Time to Detect, objetivo menor a 1 hora), MTTR (Mean Time to Respond, objetivo menor a 4 horas), tasa de falsos positivos (objetivo menor al 10%), cobertura de agentes EDR (objetivo 100%) y ratio de alertas investigadas vs ignoradas.

¿Cómo distingo un true positive de un false positive en EDR?

Analiza el contexto completo: proceso padre legítimo, argumentos de línea de comandos esperados, usuario que ejecutó, hora del evento, historial del endpoint. El contexto es lo que separa analistas junior de senior.

¿Cuánto tiempo debería dedicar un analista al triage de cada alerta?

Un analista N1 debería completar el triage inicial en 5 a 10 minutos. Si requiere investigación profunda, se escala a N2 (30-60 minutos). Las investigaciones complejas de N3 pueden requerir horas. La clave: si en 10 minutos no puedes clasificar, escala.

¿Qué formación necesito para ser analista EDR?

Fundamentos de redes y sistemas operativos, conocimiento de MITRE ATT&CK, experiencia con al menos un EDR comercial, capacidad de leer logs y correlacionar eventos, y scripting básico (PowerShell, Python). Certificaciones recomendadas: CompTIA CySA+, SANS SEC504, BTL1.

IntermedioEDRSOCanalistasdeteccióninvestigaciónrespuesta

Guía para Analistas de EDR: Detección, Investigación y Respuesta

Guía completa para analistas EDR: flujo de investigación desde triage hasta respuesta, checklist diario, análisis de procesos, red y ficheros, métricas clave y progresión profesional N1-N2-N3.

MalwareIntel Research·22 de mayo de 2026·7 min lectura

Serie: Defensa y EDR/XDR — Parte 4

Qué es un analista EDR

Un analista de Endpoint Detection and Response (EDR) monitoriza, investiga y responde a amenazas detectadas en los endpoints. A diferencia del antivirus tradicional, un EDR genera telemetría detallada sobre cada proceso, conexión de red y modificación de fichero. El analista interpreta esa telemetría para separar actividad legítima de maliciosa.

El volumen de alertas en un SOC moderno supera las cientos diarias. Sin un flujo estructurado, las amenazas reales pasan desapercibidas.

Flujo de investigación: 5 fases

Fase 1: Triage (5-10 minutos)

CHECKLIST DE TRIAGE:
1. Lee la alerta: nombre, severidad, técnica ATT&CK
2. Identifica el endpoint: hostname, IP, usuario, departamento
3. Contexto temporal: hora del evento vs horario laboral
4. Historial: este endpoint ha generado alertas similares antes
5. IOCs conocidos: hash, IP, dominio en threat intel
6. Decision: investigar, escalar o cerrar como false positive

Prioridad	Condición	Tiempo de respuesta
Crítica	Ransomware activo, exfiltración confirmada	Inmediato
Alta	Herramientas de ataque (Cobalt Strike, Mimikatz)	15 minutos
Media	Comportamiento sospechoso sin confirmación	1 hora
Baja	Anomalía menor, posible PUP	4 horas

Fase 2: Investigación

Tres dimensiones: proceso, red y ficheros.

Análisis de proceso (Process Tree). El árbol de procesos revela la cadena de ejecución. Busca: proceso padre inesperado, argumentos codificados en base64, procesos legítimos desde rutas inusuales, inyección de DLLs no firmadas, escalada de privilegios.

EJEMPLO: Cadena de phishing típica

outlook.exe
  └── WINWORD.EXE
        └── cmd.exe /c "powershell -ep bypass -enc aQBlAHgA..."
              └── powershell.exe
                    └── rundll32.exe C:\Users\victim\AppData\Local\Temp\mal.dll,Start

Análisis de red. Indicadores clave: beaconing (intervalos regulares con jitter), transferencias grandes salientes (exfiltración), destinos sin DNS inverso, puertos no estándar, DNS con queries largas (tunneling).

Análisis de ficheros. Para cada fichero sospechoso: calcula SHA256 y consulta en VirusTotal/MalwareBazaar, verifica firma digital, analiza strings, comprueba fecha de creación vs la alerta.

Artefacto	Ubicación típica	Significado
Dropper	%TEMP%, %APPDATA%	Fase inicial de infección
Persistencia	Startup, Registry Run keys	Sobrevivir reboot
Staging	Recycle Bin, temp folders	Preparación para exfiltración

Timeline. Correlaciona temporalmente todos los eventos para construir la narrativa del ataque. Ejemplo: email recibido (09:15) a domain controller comprometido (09:40) en 25 minutos.

Fase 3: Clasificación

Clasificación	Definición	Acción
True Positive	Actividad maliciosa confirmada	Scope y respuesta
Benign TP	Detectada correctamente pero autorizada (pentest)	Crear exclusión
False Positive	Detección incorrecta	Ajustar regla
Indeterminado	Evidencia insuficiente	Escalar a N2/N3

Fase 4: Scope

Determina cuántos sistemas están afectados:

1. IOC sweep: buscar hash/IP/dominio en todos los endpoints
2. Behavioral sweep: misma cadena de ejecución en otros hosts
3. Account sweep: actividad de cuentas comprometidas
4. Network sweep: conexiones al mismo C2
5. Persistence sweep: mismos mecanismos de persistencia

Fase 5: Respuesta

Acción	Cuándo	Impacto
Aislamiento de red (EDR)	Compromiso confirmado	Alto
Bloqueo de IOCs en firewall	IOCs de C2 identificados	Medio
Deshabilitación de cuenta	Credenciales comprometidas	Alto
Kill de proceso	Malware activo	Bajo

Tras contención: eliminar ficheros maliciosos, eliminar persistencia, revocar tokens, forzar cambio de contraseñas, generar IOCs para compartir, crear nuevas reglas de detección.

Checklist diario del analista

INICIO DE TURNO:
  [ ] Handover del turno anterior
  [ ] Estado de agentes EDR (offline = endpoint ciego)
  [ ] Alertas críticas pendientes
  [ ] Feeds de threat intelligence actualizados

DURANTE EL TURNO:
  [ ] Procesar cola de alertas por prioridad
  [ ] Documentar cada investigación (incluido FP)
  [ ] Ejecutar al menos una query de hunting proactivo
  [ ] Actualizar IOCs en plataformas de bloqueo

FIN DE TURNO:
  [ ] Alertas pendientes documentadas
  [ ] Handover escrito para siguiente turno
  [ ] Métricas del turno reportadas

Hunting: complemento a la detección reactiva

Hipótesis	Query EDR	Técnica ATT&CK
Phishing exitoso	Procesos hijos de Outlook/Word ejecutando scripts	T1566.001
Persistencia	Nuevas entradas en Run keys, scheduled tasks 24h	T1547, T1053
Lateral movement	Conexiones SMB entre workstations	T1021
Credential harvesting	Accesos a LSASS por procesos no estándar	T1003.001
C2 no detectado	Conexiones periódicas a IPs sin categorización	T1071

Dedica al menos el 20% del turno a hunting proactivo. Basa hipótesis en threat intel de tu sector. Documenta cada caza, aunque no encuentres nada.

Queries de hunting recomendadas

Buscar PowerShell con ejecución codificada:
  process_name:powershell.exe AND cmdline:*-enc*

Buscar procesos ejecutándose desde rutas temporales:
  process_path:(*\Temp\* OR *\AppData\Local\*) AND
  NOT process_signed:true

Buscar conexiones a IPs no categorizadas fuera de horario:
  event_type:network AND dst_category:uncategorized AND
  event_time:[22:00 TO 06:00]

Buscar acceso a LSASS por procesos no estándar:
  target_process:lsass.exe AND
  NOT source_process:(csrss.exe OR svchost.exe OR MsMpEng.exe)

Buscar creación de servicios por usuarios no privilegiados:
  event_type:service_created AND NOT user:SYSTEM AND
  service_path:(*temp* OR *appdata*)

Automatiza las queries que repites semanalmente. Comparte hallazgos con el equipo para multiplicar el conocimiento.

Métricas clave

MTTD (Mean Time to Detect)

Nivel	Objetivo	Contexto
Excelente	Menor a 15 min	SOC maduro con EDR + SIEM integrado
Bueno	Menor a 1 hora	EDR con reglas personalizadas
Aceptable	Menor a 24 horas	Configuración por defecto

MTTR (Mean Time to Respond)

Nivel	Objetivo	Contexto
Excelente	Menor a 1 hora	Contención automatizada + validación
Bueno	Menor a 4 horas	Investigación manual + contención
Aceptable	Menor a 24 horas	Escalación coordinada

Otras métricas: cobertura de agentes (100%), tasa de FP (menor a 10%), alertas por turno (30-50), dwell time (objetivo menor a 24h).

Progresión profesional: N1, N2, N3

N1 (Triage). Monitoriza alertas, clasifica TP/FP, ejecuta playbooks, documenta. Necesita: fundamentos de red/OS, MITRE ATT&CK básico, seguir procedimientos.

N2 (Investigación). Investiga alertas escaladas, análisis profundo, determina scope, ejecuta contención, crea reglas. Necesita: forense básico, scripting (PowerShell/Python), ATT&CK profundo, experiencia con dos EDR.

N3 (Hunting y respuesta avanzada). Hunting proactivo, incidentes complejos (APT), desarrollo de Sigma/YARA, ingeniería inversa básica, mentoría N1/N2. Necesita: forense avanzado, reverse engineering, desarrollo de herramientas, comunicación ejecutiva.

Certificaciones recomendadas

N1 a N2:
  CompTIA CySA+ (fundamentos de análisis)
  BTL1 - Blue Team Level 1 (práctica defensiva)
  SANS SEC504 - Hacker Tools and Techniques

N2 a N3:
  SANS SEC555 - SIEM with Tactical Analytics
  SANS FOR508 - Advanced Incident Response
  SANS FOR578 - Cyber Threat Intelligence
  GIAC GCIH / GCFA (validación senior)

Habilidades transversales para cualquier nivel

Documentar: un incidente sin documentar es un incidente que se repetirá
Comunicar: adaptar el mensaje al interlocutor (técnico vs ejecutivo)
Automatizar: si repites una tarea más de tres veces, crea un script
Colaborar: compartir hallazgos con el equipo multiplica el conocimiento
Aprender: el panorama de amenazas cambia cada semana, la formación continua es obligatoria

Fuentes y referencias

MITRE. "ATT&CK Enterprise Matrix." https://attack.mitre.org/
SANS Institute. "Blue Team Operations." https://www.sans.org/blue-team/
Security Blue Team. "BTL1 Certification." https://www.securityblue.team/
Don Murdoch. "Blue Team Handbook: SOC, SIEM, and Threat Hunting Use Cases." 2019.

Preguntas frecuentes

Libros recomendados

Blue Team Handbook

Amazon (enlace afiliado)