Sigma, YARA y el arte de convertir inteligencia en detecciones
Detection Engineering es la disciplina que transforma inteligencia de amenazas en detecciones que funcionan en entornos reales. No basta con tener IOCs: necesitas reglas Sigma que disparen en tu SIEM, reglas YARA que detecten variantes en tu EDR, y un pipeline que valide que tus detecciones realmente funcionan.
Bloque 1: Fundamentos (artículos 1-3) Qué es Detection Engineering, por qué importa, y el pipeline completo de detección.
Bloque 2: Sigma Rules (artículos 4-7) Sintaxis, estructura, backends, y casos prácticos por familia de malware.
Bloque 3: YARA Rules (artículos 8-11) Anatomía de una regla, patrones, módulos avanzados, y hunting con YARA.
Bloque 4: Operacionalización (artículos 12-15) Testing con Atomic Red Team, métricas de cobertura, CI/CD para detecciones, y Detection-as-Code.
La serie empieza en nivel intermedio y progresa a avanzado. Se asume conocimiento básico de SIEM, logs y ATT&CK.
Introducción completa a Detection Engineering: qué es, por qué surgió, el problema del alert fatigue, el pipeline de detección (hipótesis, desarrollo, testing, deploy, métricas), roles y herramientas. De detecciones reactivas a ingeniería de detecciones.
Guía completa de Sigma rules: sintaxis YAML, campos obligatorios y opcionales, modificadores de detección, condiciones lógicas, backends (Splunk, Elastic, Microsoft Sentinel). Caso práctico: detectar PowerShell encoded commands.
Guía completa de YARA rules: sintaxis, strings (text, hex, regex), conditions, módulos (PE, ELF, math, hash), metadata. Casos prácticos: detectar Cobalt Strike beacon, identificar packers, y hunting con YARA en VirusTotal.
Workflow paso a paso para convertir IOCs y threat intelligence en detecciones accionables. De la Pyramid of Pain a reglas Sigma/YARA desplegadas en producción. Incluye ejemplos con Emotet y Cobalt Strike.
10 reglas Sigma esenciales para detectar ransomware en cada fase del ataque: shadow copies, LSASS dump, lateral movement, encryption, exfiltration. Cada regla con explicación, MITRE mapping, backend conversion y tuning tips.
Reglas YARA para detectar las familias de infostealers más activas: RedLine, Lumma, Vidar, Raccoon, Rhadamanthys. Patrones de exfiltración, strings de C2, browser credential theft, y crypto wallet targeting.
Guia completa para validar reglas de deteccion con Atomic Red Team. Cubre instalacion, ejecucion de tests atomicos por tecnica MITRE ATT&CK, integracion con Sigma rules, matrices de cobertura y automatizacion en pipelines CI/CD para purple teams.
Guia completa de modulos avanzados de YARA: PE (imports, exports, secciones, rich_signature, imphash), Math (entropia para detectar packing), Hash (ssdeep, md5 por seccion), Dotnet, Console. Incluye patrones de hunting profesional, optimizacion de rendimiento y 4 reglas completas.
Guía avanzada de pySigma pipelines: processing rules, field mapping, logsource mapping, backend plugins, custom pipelines YAML y Python API, pipeline chaining, automatización CI/CD y conversión enterprise a Splunk, Elastic, Sentinel, CrowdStrike y 15+ backends.
Guia completa para gestionar reglas de deteccion como codigo con control de versiones Git, pipelines CI/CD, testing automatizado y despliegue continuo a SIEMs. Cubre estructura de repositorio, GitHub Actions, PR reviews, sigma-cli, yara-ci y metricas de madurez.
Cómo medir la cobertura de detecciones sobre MITRE ATT&CK con DeTT&CT, ejecutar gap analysis sistemático, priorizar técnicas por riesgo real y construir un roadmap de cobertura alineado con threat intelligence.
8 reglas Sigma completas para detectar movimiento lateral en redes Windows: PsExec, WMI, RDP, SMB, scheduled tasks, WinRM, DCOM y Pass-the-Hash/Ticket. Cada regla con YAML, MITRE mapping, falsos positivos y tuning.
Reglas YARA específicas para detectar familias de ransomware como LockBit 3.0 y BlackCat/ALPHV, junto con patrones genéricos de comportamiento: notas de rescate, cifrado de ficheros, eliminación de shadow copies y extracción de configuraciones embebidas.
KPIs y metricas esenciales para programas de Detection Engineering: cobertura ATT&CK, tasa de falsos positivos, MTTD, MTTR, tiempo de despliegue de reglas, impacto en dwell time y diseno de dashboards para SOC y liderazgo.
Guía paso a paso para construir un programa de Detection Engineering desde cero: fases de madurez, estructura de equipo, herramientas, métricas, modos de fallo comunes y cómo justificar la inversión ante dirección.