¿Cómo uso D3FEND en mi SOC?

Tres pasos: 1) Inventariar las herramientas y configuraciones defensivas que tienes, 2) Mapear cada una a técnicas D3FEND, 3) Cruzar con las técnicas ATT&CK de tus amenazas relevantes para encontrar gaps donde tienes amenaza sin defensa mapeada.

¿Necesito D3FEND si ya uso ATT&CK?

ATT&CK te dice contra qué te defiendes. D3FEND te dice cómo. Si tu SOC ya mapea alertas a ATT&CK, D3FEND añade la capa de verificar que para cada técnica de ataque tienes al menos una defensa técnica implementada.

IntermedioD3FENDSOCmapeodefensasgap analysis

D3FEND para SOC: Mapeo de Defensas a Amenazas

Guía práctica de D3FEND para equipos SOC: cómo mapear las defensas implementadas a las amenazas ATT&CK relevantes, identificar gaps, y priorizar inversiones en detección y prevención.

MalwareIntel Research·27 de mayo de 2026·4 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 23

D3FEND permite al SOC responder: "para cada amenaza relevante, ¿tenemos una defensa técnica implementada?"

ATT&CK mapea cómo atacan los adversarios. D3FEND mapea cómo defenderse técnicamente de cada ataque. Usado en conjunto, un SOC puede realizar gap analysis preciso: identificar las técnicas de ataque relevantes que no tienen defensa implementada y priorizar inversiones.

Flujo práctico: D3FEND en el SOC

Paso 1: Inventario defensivo

Listar todas las herramientas y configuraciones defensivas activas:

Herramientas:
  EDR: CrowdStrike Falcon
  SIEM: Elastic Security
  Email: Proofpoint
  Firewall: Palo Alto NGFW
  AV: Microsoft Defender
  IAM: Azure AD con MFA
  Backup: Veeam

Configuraciones:
  Sysmon: SwiftOnSecurity config
  Script Block Logging: habilitado
  Credential Guard: habilitado
  LAPS: desplegado
  AppLocker: modo auditoría

Paso 2: Mapear herramientas a D3FEND

Herramienta/Config	Técnicas D3FEND cubiertas
CrowdStrike Falcon	D3-PA (Process Analysis), D3-FA (File Analysis), D3-PM (Platform Monitoring)
Elastic Security	D3-NTA (Network Traffic Analysis), D3-UBA (User Behavior Analysis)
Proofpoint	D3-MH (Message Hardening), D3-MA (Message Analysis), D3-FA (File Analysis)
Palo Alto NGFW	D3-NI (Network Isolation), D3-NTA (Network Traffic Analysis)
Azure AD + MFA	D3-CH (Credential Hardening: MFA)
Credential Guard	D3-CH (Hardware-backed Credential Store)
Sysmon	D3-PM (Operating System Monitoring)
Script Block Logging	D3-PA (Script Execution Analysis)
LAPS	D3-CH (Credential Rotation)
Veeam	D3-PH (Data Backup) — no en D3FEND formal pero es defensa real

Paso 3: Cruzar con amenazas ATT&CK

Para cada técnica ATT&CK de tus amenazas relevantes, verificar que al menos una defensa D3FEND está implementada:

Amenaza: Ransomware (LockBit affiliate profile)

T1566.001 Phishing Attachment:
  D3FEND: D3-MH (Proofpoint) ✓ + D3-FA (Proofpoint sandbox) ✓
  → CUBIERTO

T1059.001 PowerShell:
  D3FEND: D3-PA Script Execution (Script Block Logging) ✓ + AMSI ✓
  → CUBIERTO

T1003.001 LSASS dump:
  D3FEND: D3-CH (Credential Guard) ✓ + D3-PM (Sysmon Event 10) ✓
  → CUBIERTO

T1021.002 SMB Lateral Movement:
  D3FEND: D3-NI (firewall entre segmentos) ✓
  D3FEND: D3-PM (Event 4624 monitoring) ✓
  → CUBIERTO

T1486 Ransomware Encryption:
  D3FEND: D3-FA (File Content Rules) ✗ — sin canary files
  D3FEND: D3-PH (Data Backup - Veeam) ✓
  → PARCIAL: backup sí, detección temprana no → IMPLEMENTAR CANARY FILES

T1490 Inhibit System Recovery:
  D3FEND: D3-PM (vssadmin monitoring) ✗ — sin regla Sysmon para vssadmin
  → GAP → CREAR REGLA SYSMON/SIGMA

Paso 4: Priorizar gaps

Clasificar gaps por riesgo:

Gap	Técnica ATT&CK	Impacto	Esfuerzo fix	Prioridad
Sin canary files	T1486	ALTO (detección temprana ransomware)	BAJO	P0
Sin regla vssadmin	T1490	ALTO (indicador pre-cifrado)	BAJO	P0
AppLocker en auditoría (no enforce)	T1059, T1218	MEDIO	MEDIO	P1
Sin deception	T1018, T1083	MEDIO	BAJO	P1
Sin NDR	T1071 (beacon)	MEDIO	ALTO (coste)	P2

Paso 5: Implementar y validar

Para cada gap P0/P1:

Implementar la defensa D3FEND identificada
Crear regla de detección correspondiente
Validar con emulación (Atomic Red Team para la técnica ATT&CK)
Documentar en el inventario defensivo

Métricas de cobertura D3FEND

Cobertura por categoría

Harden:  8/12 técnicas implementadas  = 67%
Detect:  15/25 técnicas implementadas = 60%
Isolate: 4/8 técnicas implementadas   = 50%
Deceive: 0/6 técnicas implementadas   = 0%  ← GAP MAYOR
Evict:   3/5 técnicas implementadas   = 60%

Cobertura por amenaza

vs LockBit:    18/22 técnicas ATT&CK con defensa D3FEND = 82%
vs APT28:      12/20 técnicas ATT&CK con defensa D3FEND = 60%
vs Cl0p:       14/18 técnicas ATT&CK con defensa D3FEND = 78%

Dashboard para CISO

COBERTURA DEFENSIVA (D3FEND vs ATT&CK)
────────────────────────────────────────
Global:          65% de técnicas relevantes cubiertas
Ransomware:      82% ██████████████████░░░░
Espionaje APT:   60% ████████████████░░░░░░
Supply Chain:    40% ██████████░░░░░░░░░░░░
Cloud:           35% █████████░░░░░░░░░░░░░

TOP GAPS:
1. Deception (0% cobertura) → canary tokens como quick win
2. Cloud defenses (35%) → CASB + cloud monitoring
3. APT credential theft → Kerberoasting detection

Conclusión

D3FEND transforma el SOC de reactivo a proactivo. El flujo inventario → mapeo → cruce → gap → priorización es repetible trimestralmente. Los quick wins suelen estar en Deceive (canary tokens, coste cero) y en reglas de detección faltantes (Sigma/Sysmon) para técnicas ya monitorizadas pero sin alerta.

Fuentes y referencias

MITRE D3FEND: d3fend.mitre.org
SANS: "Operationalizing D3FEND in the SOC" (2024)
Center for Threat-Informed Defense: "Defending Against Top Techniques"