Caza proactiva de amenazas
Threat hunting es la práctica proactiva de buscar amenazas que ya están dentro de tu red pero que las herramientas automáticas no han detectado. A diferencia de la detección reactiva (alertas de SIEM/EDR), el hunting parte de hipótesis basadas en inteligencia de amenazas y conocimiento del adversario. Esta serie enseña el proceso completo, desde la formulación de hipótesis hasta la conversión de hallazgos en detecciones permanentes.
Bloque 1: Fundamentos y metodología (artículos 1-4) Qué es y qué no es threat hunting, modelos de madurez, frameworks (PEAK, TaHiTI, Sqrrl), formulación de hipótesis basadas en ATT&CK.
Bloque 2: Fuentes de datos y herramientas (artículos 5-8) Telemetría necesaria (Sysmon, Windows Event Logs, EDR), plataformas SIEM (Splunk, Elastic, Sentinel), notebooks de hunting, y automatización con Jupyter/SIGMA.
Bloque 3: Técnicas de hunting por táctica (artículos 9-12) Hunting de persistence (T1053, T1547), lateral movement (T1021, T1570), command and control (T1071, T1573), y credential access (T1003, T1558).
Bloque 4: Operacionalización (artículos 13-15) Documentación de hunts, conversión de hallazgos en reglas Sigma/YARA, métricas de un programa de hunting, y creación de playbooks reutilizables.
Intermedio a avanzado. Se asume experiencia en operaciones de seguridad (SOC) y familiaridad con MITRE ATT&CK. Los artículos incluyen consultas reales para Splunk, Elastic y KQL.
Guia completa sobre threat hunting: definicion, diferencias con deteccion reactiva, metodologia hypothesis-driven, ciclo de caza y como implementarlo en tu equipo SOC. Incluye frameworks, ejemplos practicos y metricas de exito.
Analisis completo del Hunting Maturity Model de Sqrrl: los 5 niveles de madurez (HM0 a HM4), como evaluar tu equipo, requisitos de cada nivel y estrategia para avanzar en la escala de madurez del threat hunting.
Como construir hipotesis de threat hunting solidas a partir de MITRE ATT&CK, inteligencia de amenazas y anomalias de baseline. Incluye ejemplos practicos, plantilla de hipotesis y errores comunes al formularlas.
Guia practica de threat hunting con Sysmon en Windows. Eventos esenciales (ID 1, 3, 7, 8, 10, 11, 13, 22), configuracion optima, consultas de caza para detectar ejecucion sospechosa, inyeccion de procesos, persistencia y C2.
Guia completa de threat hunting con Zeek (antes Bro). Analisis de logs de conexion, DNS, HTTP, SSL y archivos para detectar beaconing, DNS tunneling, C2, exfiltracion y movimiento lateral en el trafico de red.
Como detectar movimiento lateral en una red corporativa. Tecnicas de hunting para PsExec, WMI remoto, RDP, Pass-the-Hash, Pass-the-Ticket y SMB lateral movement con consultas practicas para SIEM y EDR.
Guia de threat hunting para detectar mecanismos de persistencia en Windows. Cubre Run keys del registro, tareas programadas, servicios maliciosos, WMI Event Subscriptions, DLL hijacking y carpetas de inicio con consultas de deteccion.
Tecnicas avanzadas de threat hunting para detectar comunicaciones Command and Control. Analisis de beaconing con FFT, deteccion de DNS tunneling, identificacion de domain fronting, analisis JA3 y patrones de C2 en trafico cifrado.
Tecnicas de threat hunting para detectar exfiltracion de datos. Cobertura de transferencias masivas, upload a servicios cloud, exfiltracion via DNS, canales cifrados, staging de datos y uso de herramientas legitimas como rclone para robo de informacion.
Tecnicas de threat hunting para detectar robo de credenciales en entornos Windows. Cobertura de dumping de LSASS, Kerberoasting, AS-REP Roasting, password spraying, DCSync y credential harvesting con consultas practicas.
Guia practica de threat hunting con ELK Stack (Elasticsearch, Logstash, Kibana). Consultas KQL y Lucene para hunting, dashboards de investigacion, reglas de deteccion de Elastic Security y workflows de analisis para equipos SOC.
Guia practica de threat hunting con Splunk y SPL. Comandos esenciales (stats, tstats, eventstats, transaction), macros de hunting, lookups para enriquecimiento, dashboards de investigacion y workflows de caza de amenazas optimizados para rendimiento.
Guia practica de threat hunting con Velociraptor. Consultas VQL, artifacts de hunting predefinidos, creacion de hunts masivos, offline collectors y workflows de investigacion forense en endpoints Windows y Linux.
Plantilla completa para documentar hunts de amenazas. Estructura del reporte, hipotesis, metodologia, hallazgos, evidencia, recomendaciones y metricas. Incluye ejemplos reales y buenas practicas de documentacion para equipos de threat hunting.
Guia completa para construir un programa de threat hunting desde cero. Definicion del equipo, seleccion de herramientas, integracion con el SOC, planificacion de sprints, metricas de exito, madurez progresiva y justificacion del ROI para la direccion.