book

Manual del equipo azul: respuesta ante incidentes (Spanish Edition)

Name: Manual del equipo azul: respuesta ante incidentes (Spanish Edition)
Author: Don Murdoch
ISBN: 0642572332624

by Don Murdoch

February 2026

Intermediate to advanced

358 pages

10h 19m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Prefacio
A quién va dirigido este libroPor qué escribí este libroCómo navegar por este libroConvenciones utilizadas en este libroUso de ejemplos de códigoAprendizaje en línea de O’ReillyCómo ponerte en contacto con nosotrosAgradecimientos
1. Definición de respuesta práctica ante incidentes
El ciclo de vida de respuesta a incidentes del NISTEl ciclo de vida de respuesta a incidentes de SANSCiclos de vida dinámicos de respuesta a incidentes e inteligenciaSeguridad basada en el tiempoAprovechamiento de MITRE ATT&CK para la respuesta a incidentesPriorización de la recopilación de datos mediante ATT&CKDefensa basada en la información sobre amenazas¿Necesitas un punto de partida?Adaptación de los ciclos de vida de la respuesta a incidentes a tu organizaciónEl cambiante panorama adversario
2. Las seis fases de la respuesta moderna a incidentes
Fase 1, preparación: conoce tu red y las identidades de quienes la utilizanPreparación: herramientas y técnicas Encuesta y lista de verificaciónPreparación: herramientas y técnicas de visibilidadPreparación: auditoría de la línea de comandosPreparación: Normas básicas sobre violaciones de datosPreparación: políticas y procedimientosPreparación: habilitar indicadores de alerta tempranaFase 2, identificación: ¿qué gravedad tiene?Fase 3, Contención: detener al adversarioFase 4, erradicación: revertir las acciones del adversarioFase 5, Recuperación: volver a poner en marchaFase 6, lecciones aprendidas: informes y seguimientoContramedidas basadas en incidentes
3. Habilidades y prácticas de respuesta ante incidentes
Encontrar métricas que importanLas reglas de oro de las métricas de respuesta a incidentesMétricas de respuesta a incidentesMejorar las investigacionesComprensión del principio de AlexiouExternalizaciónControlar tus teoríasConciencia del sesgo de confirmaciónSeguir prácticas seguras en el lugar del incidenteEl papel del comandante de incidentesIndicador de ataque frente a indicador de compromisoEjemplos de IoAEjemplos de IoCUso del ciclo OODAEvaluación del impacto de un ciberataqueCómo evitar el bloqueo por exceso de análisisProcesos empresariales y trámites esenciales para la respuesta a incidentesConsideraciones normativasCarta de autorización de pruebas de penetración de Ed SkoudisCarta de autorización de «trampa y rastreo»Formularios de recopilación de datos centrados en el usuario finalTemas relacionados con la cadena de custodia y las pruebasSugerencias para organizar los datos probatoriosEl protocolo del semáforoPlan de respuesta ante incidentes de seguridad informáticaEjemplo de índice del CSIRPPlantillas de respuesta a incidentesPlantilla PICERL de respuesta a incidentes en seis fasesPlantilla de respuesta a incidentes comercialesContramedidas y formato SBARComunicaciones IR segurasUso de GnuPG para el cifrado gratuito de correos electrónicosLa respuesta a incidentes y el análisis forense son sociosOrden de volatilidadClasificación forense: el 5 % de los datos cuenta la mayor parte de la historiaAnálisis forense del sistema: profundizar y diseccionar a un costoDesviación de la respuesta a incidentes y el análisis forense de incidentes: errores que debes evitarMetas y objetivosInteligencia sobre amenazas cibernéticas empaquetada para IRDistribuciones Linux de arranque y plataformas Blue TeamLinux con VMware Workstation
4. Comprensión de las herramientas y tácticas de los adversarios
El proceso de ataque, herramientas de respuesta a incidentes y puntos de respuesta a incidentesPatrones de campaña de los adversariosReconocimiento: herramientas y técnicasScripts de análisis de DNSBúsquedas en GoogleSitios de reconocimiento basados en la webArmamentización: creación del conjunto de herramientas del adversarioEscaneo: herramientas y técnicasExplotación: herramientas y técnicasMantener el acceso: herramientas y técnicasRetransmisión de datos y puertas traseras Herramientas de LinuxAdivinar contraseñas
5. Investigación de datos volátiles en Windows
Procesos normales de Windows 11Paso 1: Preparar el entorno de recopilación de IRPaso 2: Recopilar la memoria físicaPaso 3: Realizar el análisis de la memoria con VolatilityPaso 4: Plantear preguntas de análisis de indicadores de procesosPaso 5: Recopilar datos del estado del sistema en tiempo realPaso 6: Realizar la recopilación del lado del servidor Windows y abrir el soporte de archivosPaso 7: Recopilar detalles del disco e imagenPaso 8: Recopilar información complementaria del sistemaDirectorios comunes de Windows utilizados para el inicioTareas programadas de WindowsUbicaciones comunes de inicio automático del Registro de Windows de 32 y 64 bitsOtra investigación de artefactos de WindowsArchivos de registro y ubicaciones de WindowsProcesos sospechosos de Windows: Process ExplorerOpciones de configuraciónRevisión de procesos sospechososRecopilación automatizada en Windows con KAPEInicio rápido de KAPEKAPE y binarios faltantesDeepBlueCLI para WindowsRespuesta a incidentes de RDBMSNotas sobre Microsoft SQL ServerNotas sobre el sistema de archivos y el Registro
6. Investigación del sistema de datos volátiles de Linux
PreparaciónDistribuciones de LinuxAntecedentes del comandoInicio rápido de GrepBúsqueda de archivosPaso 1: Preparar el almacenamiento para la recopilación de datosPaso 2: volcar y analizar la memoria físicaVolcado y captura de memoria en un sistema remoto con NetcatUso del conjunto de comandos de Volatility 3Paso 3: Recopilar datos del estado del sistema en tiempo realCaptura del estado del sistemaPaso 4: Investigar Linux con lsofPaso 5: Investigar artefactos adicionales de LinuxRecopilación de información del sistema de archivosInvestigación del uso compartido de archivos con NFS y SAMBARecopilación de registrosAdministración e investigación de archivos de paquetes LinuxOtros temasContención con Linux Iptables Essentials: un ejemploUso de IptablesUso de NftRecuperación: garantía/prueba del firewall con HpingRecuperación: Pruebas de vulnerabilidad con OpenVAS
7. Análisis de hosts Windows con PowerShell
Investigación de un sistema remoto independiente con WinRMInvestigación de sistemas locales frente a sistemas remotosUso de PSSession para la comunicación remota 1:1Uso de Invoke-Command para crear scripts de interrogación de sistemas remotosCompartir directoriosCreación de archivos del sistema y con fechaDeterminación de la versión de PowerShellDocumentación de la zona horaria, el entorno, la fecha y la hora del sistemaInformación del equipo y del sistema operativoCuentas de usuario, grupos e inicios de sesión actualesConfiguración de red para IPv4 e IPv6Puntos de extensión de inicio automáticoProcesos en ejecuciónServicios instalados y en ejecuciónCertificados instaladosControladores instalados y en ejecuciónArchivos y directoriosRecursos compartidos y archivos del lado del servidor actualmente abiertosIndicadores WMIUnidades físicasUnidades asignadasExportación del RegistroTareas programadasConexiones de red activasHotfixes actualmente instaladosAplicaciones instaladasWindows AppLockerArchivos modificados desde...Búsqueda de flujos de datos alternativosBúsqueda de archivos por extensiónBúsqueda de archivos por tamañoBúsqueda de archivos ocultos y recuperación de horas de archivoRecopilación de información relacionada con USBEstado de la instantánea de volumenCaché DNSAnálisis de los registros de eventos de WindowsInvestigación de ID de eventos específicos en el registro de seguridadUso del método posicional para inicios de sesión (ID de evento 4624)Uso del método de superposición XML para inicios de sesión (ID de evento 4624)ID de evento 4688 y auditoría de la línea de comandosExamen de los registros de eventos de Sysmon
8. Análisis de Active Directory
Las acciones de los adversarios comienzan con el reconocimientoKerberoastingRoasting de respuesta del servidor de autenticación (AS-REP)Ataques de rociado de contraseñasDelegación sin restricciones Abuso de cuentasCompromiso de los servicios de certificados (AD CS)DCSync y su primo, DCShadowGolden TicketDetección temprana de amenazas para la defensa de AD
9. Análisis basado en la red
Captura de datos de paquetesCaptura de datos de paquetes localesDuplicación en un conmutador portátil en una bolsa de saltoConfiguraciones de conmutadores empresariales Mirror/SPANTomas de redHipervisoresLa nubeNGFW y exportación de paquetes TLSProceso de recopilación y análisis de dispositivos de redRouter perimetral Señales de intrusiónSeñales de intrusión en el firewall perimetralRegistros de detección y prevención de intrusionesConcentradores VPN perimetralesServicios filtrados (DMZ) RedDispositivos de conmutación interioresNombres DNS sospechososTécnicas de investigación de sitios webRiesgo de reputaciónTécnicas de análisis del tráfico de redFiltro de paquetes Berkeley y captura de datosIdentificación de interfaces de redUso de Tshark para capturar conexionesUso de Pktmon para conexiones cableadasPerfilado de PCAP con Tshark y CapinfosBúsqueda de paquetes SYN y SYN/ACKExtracción de combinaciones de puertos/paresImplementación de técnicas de análisis específicas para aplicacionesPatrones de tráfico sospechososActividad de direcciones internas no utilizadasCertificadosAplicaciones y números de puerto poco comunesReglas de Snort: ejemplo de Darknet

10. Capacidades de detección y respuesta de la empresa
Flujo de ataque de muestraPuntos de entradaVisualización de ataques con el informe StoryLineTMAcciones de mitigaciónAcciones de respuestaHiperautomatizaciónOtras capacidades
A. Puertos TCP y UDP comunes
B. Tipos y códigos ICMP
C. Encabezados
Índice
Acerca del autor

Content preview from Manual del equipo azul: respuesta ante incidentes (Spanish Edition)

Capítulo 10. Capacidades de detección y respuestaempresarial

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Una actualización del Manual del equipo azul: Respuesta a incidentes no estaría completa sin hablar de la detección y respuesta en los puntos finales (EDR). Para ello, me puse en contacto con Shane Harsch, un colega que trabaja para SentinelOne, y él me proporcionó comentarios y capturas de pantalla de la plataforma SentinelOne Singularity para este capítulo. En este capítulo se describe una secuencia de ataque de ejemplo basada en Scattered Spider. El objetivo es ilustrar cómo una solución de primera categoría aprovecha varios temas de IR presentados en BTHb, lo que te permite comprender el estado actual de la técnica.

Existen otras soluciones, y es posible que tengas una plataforma EDR premium. Se eligió SentinelOne Singularity porque es líder en el mercado, con una arquitectura altamente escalable, numerosas integraciones y un número significativo de motores analíticos basados en agentes que protegen al cliente sin conexión.

Flujo de ataque de muestra

En este capítulo se detalla un ataque basado en Scattered Spider de y cómo la solución procesa esa secuencia de eventos, genera alertas y ayuda al analista a comprender el ataque. Las alertas se muestran en la Figura 10-1. Los pasos del ataque son los siguientes:

El adversario obtiene acceso inicial a través de un correo electrónico de phishing. ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Ingeniería del rendimiento web en la era de la IA (Spanish Edition)

Publisher Resources

ISBN: 0642572332624

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Manual del equipo azul: respuesta ante incidentes (Spanish Edition)

by Don Murdoch

Capítulo 10. Capacidades de detección y respuestaempresarial

Flujo de ataque de muestra

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.