Temario del curso
Módulo 1: Fundamentos, Arquitectura y Panorama General del Ecosistema SIEM
Establece una comprensión integral de los fundamentos de SIEM (Gestión de Información y Eventos de Seguridad), la arquitectura de la plataforma IBM QRadar, su integración en el ecosistema y el panorama más amplio de la analítica de seguridad, incluidas las plataformas XDR, SOAR e inteligencia contra amenazas.
1.1 Fundamentos de Analítica de Seguridad y SIEM
- El panorama de los SIEM: evolución desde la gestión de registros hasta la analítica de seguridad.
- SIEM vs. SOAR vs. XDR: comprensión de la convergencia de herramientas de seguridad.
- Componentes principales del SIEM: recolección de registros, normalización, correlación y alertas.
- Flujo de trabajo del analista del SOC: detección, triaje, investigación y respuesta.
- Vista previa del marco MITRE ATT&CK y su papel en el mapeo del SIEM.
1.2 Arquitectura de la Plataforma IBM QRadar
- Arquitectura de QRadar on-premise: Procesador de Eventos, Administrador de Registros, Consola y Procesador de Flujos.
- QRadar en la Nube: arquitectura multiinquilino, modelos de ingestión y escalabilidad.
- Despliegue de QRadar Híbrido en la Nube: combinación de capacidades locales y en la nube.
- Opciones de despliegue: Appliances Virtuales, Appliances de Hardware y SaaS.
- Alta Disponibilidad (HA) y configuraciones Activo-Pasivo frente a Activo-Activo.
1.3 Componentes de QRadar y Navegación por la Consola
- Consola IBM QRadar: visión general de la interfaz, espacios de trabajo, paneles de control y navegación.
- Apps complementarias, Marco de Apps de QRadar e IBM App Exchange.
- Explorador de Contexto, Analizador de Riesgos e integración de inteligencia contra amenazas.
- Modelo de datos: Equipos, Dispositivos, Protocolos y Categorías en QRadar.
1.4 El Ecosistema QRadar
- IBM QRadar SOAR: integración de orquestación de seguridad y respuesta automatizada.
- IBM QRadar EDR: integración de detección y respuesta en endpoints.
- Integración de inteligencia contra amenazas (feeds VTI, feeds personalizados).
- Integración con herramientas SIEM: Splunk, Elastic SIEM, IBM QRadar (gestión de fuentes de registros).
1.5 Integración con la Suite de Seguridad IBM
- Integración de IBM QRadar SOAR para automatización y orquestación de playbooks.
- Integración de IBM QRadar EDR para telemetría del endpoint.
- Integración de IBM QRadar VTI (Inteligencia contra Vulnerabilidades y Amenazas).
- Apps y complementos de IBM QRadar App Exchange.
- Integración de IBM QRadar Network Integration Platform (NFI).
Competencias alineadas con el mercado: Fundamentos del SIEM, Gestión de Información y Eventos de Seguridad, Arquitectura de la Plataforma IBM QRadar, Despliegue On-Premise de QRadar, Arquitectura Cloud de QRadar, Seguridad Híbrida en la Nube, Operaciones del SOC y SIEM, Analítica de Seguridad, Integración XDR, Integración con Plataformas SOAR, Plataforma de Inteligencia contra Amenazas (TIP), Mapeo del Marco MITRE ATT&CK, Convergencia de Herramientas de Seguridad, Arquitectura de Seguridad Empresarial, Gestión de Registros y Analítica, Escalabilidad y Planificación de Capacidad del SIEM, Configuración de Alta Disponibilidad (HA), Navegación y Configuración de la Consola QRadar.
Módulo 2: Gestión de Fuentes de Registros, Ingestión de Datos y Normalización
Profundización en la configuración de fuentes de registros, estrategias de recolección de datos, normalización de registros y protocolos esenciales para establecer visibilidad de seguridad empresarial integral en entornos locales, cloud e híbridos.
2.1 Configuración de Fuentes de Registros y Protocolos
- Métodos de recolección de registros: Syslog (RSYSLOG), Conexiones de Red (CEF), Formato de Evento Común (CEF) y Formato de Evento Común de QRadar (CEF).
- Protocolo CEF: encabezado, nombres de extensiones, extensiones personalizadas y mapeo CEF-to-CEF.
- Recolección de registros basada en red: NetFlow v5/v9, IPFIX (sFlow).
- Recolección basada en agente (Agente IBM QRadar) para visibilidad del endpoint.
- Configuración de fuentes de registros para Active Directory, DNS, DHCP, HTTP, SMTP y bases de datos.
- Mejores prácticas para el despliegue de fuentes de registros: fuentes de alto rendimiento, compresión y cifrado.
2.2 Ingestión de Datos y Planificación de Capacidad
- Comprensión del volumen diario de archivos de registro (GLP) y la capacidad de ingesta de datos de eventos diarios.
- Políticas de retención de datos y gestión de retención impulsada por cumplimiento normativo.
- Priorización de fuentes de registros y filtrado de eventos para controlar costos.
- Planificación de capacidad para despliegues SIEM a escala empresarial.
- Cálculos de dimensionamiento y optimización del rendimiento para entornos a gran escala.
2.3 Normalización y Clasificación de Registros
- Motor de Normalización de QRadar: mapeo de formatos nativos de registros a protocolos de QRadar.
- Gestor de Propiedades de la Fuente de Registro y mapeo de protocolos.
- Creación de fuentes de registros personalizadas para logs propietarios.
- Mapeo de eventos, flujos y fuentes de registros.
- Reglas de normalización y resolución de problemas de análisis (parsing).
Competencias alineadas con el mercado: Gestión de Fuentes de Registros, Configuración Syslog, Protocolo CEF, Conexiones de Red (CEF), Despliegue del Agente QRadar, Recolecta de Logs de Active Directory, Recolecta de Logs DNS y DHCP, Recolecta de Logs HTTP/S y SMTP, Integración de Recolecta de Logs de Base de Datos (CEF), Recolecta NetFlow e IPFIX, Despliegue SIEM sin Agentes, Estrategia Empresarial de Recolecta de Logs, Normalización de Registros, Mapeo de Protocolos, Configuración de Fuentes de Registro Personalizadas, Análisis y Clasificación de Eventos, Estimación del Volumen Diario de Registros (DLV), Planificación de Capacidad del SIEM, Sintonización de Rendimiento para SIEM a Gran Escala, Retención de Datos Impulsada por Cumplimiento.
Módulo 3: Detección, Correlación y Desarrollo de Reglas
El núcleo de las operaciones SIEM: construir, probar y gestionar reglas de detección desde reglas simples hasta complejas reglas de correlación compuesta que identifican ataques, anomalías y violaciones de políticas.
El núcleo de las operaciones SIEM: construir, probar y gestionar reglas de detección desde reglas simples hasta complejas reglas de correlación compuesta que identifican ataques, anomalías y violaciones de políticas.
3.1 Reglas de Eventos y Reglas de Agregación
- Reglas de Eventos: filtrado, extracción de campos y creación de atributos personalizados a partir de eventos sin procesar.
- Reglas de Agregación: conteo y agrupación de eventos por IP, protocolo, usuario, etc.
- Acciones de reglas de agregación: notificaciones, umbrales de contador y propiedades personalizadas.
- Activación de reglas, ordenamiento de reglas y lógica de ejecución de reglas.
3.2 Reglas de Correlación Compuesta
- Construcción de reglas de correlación compuesta: unión de datos de múltiples fuentes.
- Tipos de reglas: Eventos, Agregación y Correlación Compuesta.
- Componentes de la regla compuesta: disparadores, agregaciones, correlaciones y acciones.
- Lógica de correlación: correlación temporal, correlación por umbral y correlación contextual.
- Propiedades de reglas de predicción y correlación: niveles de confianza, severidad y escalado.
- Escribir reglas de correlación efectivas: evitar la fatiga de alertas y asegurar la calidad de la señal.
3.3 Reglas de Detección para Técnicas MITRE ATT&CK
- Reglas mapeadas a técnicas MITRE ATT&CK: Acceso Inicial, Ejecución, Persistencia, Escalamiento de Privilegios, Evasión de Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Recopilación, Comando y Control (C2), Exfiltración.
- Detecciones personalizadas para categorías específicas de ataques:
- Reglas para: Fuerza Bruta, Escaneo de Puertos, Comunicación con Malware, Amenaza Interna, Movimiento Lateral, Escalamiento de Privilegios, Exfiltración de Datos, Comando y Control (C2).
- Reglas para: Fallos de Autenticación por Fuerza Bruta, Escaneo de Puertos, Inyección SQL, Túneles DNS, Escalamiento de Privilegios, Movimiento Lateral mediante Pass-the-Hash.
3.4 Caza de Amenazas con Reglas de QRadar
- Metodología proactiva de caza de amenazas utilizando QRadar.
- Construcción de reglas para la detección de amenazas desconocidas/de día cero.
- Análisis de comportamiento y reglas de detección de desviaciones de la línea base.
Competencias alineadas con el mercado: Desarrollo de Reglas de Eventos, Creación de Reglas de Agregación, Desarrollo de Reglas de Correlación Compuesta, Diseño de Reglas de Correlación Personalizadas, Mapeo MITRE ATT&CK, Ingeniería de Detección de Amenazas, Mapeo de Técnicas de Ataque (Acceso Inicial, Ejecución, Persistencia, Escalamiento de Privilegios, Evasión de Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Recopilación, Comando y Control, Exfiltración), Detección de Comunicación con Malware, Detección de Inyección SQL, Detección de Túneles DNS, Regla de Escalamiento de Privilegios, Detección de Fuerza Bruta, Detección de Movimiento Lateral, Detección de Amenaza Interna, Detección de Exfiltración de Datos, Detección de Comando y Control (C2), Gestión de la Fatiga de Alertas, Sintonización y Optimización de Reglas, Ingeniería de Reglas de Detección del SOC, Caza Proactiva de Amenazas.
Módulo 4: Motor de Ofensas de QRadar e Investigación de Incidentes
Cubre en profundidad el motor de ofensas de QRadar: creación de ofensas, flujos de trabajo de investigación, análisis de contexto, gestión de falsos positivos, triaje y manejo de incidentes.
4.1 El Motor de Ofensas
- Creación, agregación y gestión del ciclo de vida de ofensas.
- Propiedades de la ofensa: severidad, confianza, estado y atribución.
- Lógica de agregación de ofensas: agrupar eventos relacionados en incidentes significativos.
- Escalado, asignación y gestión de flujos de trabajo de ofensas.
4.2 Investigación de Incidentes y Análisis de Contexto
- Explorador de Contexto para análisis profundo de eventos y reconstrucción de la línea temporal.
- Análisis de la línea temporal de eventos: reconstrucción cronológica de incidentes de seguridad.
- Análisis de direcciones IP y enriquecimiento con reputación (Inteligencia contra amenazas).
- Contexto de usuario y activo: actividad del usuario, inventario de hosts y análisis de riesgo de activos.
- Eventos correlacionados en las vistas de detalle de ofensas y eventos.
- Correlación de eventos, agrupación de eventos y recopilación de evidencia.
4.3 Integración de Inteligencia contra Amenazas
- Integración de feeds de Inteligencia contra Vulnerabilidades y Amenazas (VTI).
- Enriquecimiento automático de inteligencia contra amenazas con IBM QRadar VTI.
- Cargas de feeds personalizados y perfiles de actores de amenazas.
- Contexto de inteligencia contra amenazas en ofensas y análisis de riesgo.
4.4 Gestión de Falsos Positivos y Sintonización de Reglas
- Identificación y clasificación de falsos positivos en el Motor de Ofensas.
- Reglas de supresión de falsos positivos y flujos de trabajo de supresión.
- Sintonización de reglas: reducción de ruido manteniendo la sensibilidad de detección.
- Documentación de incidentes de falsos positivos para la mejora continua.
Competencias alineadas con el mercado: Gestión del Motor de Ofensas de QRadar, Investigación y Análisis de Incidentes, Investigación de Amenazas, Uso del Explorador de Contexto, Análisis de Línea Temporal de Eventos, Análisis de Reputación de IP, Análisis de Riesgo de Activos, Enriquecimiento de Inteligencia contra Amenazas, Integración de Feeds VTI, Gestión de Falsos Positivos, Sintonización de Alertas y Reducción de Ruido, Flujo de Trabajo de Respuesta a Incidentes del SOC, Ciclo de Vida de Incidentes de Seguridad, Análisis de Indicadores de Compromiso, Atribución de Amenazas Cibernéticas.
Módulo 5: Gestión de Vulnerabilidades de QRadar (QVM) y Administrador de Riesgos (QRM)
Profundización en IBM QVM: integración de análisis de vulnerabilidades, priorización basada en riesgo de vulnerabilidades, configuraciones de gestión de riesgos y evaluación de la postura de seguridad impulsada por riesgos.
5.1 Administrador de Vulnerabilidades IBM QRadar (QVM)
- Arquitectura de QVM: integración con analizadores Nessus, Qualys y Rapid7.
- Flujos de trabajo de análisis de vulnerabilidades y programación de análisis.
- Análisis de resultados de evaluación de vulnerabilidades e integración con QRadar.
- Correlación de puntuaciones CVSS y clasificación de severidad de vulnerabilidades.
- Análisis de tendencias de vulnerabilidades y priorización de remediación.
5.2 Administrador de Riesgos IBM QRadar (QRM)
- Arquitectura de QRM: motor de cálculo de riesgos y metodología de puntuación de riesgos.
- Configuración de reglas de riesgo: criticidad del activo, probabilidad de explotación de vulnerabilidades, perfiles de riesgo del activo.
- Cálculo de la puntuación de riesgo: combinación de datos de vulnerabilidad, inteligencia contra amenazas, datos de ofensas y valor del activo.
- Clasificación de activos basada en riesgos y configuración de paneles de control de riesgos.
- Priorización de activos impulsada por riesgos y priorización de remediación impulsada por riesgos.
Competencias alineadas con el mercado: Evaluación y Gestión de Vulnerabilidades, Administrador de Vulnerabilidades IBM QRadar (QVM), Correlación de Puntuaciones CVE, Integración de Análisis de Vulnerabilidades, Integración Qualys/Nessus, Priorización Basada en Riesgo de Vulnerabilidades, Administrador de Riesgos IBM QRadar (QRM), Cálculo de Puntuación de Riesgo, Evaluación de Criticidad de Activos, Remediación Impulsada por Riesgos, Configuración de Panel de Control de Riesgos, Análisis de Tendencias de Vulnerabilidades, Gestión Empresarial de Vulnerabilidades, Evaluación y Gestión de Riesgos Empresariales.
Módulo 6: QRadar SOAR, Automatización y Respuesta a Incidentes
Cubre IBM QRadar SOAR (Orquestación, Automatización y Respuesta de Seguridad), orquestación de playbooks, automatización de runbooks y automatización de respuesta a incidentes esenciales para las operaciones modernas del SOC.
6.1 Panorama General de IBM QRadar SOAR
- Orquestación de seguridad y respuesta automatizada: definición y valor.
- Arquitectura y componentes de QRadar SOAR: playbooks, incidentes, acciones de automatización y acciones de datos.
- Integración de QRadar SOAR: conexión de SIEM, EDR, inteligencia contra amenazas y sistemas de tickets (ServiceNow, Jira).
- SOAR frente a la automatización tradicional: orquestación de flujos de trabajo basada en playbooks.
6.2 Diseño y Ejecución de Playbooks
- Creación de playbooks: construcción de flujos de trabajo de investigación y respuesta automatizados.
- Disparadores de playbooks: creación de ofensas, disparadores de reglas y activación manual.
- Acciones de playbooks: enriquecer direcciones IP, bloquear IPs, crear tickets, consultar feeds de amenazas.
- Condiciones de playbooks y lógica de ramificación.
6.3 Automatización de Respuesta a Incidentes
- Respuesta automatizada a incidentes: desde la alerta hasta la contención en minutos.
- Caza de amenazas automatizada: investigación de amenazas impulsada por playbooks.
- Contención automatizada de incidentes: bloqueo de IP, aislamiento del endpoint y suspensión de cuentas.
- Flujos de trabajo de respuesta automatizada a incidentes para ransomware, phishing, ataques de fuerza bruta y amenazas internas.
6.4 Integración con Sistemas Externos
- Integraciones de QRadar SOAR con ServiceNow, Jira, Slack, correo electrónico y sistemas basados en webhook.
- Integración de API personalizada con plataformas de inteligencia contra amenazas.
- Integración EDR para acciones automatizadas del endpoint.
- Automatización del análisis de payloads (archivos, URL, dominios).
Competencias alineadas con el mercado: Orquestación de Seguridad, Automatización e Inteligencia Artificial y Respuesta (SOAR), IBM QRadar SOAR, Automatización de Playbooks, Diseño de Runbooks, Orquestación de Flujos de Trabajo de Respuesta a Incidentes Automatizados, Automatización de Seguridad Impulsada por API, Integración de Inteligencia contra Amenazas, Automatización de Contención de Incidentes, Análisis Automático de Amenazas, Integración de ServiceNow para Seguridad, Automatización de Sistemas de Tickets, Automatización de Respuesta del Endpoint, Lista Negra Automatizada de IPs, Automatización de Respuesta al Phishing, Automatización de Respuesta a Ransomware.
Módulo 7: Forense de QRadar, Forense de Red y Análisis de Datos
Cubre IBM QRadar Incident Forensics (QRIF) y capacidades de investigación forense, forense de red (NFI) para análisis de captura de paquetes y técnicas de análisis forense utilizadas en la investigación de incidentes.
7.1 IBM QRadar Forensics (QRIF)
- QRIF: recopilación y almacenamiento de datos forenses para investigaciones.
- Fuentes de datos forenses: capturas de paquetes, registros de eventos y forense del endpoint.
- Análisis forense: reconstrucción de líneas temporales, análisis de archivos y análisis forense de red.
- Preservación de evidencia forense y cadena de custodia.
- Herramientas y técnicas de análisis forense dentro de QRIF.
7.2 Forense e Inspección de Red (NFI)
- Forense de red: análisis de capturas de paquetes e inspección de tráfico de red.
- Análisis de datos de flujo: NetFlow, sFlow e IPFIX en la forense de red de QRadar.
- Análisis de protocolos: inspección personalizada de HTTP, DNS, SMTP, SSH, FTP y otros protocolos.
- Detección de amenazas a través de la forense de red: beaconing de C2, exfiltración de datos y detección de movimiento lateral.
- Identificación de patrones de tráfico sospechosos.
7.3 Analítica de Comportamiento de Usuarios y Entidades (UEBA)
- UEBA: comprensión de la línea base del comportamiento del usuario y detección de anomalías.
- Fuentes de datos UEBA: Active Directory, registros de proxy, registros del endpoint, registros DLP, registros de autenticación, registros de nube.
- Puntuación UEBA: puntuaciones de riesgo de usuario y puntuaciones de riesgo de entidad.
- Detección de amenazas impulsada por UEBA: cuentas comprometidas, amenazas internas y exfiltración de datos.
Competencias alineadas con el mercado: Forense de Incidentes QRadar (QRIF), Recopilación de Datos Forenses, Investigación y Análisis Forense, Forense de Red, Análisis de Captura de Paquetes, Análisis de Datos de Flujo, Detección de Amenazas a Través de la Forense de Red, Analítica de Comportamiento de Usuarios y Entidades (UEBA), Detección de Anomalías de Usuario, Detección de Amenazas Internas, Detección de Cuentas Comprometidas, Exfiltración de Datos Mediante el Comportamiento del Usuario, Detección de Beaconing C2, Movimiento Lateral a Través de la Forense de Red, Forense Digital y Respuesta a Incidentes (DFIR), Preservación de Evidencia y Cadena de Custodia, Análisis de Protocolo, Forense de Registros de Seguridad, Caza de Amenazas Mediante Analítica de Red.
Módulo 8: SIEM en la Nube, SIEM-as-Code, Cumplimiento y Operaciones SIEM
Evalúa las operaciones de IBM QRadar, escalabilidad, informes de cumplimiento, integración de SIEM en la nube, prácticas de detección-as-code y gobernanza del SOC esenciales para el despliegue empresarial de SIEM.
8.1 Operaciones y Administración de QRadar
- Administración de QRadar: roles de usuario, permisos y políticas de seguridad.
- Auditoría de configuraciones de QRadar y registros de acceso.
- Informes programados y diseño de informes personalizados para gestión y cumplimiento.
- Tareas programadas: copia de seguridad/restauración, limpieza de base de datos y mantenimiento.
- Configuración del servidor Syslog para el reenvío de registros SIEM.
- Actualizaciones de software y gestión de parches para appliances de QRadar.
8.2 Informes de Cumplimiento y Mapeo Regulatorio
- Requisitos SIEM de PCI DSS e informes de cumplimiento de QRadar.
- Mapeo de cumplimiento con HIPAA, GDPR, SOX, NIST CSF e ISO 27001 con informes de QRadar.
- Informes de auditoría regulatoria: plantillas de informes personalizados para auditores PCI DSS y HIPAA.
- Monitoreo de cumplimiento en tiempo real y paneles de control de cumplimiento continuo.
8.3 SIEM-as-Code e Infraestructura como Código
- Gestión de reglas SIEM con control de versiones: despliegue de reglas basado en Git.
- Terraform y Ansible para aprovisionamiento y configuración de appliances de QRadar.
- Pipeline CI/CD para reglas SIEM y playbooks.
- Automatización impulsada por API de QRadar para despliegue y gestión de reglas.
8.4 SIEM en la Nube y Seguridad Híbrida en la Nube
- Integración de fuentes de registros de nube: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor.
- Estrategias SIEM nativas de la nube: SIEM para entornos SaaS (AWS, Azure, GCP, Office 365, AWS).
- Integraciones SIEM de microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs y Google Cloud Logging.
- Monitoreo de identidad y acceso en la nube: IAM, Active Directory, Entra ID.
- Protección de cargas de trabajo en la nube e integración con SIEM.
8.5 Detección de Amenazas de Identidad
- La identidad como la nueva frontera de amenazas: detección de compromiso de cuentas.
- Detección de amenazas en Active Directory: Kerberoasting, AS-REP roasting, ataques de tickets Golden/Sid.
- Detección de bypass de autenticación multifactor (MFA).
- Monitoreo de Gestión de Identidad Privilegiada (PIM).
8.6 Monitoreo de Zero Trust
- Monitoreo de arquitectura Zero Trust: controles de identidad, dispositivo y red.
- Monitoreo de microsegmentación y validación de políticas de aplicación.
- Informes de cumplimiento de Zero Trust mediante integración con SIEM.
8.7 Operaciones del SOC y Gobernanza del SIEM
- Métricas e indicadores clave (KPI) del SOC: MTTR (Tiempo Medio de Respuesta), MTTD para monitoreo SIEM.
- Evaluación de madurez del SOC y mejora del SOC impulsada por SIEM.
- Gobernanza del SIEM: gestión de reglas, seguimiento de falsos positivos y mejora continua.
- Mejores prácticas operativas del SIEM: monitoreo, alertas y procedimientos de escalado.
Competencias alineadas con el mercado: Administración de QRadar, Operaciones y Gestión SIEM, Gestión de Cumplimiento SIEM, Informes de Cumplimiento SIEM PCI D, Cumplimiento SIEM HIPAA y GDPR, Cumplimiento SIEM SOX e ISO 27001, Mapeo SIEM NIST CSF, Monitoreo de Cumplimiento Continuo, Informes Personalizados de Cumplimiento, SIEM-as-Code e Infraestructura como Código, Terraform para SIEM, Ansible para Despliegue SIEM, CI/CD para Reglas SIEM, Automatización API QRadar, Integración SIEM en la Nube, AWS CloudTrail SIEM, Integración Microsoft Sentinel, GCP Cloud Logging SIEM, Azure Monitor SIEM, Integración SIEM Office 365, SIEM Nativo de la Nube, Monitoreo Zero Trust, Detección de Amenazas IAM, Detección de Amenazas de Identidad, Detección de Amenazas Active Directory, Detección de Ataques Kerberos, Monitoreo de Identidad Privilegiada, Seguridad de Autenticación Multifactor (MFA), Gestión de KPI y Métricas SOC, Evaluación de Madurez del SOC, Mejores Prácticas Operativas del SIEM, Gobernanza de Respuesta a Incidentes, Gestión del Ciclo de Vida de Reglas SIEM, Gobernanza Enterprise SIEM.
Módulo 9: Proyecto Final y Escenarios de Amenazas del Mundo Real
Un capstone práctico integral que simula escenarios de seguridad empresarial, incluyendo detección de amenazas, investigación y respuesta a incidentes utilizando IBM QRadar.
9.1 Proyecto Final: Escenario de Seguridad Empresarial
- Configuración del entorno empresarial simulado con fuentes de registros realistas y escenarios de ataque.
- Despliegue de fuentes de registros y configuración de políticas de recolección de registros.
- Construcción de reglas de detección mapeadas a MITRE ATT&CK.
- Investigación de datos de ofensas del mundo real en QRadar y realización de análisis forense.
- Diseño y despliegue de playbooks SOAR para respuesta automatizada.
- Generación de informes de cumplimiento para PCI DSS, HIPAA y GDPR.
- Ejecución de planificación de capacidad y escalado del despliegue SIEM.
9.2 Escenarios de Amenazas del Mundo Real
- Ataques simulados: despliegue de ransomware, amenaza interna, movimiento lateral, ataques de fuerza bruta, ataques a la cadena de suministro y phishing.
- Detección de ransomware: movimiento lateral, agrupación de datos y detección de movimiento lateral.
- Amenaza interna: intentos de exfiltración de datos y detección de anomalías.
- Detección de ataque a la cadena de suministro: detección de acceso comprometido del proveedor.
- Respuesta al phishing: bloqueo automatizado de URL y flujos de trabajo de investigación de correo electrónico.
- Caza de amenazas de día cero: detección de amenazas desconocidas utilizando técnicas de caza sin reglas.
- Detección de Amenazas Persistentes Avanzadas (APT) utilizando UEBA y análisis forense.
Competencias alineadas con el mercado: Entrega de Proyectos de Seguridad Capstone, Simulación Enterprise SIEM, Diseño de Escenarios de Amenazas del Mundo Real, Despliegue de Reglas de Detección MITRE ATT&CK, Investigación de Incidentes SOC, Diseño de Playbook QRadar SOAR, Simulación de Respuesta a Ransomware, Detección de Amenaza Interna, Automatización de Respuesta al Phishing, Detección de Ataque a la Cadena de Suministro, Caza de Amenazas de Día Cero, Detección de Amenaza Persistente Avanzada (APT), Planificación y Escalamiento de Capacidad SIEM, Informes Multi-Cumplimiento (PCI DSS, HIPAA, GDPR), Respuesta a Amenazas Empresariales, Investigación Forense de Amenazas, Enriquecimiento de Inteligencia contra Amenazas, Contención Automatizada de Incidentes, Simulación de Operaciones del SOC, Práctica de Ingeniería SIEM a Gran Escala.
Requerimientos
- Comprensión básica de la seguridad informática (IT security).
Público Objetivo
- Ingenieros de Seguridad.