😀Guia Gestion de Incidentes
Tipos de Metodologías mas importantes actualmente:
Conceptos basicos:
IDS: (intrusion detection system) detectan si hay un comportamiento anomalo , lanza una alerta Ej suricata y snort
IPS: (intrusion prevention system) detectan comportamiento anomalo, lanzan la alerta y realiza una accion(bloquear comunicacion por ejemplo).Ej: suricata y snort
HIDS/HIPS:Es lo mismo que ips /ids pero instalado en el equipo(host) , es decir este es en local y los ids/ips son en red, se puede utilizar por ejemplo para comprobar periodicamente la integridad de los archivos para que no sean modificados y te alerte el programa que los modifico si se da el caso.Ej:Wazuh
SIEM:Herramienta de monitorizacion y analisis.Fase 2
EDR(endpoint detection response)/XDR(extended detection response):Es un SIEM que ademas de analizar , actua.Fase 2 y 3, Ej:wazuh
Playbook: Es una guia que se debe seguir cuando se de un incidente que debe crearse en la Fase 1
Runbook:Es un playbook pero automatizado
Standard Operation Procedure: Es una forma empresarial de llamar a playbook y runbook
SOAR(security orchestration automation and response):Es la herramienta para automatizar playbooks.EJ: Catalyst
TLP(trafic ligth protocol):Como de confidencial es la informacion de ese incidente(rojo ,ambar , verde , blanco)
PAP(policy analisys process):Es para saber si el atacante puede saber o no que lo has detectado.
TTP(tacticas, tecnicas y procedimientos de los atacantes):Es decir las tecnicas que utiliza para llegar a un objetivo un atacante.Ej: Mitre-ATT
IOC(indicador de compromiso):Pistas que obtienes del atacante , ej su ip , hashes de los archivos que utiliza , dominio que utiliza , servidores dns, irregularidades geograficas(vpn)...
MSSP:Proveedor de servicios de seguridad gestionado.Es muy parecido a SOC , la diferencia es que el soc trabaja dentro de la misma empresa y el mssp trabaja desde fuera para esa empresa, es como un proveedor de SOC.Un SOC externo.Fase todas ya que dependiendo del cliente cubrira una u otras.Ej: Microsoft Sentinel
CERT/CIRT/CSIRT:Es un pequeña parte de un SOC que se encargan de la respuesta a incidentes . Fase 3, Ej: incibe-cert
Last updated