Herramientas para el Análisis de Actividad Maliciosa (6)

Introducción

En ciberseguridad, una buena parte del trabajo consiste en detectar comportamientos sospechosos: tráfico extraño en la red, archivos modificados, malware oculto, etc.
Este capítulo reúne las herramientas fundamentales que usan los analistas para investigar estos casos, tanto en redes como en archivos.

Piensa en este capítulo como una caja de herramientas del detective digital: desde capturar tráfico (como escuchar conversaciones en un pasillo) hasta analizar archivos peligrosos en un entorno seguro (como abrir un paquete sospechoso dentro de una habitación blindada).

Técnicas básicas para analizar actividad maliciosa (5)

 

Introducción

En este capítulo de la guía CySA+ se explican las técnicas básicas para analizar actividad maliciosa en una organización: cómo capturar tráfico, revisar logs, usar SIEM/SOAR, proteger endpoints, analizar ficheros y correos, y por qué ciertos lenguajes de programación son importantes para el analista.​

La idea general es: los sistemas generan muchísimos datos (tráfico, logs, eventos), y tu trabajo como analista es convertir esos datos en señales útiles que te digan cuándo algo raro o peligroso está ocurriendo.

Ideas principales

• Captura de tráfico de red (pcap, pcapng) y herramientas como Wireshark o tcpdump.

• Análisis y correlación de logs con SIEM y automatización de respuesta con SOAR.

• Seguridad en endpoints con soluciones EDR para monitorizar, detectar y responder en equipos finales.

• Reputación de IPs y dominios para detectar rápidamente direcciones sospechosas.

• Análisis de ficheros: estático, dinámico, reputación, código.

• Análisis de comportamiento: usuarios, entidades (servidores), actividad anómala e “impossible travel”.

• Análisis de correo: cargas maliciosas, SPF, DKIM, DMARC, cabeceras, phishing, reenvío a buzones de análisis, firmas digitales, enlaces y suplantación.

• Lenguajes clave para el analista: XML, JSON, shell scripting, regex, PowerShell y Python.

Analizando actividad sospechosa(4)

 

Introducción

En este capítulo de CySA+ se explica cómo detectar actividad potencialmente maliciosa analizando tres grandes áreas: red, equipos (hosts) y aplicaciones. El objetivo es aprender a reconocer “señales de alarma” que pueden convertirse en indicadores de compromiso (IoC) y que te ayudan a detectar ataques antes de que hagan daño serio.

---

Ideas principales

• La labor del analista es “diagnosticar” incidentes separando el ruido de las señales sospechosas.

• Hay indicadores relacionados con la red: consumo de ancho de banda, beaconing, P2P raro, dispositivos “rogue”, escaneos, picos de tráfico y puertos inesperados.

• Hay indicadores en los hosts: consumo anómalo de memoria/CPU/disco/red, software no autorizado, procesos maliciosos, contenido de memoria, cambios no autorizados, privilegios indebidos, exfiltración de datos, cambios en el registro y tareas programadas sospechosas.

• Hay indicadores en aplicaciones: actividad anómala, nuevas cuentas, salidas inesperadas, comunicaciones salientes raras, interrupciones de servicio, desbordamientos de memoria y lo que muestran los logs.

• Además hay indicadores “humanos”: ingeniería social y enlaces ofuscados.Para el examen CySA+ es clave pensar en agregación de evidencias y aplicar “navaja de Occam”: la explicación más sencilla suele ser la correcta.