🔒 (Formación de acceso restringido y coste asociado: 140$)
Descripción del Curso
Este laboratorio introduce los principios de observabilidad y monitorización moderna aplicados a la ciberseguridad. Se centra en el análisis y explotación de logs de sistemas utilizando el stack ELK (Elasticsearch, Logstash, Kibana), abordando buenas prácticas para la detección, correlación y visualización de eventos relevantes.
Además, se explorará la integración con marcos como MITRE ATT&CK / DEFEND y el uso de reglas Sigma para establecer alertas y detecciones efectivas, tanto en entornos Windows como Linux.
Objetivos del Curso
Al finalizar, los participantes serán capaces de:
- Entender los fundamentos de la observabilidad y su aplicación a la ciberseguridad.
- Recolectar y normalizar logs de sistemas Windows y Linux.
- Configurar e interpretar dashboards en Kibana.
- Aplicar reglas Sigma y mapear eventos a técnicas MITRE ATT&CK.
- Identificar buenas prácticas para la generación, recolección y almacenamiento de logs.
Requisitos de Conocimiento
- ✅ Necesario: Conocimiento sólido sobre logs de sistemas operativos (event logs, syslog, journald, etc.).
- ⚙️ Deseable: Familiaridad con los marcos MITRE ATT&CK y MITRE DEFEND.
- 🧠 Deseable: Conocimientos básicos sobre reglas Sigma y YAML.
Requisitos Técnicos
- 💻 Ordenador portátil con capacidad de virtualización.
- 🧠 Al menos 4 GB de RAM libres para entornos virtualizados o contenedores.
- 🔌 Docker instalado (o acceso a máquinas virtuales).
- 🗄️ Acceso a una instancia de ELK (local o cloud) o entorno de prácticas proporcionado.
Esquema Formativo
- Introducción a la observabilidad y diferencia con la monitorización tradicional
- Componentes del stack ELK aplicados a ciberseguridad
- Ingesta de logs desde sistemas Windows y Linux
- Buenas prácticas en normalización, enriquecimiento y filtrado
- Visualización de datos y creación de dashboards en Kibana
- Introducción a Sigma rules y detecciones basadas en logs
- Uso del marco MITRE ATT&CK para análisis y categorización de eventos
- Casos prácticos de detección de amenazas y anomalías
Temáticas de Referencia
- Observabilidad vs monitorización
- Recolección de logs (Winlogbeat, Filebeat, syslog-ng)
- Parsing y enriquecimiento con Logstash
- Visualización efectiva en Kibana
- Correlación y detección con Sigma
- Mapeo de eventos a MITRE ATT&CK
- Mejores prácticas para entornos SOC y Blue Team