🔒 (Formación de acceso restringido y coste asociado: 20 plazas máximo, 5$)
IMPORTANTE: todo el dinero de esta formación será donado a una causa social.
Descripción del Curso
Este laboratorio aborda cómo aplicar de forma práctica la inteligencia de amenazas en entornos corporativos, utilizando IoCs (Indicadores de Compromiso) e IoAs (Indicadores de Ataque) para fortalecer la detección y respuesta ante incidentes.
El foco está en correlacionar indicadores dentro de SIEMs, automatizar su uso en firewalls y EDRs, gestionar su vida útil y caducidad, y evitar el colapso del SOC ante el aluvión de amenazas.
Objetivos del Curso
Al finalizar, los participantes serán capaces de:
- Comprender las diferencias y usos de IoCs vs IoAs.
- Ingerir, clasificar y usar feeds de inteligencia en herramientas corporativas.
- Correlacionar eventos e indicadores en un SIEM (ej: ELK, Splunk, Sentinel).
- Aplicar listas negras en firewalls, proxies y soluciones EDR.
- Establecer criterios de calidad, caducidad y priorización de IoCs.
- Evitar el "alert fatigue" mediante buenas prácticas de threat intelligence.
Requisitos de Conocimiento
- ✅ Necesario: Conocimientos de ciberseguridad defensiva, logs, eventos y detección.
- ⚙️ Deseable: Familiaridad con SIEMs (ej. ELK, Splunk, Sentinel).
- 🔍 Deseable: Conocimientos básicos sobre feeds de threat intelligence (STIX, MISP, etc.).
Requisitos Técnicos
- 💻 Portátil con conexión a internet, navegador actualizado.
- 🧠 Al menos 4 GB de RAM disponibles.
Esquema Formativo
- Fundamentos de IoCs e IoAs: concepto, fuentes, tipología y limitaciones
- Cómo integrar feeds de threat intel en herramientas defensivas
- Correlación de IoCs en SIEM: diseño de reglas y detecciones efectivas
- Gestión del ciclo de vida de un IoC: prioridad, calidad y caducidad
- Automatización de listas negras en firewalls y soluciones EDR
- Técnicas para evitar el “SOC burnout” (alert fatigue y falsos positivos)
- Casos prácticos y simulaciones de respuesta basada en threat intel
Temáticas de Referencia
- IoCs: IPs, hashes, dominios, URLs, firmas
- IoAs: patrones de comportamiento, tácticas y técnicas MITRE ATT&CK
- Threat Intelligence Platforms (TIPs) y MISP
- Reglas Sigma para detección basada en IoCs
- Correlación contextual en SIEMs
- Caducidad y validez de indicadores
- Automatización con scripts, APIs y playbooks SOAR