Select your language

RT-LAB-03: Inteligencia accionable: IoCs IoAs y como hacer que tu SOC no muera en el intento de gestionar tu threat Intel 🔒

Jue 22 ,09:00:00 - 10:35:00 | RootedCON - ROOTED

🔒 (Formación de acceso restringido y coste asociado: 20 plazas máximo, 5$)

IMPORTANTE: todo el dinero de esta formación será donado a una causa social.

Descripción del Curso

Este laboratorio aborda cómo aplicar de forma práctica la inteligencia de amenazas en entornos corporativos, utilizando IoCs (Indicadores de Compromiso) e IoAs (Indicadores de Ataque) para fortalecer la detección y respuesta ante incidentes.

El foco está en correlacionar indicadores dentro de SIEMs, automatizar su uso en firewalls y EDRs, gestionar su vida útil y caducidad, y evitar el colapso del SOC ante el aluvión de amenazas.

Objetivos del Curso

Al finalizar, los participantes serán capaces de:

  • Comprender las diferencias y usos de IoCs vs IoAs.

  • Ingerir, clasificar y usar feeds de inteligencia en herramientas corporativas.

  • Correlacionar eventos e indicadores en un SIEM (ej: ELK, Splunk, Sentinel).

  • Aplicar listas negras en firewalls, proxies y soluciones EDR.

  • Establecer criterios de calidad, caducidad y priorización de IoCs.

  • Evitar el "alert fatigue" mediante buenas prácticas de threat intelligence.

Requisitos de Conocimiento

  • Necesario: Conocimientos de ciberseguridad defensiva, logs, eventos y detección.

  • ⚙️ Deseable: Familiaridad con SIEMs (ej. ELK, Splunk, Sentinel).

  • 🔍 Deseable: Conocimientos básicos sobre feeds de threat intelligence (STIX, MISP, etc.).

Requisitos Técnicos

  • 💻 Portátil con conexión a internet, navegador actualizado.

  • 🧠 Al menos 4 GB de RAM disponibles.

Esquema Formativo

  1. Fundamentos de IoCs e IoAs: concepto, fuentes, tipología y limitaciones

  2. Cómo integrar feeds de threat intel en herramientas defensivas

  3. Correlación de IoCs en SIEM: diseño de reglas y detecciones efectivas

  4. Gestión del ciclo de vida de un IoC: prioridad, calidad y caducidad

  5. Automatización de listas negras en firewalls y soluciones EDR

  6. Técnicas para evitar el “SOC burnout” (alert fatigue y falsos positivos)

  7. Casos prácticos y simulaciones de respuesta basada en threat intel

Temáticas de Referencia

  • IoCs: IPs, hashes, dominios, URLs, firmas

  • IoAs: patrones de comportamiento, tácticas y técnicas MITRE ATT&CK

  • Threat Intelligence Platforms (TIPs) y MISP

  • Reglas Sigma para detección basada en IoCs

  • Correlación contextual en SIEMs

  • Caducidad y validez de indicadores

  • Automatización con scripts, APIs y playbooks SOAR

Ponente(s):

Lucas Varela
RootedCON
No module Published on Offcanvas position