IBM QRadar SIEM: De Principiante a Avanzado

Módulo 1: Fundamentos del SIEM, Arquitectura y Visión General del Ecosistema

Establece una comprensión integral de los fundamentos del SIEM (Gestión de Información y Eventos de Seguridad), la arquitectura de la plataforma IBM QRadar, su integración en el ecosistema y el panorama más amplio de la analítica de seguridad, incluyendo XDR, SOAR y plataformas de inteligencia de amenazas.

1.1 Fundamentos de la Analítica de Seguridad y el SIEM

• El panorama del SIEM: evolución desde la gestión de registros hasta la analítica de seguridad.
• SIEM vs. SOAR vs. XDR: comprendiendo la convergencia de herramientas de seguridad.
• Componentes principales del SIEM: recopilación de registros, normalización, correlación y alertas.
• Flujo de trabajo del analista del SOC: detección, triaje, investigación y respuesta.
• Vista general del marco MITRE ATT&CK y su papel en el mapeo del SIEM.

1.2 Arquitectura de la Plataforma IBM QRadar

• Arquitectura de QRadar on-premises: Procesador de Eventos, Administrador de Registros, Consola y Procesador de Flujos.
• QRadar en la Nube: arquitectura multiinquilino, modelos de ingestión y escalabilidad.
• Despliegue de QRadar en Híbrido Cloud: combinando capacidades locales y en la nube.
• Opciones de despliegue: Appliances Virtuales, Appliances de Hardware y SaaS.
• Alta Disponibilidad (HA) y configuraciones Activo-Pasivo vs. Activo-Activo.

1.3 Componentes de QRadar y Navegación por la Consola

• Consola IBM QRadar: Vista general de la interfaz, espacios de trabajo, paneles de control y navegación.
• Apps complementarias, Marco de Apps QRadar e IBM App Exchange.
• Explorador de Contexto, Analizador de Riesgo e integración con inteligencia de amenazas.
• Modelo de datos: Hosts, Dispositivos, Protocolos y Categorías en QRadar.

1.4 El Ecosistema QRadar

• IBM QRadar SOAR: Integración de orquestación y respuesta automatizada de seguridad.
• IBM QRadar EDR: Integración de detección y respuesta en el extremo.
• Integración con Inteligencia de Amenazas (fuentes VTI, fuentes personalizadas).
• Integración con herramientas SIEM: Splunk, Elastic SIEM, IBM QRadar (gestión de fuentes de registro).

1.5 Integración con el Ecosistema de Seguridad de IBM

• Integración de IBM QRadar SOAR para automatización y orquestación de playbooks.
• Integración de IBM QRadar EDR para telemetría del extremo.
• Integración de IBM QRadar VTI (Inteligencia de Vulnerabilidades y Amenazas).
• Apps y complementos de IBM QRadar App Exchange.
• Integración de la Plataforma de Integración de Redes de IBM QRadar (NFI).

Competencias alineadas al mercado: Fundamentos del SIEM, Gestión de Información y Eventos de Seguridad, Arquitectura de la Plataforma IBM QRadar, Despliegue de QRadar On-Prem, Arquitectura de QRadar en la Nube, Seguridad en Cloud Híbrido, Operaciones del SOC y SIEM, Analítica de Seguridad, Integración XDR, Integración de Plataforma SOAR, Plataforma de Inteligencia de Amenazas (TIP), Mapeo del Marco MITRE ATT&CK, Convergencia de Herramientas de Seguridad, Arquitectura de Seguridad Empresarial, Gestión de Registros y Analítica, Escalabilidad y Planificación de Capacidad del SIEM, Configuración de Alta Disponibilidad (HA), Navegación y Configuración de la Consola QRadar.

Módulo 2: Gestión de Fuentes de Registro, Ingestión de Datos y Normalización

Análisis profundo de la configuración de fuentes de registro, estrategias de recopilación de datos, normalización de registros y protocolos esenciales para establecer la visibilidad de seguridad en toda la empresa en entornos locales, en la nube e híbridos.

2.1 Configuración de Fuentes de Registro y Protocolos

• Métodos de recopilación de registros: Syslog (RSYSLOG), Conexiones de Red (CEF), Formato Común de Eventos (CEF) y CEF de QRadar.
• Protocolo CEF: encabezado, nombres de extensiones, extensiones personalizadas y mapeo CEF a CEF.
• Recopilación de registros basada en la red: NetFlow v5/v9, IPFIX (sFlow).
• Recopilación basada en agentes (Agente IBM QRadar) para visibilidad del extremo.
• Configuración de fuentes de registro de Active Directory, DNS, DHCP, HTTP, SMTP y bases de datos.
• Mejores prácticas de despliegue de fuentes de registro: fuentes de alto rendimiento, compresión y cifrado.

2.2 Ingestión de Datos y Planificación de Capacidad

• Comprensión del volumen diario de archivos de registro (GLP) y la capacidad de ingestión de datos de eventos diarios.
• Políticas de retención de datos y gestión de retención impulsada por cumplimiento normativo.
• Priorización de fuentes de registro y filtrado de eventos para controlar costos.
• Planificación de capacidad para despliegues de SIEM a escala empresarial.
• Cálculos de dimensionamiento y optimización del rendimiento para entornos a gran escala.

2.3 Normalización y Clasificación de Registros

• El Motor de Normalización de QRadar: mapeo de formatos nativos de registros a protocolos de QRadar.
• Gestor de Propiedades de la Fuente de Registro y mapeo de protocolos.
• Creación de fuentes de registro personalizadas para logs propietarios.
• Mapeo de eventos, flujos y fuentes de registro.
• Reglas de normalización y resolución de problemas de análisis.

Competencias alineadas al mercado: Gestión de Fuentes de Registro, Configuración de Syslog, Protocolo CEF, Conexiones de Red (CEF), Despliegue del Agente QRadar, Recopilación de Registros de Active Directory, Recopilación de Registros de DNS y DHCP, Recopilación de Registros de HTTP/S y SMTP, Integración con Recopilación de Registros de Base de Datos (CEF), Recopilación NetFlow e IPFIX, Despliegue SIEM sin Agentes, Estrategia de Recopilación de Registros Empresarial, Normalización de Registros, Mapeo de Protocolos, Configuración de Fuentes de Registro Personalizadas, Análisis y Clasificación de Eventos, Estimación del Volumen Diario de Registros (DLV), Planificación de Capacidad del SIEM, Ajuste de Rendimiento para SIEM a Gran Escala, Retención de Datos Impulsada por Cumplimiento.

Módulo 3: Detección, Correlación y Desarrollo de Reglas

El núcleo de las operaciones del SIEM: construcción, prueba y gestión de reglas de detección desde reglas de eventos simples hasta reglas complejas de correlación compuesta que identifican ataques, anomalías y violaciones de políticas.

El núcleo de las operaciones del SIEM: construcción, prueba y gestión de reglas de detección desde reglas de eventos simples hasta reglas complejas de correlación compuesta que identifican ataques, anomalías y violaciones de políticas.

3.1 Reglas de Eventos y Reglas de Agregación

• Reglas de Eventos: filtrado, extracción de campos y creación de atributos personalizados a partir de eventos en crudo.
• Reglas de Agregación: conteo y agrupación de eventos por IP, protocolo, usuario, etc.
• Acciones de reglas de agregación: notificaciones, umbrales de contadores y propiedades personalizadas.
• Activación de reglas, ordenamiento de reglas y lógica de ejecución.

3.2 Reglas de Correlación Compuesta

• Construcción de reglas de correlación compuesta: unión de datos de múltiples fuentes.
• Tipos de reglas: Evento, Agregación y Correlación Compuesta.
• Componentes de la regla compuesta: disparadores, agregaciones, correlaciones y acciones.
• Lógica de correlación: correlación temporal, por umbral y contextual.
• Propiedades de reglas de predicción y correlación: niveles de confianza, severidad y escalado.
• Escritura de reglas de correlación efectivas: evitando la fatiga de alertas y garantizando la calidad de la señal.

3.3 Reglas de Detección para Técnicas MITRE ATT&CK

• Reglas mapeadas a técnicas MITRE ATT&CK: Acceso Inicial, Ejecución, Persistencia, Escalamiento de Privilegios, Evasión de Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Recolección, Comando y Control (C2), Exfiltración.
• Detecciones personalizadas para categorías específicas de ataques:
• Reglas para: Fuerza Bruta, Escaneo de Puertos, Comunicación de Malware, Amenaza Interna, Movimiento Lateral, Escalamiento de Privilegios, Exfiltración de Datos, Comando y Control (C2).
• Reglas para: Fallos de Autenticación por Fuerza Bruta, Escaneo de Puertos, Inyección SQL, Túnel DNS, Escalamiento de Privilegios, Movimiento Lateral mediante Pass-the-Hash.

3.4 Búsqueda de Amenazas con Reglas QRadar

• Metodología proactiva de búsqueda de amenazas utilizando QRadar.
• Construcción de reglas para la detección de amenazas desconocidas/de día cero.
• Reglas de análisis de comportamiento y detección de desviaciones de línea base.

Competencias alineadas al mercado: Desarrollo de Reglas de Eventos, Creación de Reglas de Agregación, Desarrollo de Reglas de Correlación Compuesta, Diseño de Reglas de Correlación Personalizadas, Mapeo MITRE ATT&CK, Ingeniería de Detección de Amenazas, Mapeo de Técnicas de Ataque (Acceso Inicial, Ejecución, Persistencia, Escalamiento de Privilegios, Evasión de Defensa, Acceso a Credenciales, Descubrimiento, Movimiento Lateral, Recolección, Comando y Control, Exfiltración), Detección de Comunicación de Malware, Detección de Inyección SQL, Detección de Túnel DNS, Regla de Escalamiento de Privilegios, Detección de Fuerza Bruta, Detección de Movimiento Lateral, Detección de Amenaza Interna, Detección de Exfiltración de Datos, Detección de Comando y Control (C2), Gestión de Fatiga de Alertas, Ajuste y Optimización de Reglas, Ingeniería de Reglas de Detección del SOC, Búsqueda Proactiva de Amenazas.

Módulo 4: Motor de Ofensas QRadar e Investigación de Incidentes

Cubre en profundidad el motor de ofensas de QRadar: creación de ofensas, flujos de trabajo de investigación, análisis contextual, gestión de falsos positivos, triaje y manejo de incidentes.

4.1 El Motor de Ofensas

• Creación, agregación y gestión del ciclo de vida de las ofensas.
• Propiedades de la ofensa: severidad, confianza, estado y atribución.
• Lógica de agregación de ofensas: agrupamiento de eventos relacionados en incidentes significativos.
• Escalado, asignación y gestión del flujo de trabajo de las ofensas.

4.2 Investigación de Incidentes y Análisis Contextual

• Explorador de Contexto para análisis profundo de eventos y reconstrucción de líneas de tiempo.
• Análisis de la línea de tiempo de eventos: reconstrucción cronológica de incidentes de seguridad.
• Análisis de direcciones IP y enriquecimiento con reputación (Inteligencia de Amenazas).
• Contexto de usuario y activo: actividad del usuario, inventario de hosts y análisis de riesgo del activo.
• Eventos de correlación en vistas detalladas de ofensas y eventos.
• Correlación de eventos, agrupamiento de eventos y recopilación de pruebas.

4.3 Integración con Inteligencia de Amenazas

• Integración de fuentes de Vulnerabilidad e Inteligencia de Amenazas (VTI).
• Enriquecimiento automatizado de inteligencia de amenazas con IBM QRadar VTI.
• Carga de fuentes personalizadas de amenazas y perfiles de actores de amenazas.
• Contexto de inteligencia de amenazas en ofensas y análisis de riesgo.

4.4 Gestión de Falsos Positivos y Ajuste de Reglas

• Identificación y clasificación de falsos positivos en el Motor de Ofensas.
• Reglas y flujos de trabajo de supresión de falsos positivos.
• Ajuste de reglas: reducción de ruido manteniendo la sensibilidad de detección.
• Documentación de incidentes de falsos positivos para mejora continua.

Competencias alineadas al mercado: Gestión del Motor de Ofensas QRadar, Investigación y Análisis de Incidentes, Investigación de Amenazas, Uso del Explorador de Contexto, Análisis de Línea de Tiempo de Eventos, Análisis de Reputación de IP, Análisis de Riesgo de Activos, Enriquecimiento de Inteligencia de Amenazas, Integración de Fuentes VTI, Gestión de Falsos Positivos, Ajuste de Alertas y Reducción de Ruido, Flujo de Trabajo de Respuesta de Incidentes del SOC, Ciclo de Vida del Incidente de Seguridad, Análisis de Indicadores de Compromiso (IOC), Atribución de Ciberamenazas.

Módulo 5: Gestión de Vulnerabilidades QRadar (QVM) y Gerente de Riesgos (QRM)

Análisis profundo de IBM QVM: integración de escaneo de vulnerabilidades, priorización de vulnerabilidades basada en riesgos, configuraciones de gestión de riesgos y evaluación de la postura de seguridad impulsada por riesgos.

5.1 Administrador de Vulnerabilidades IBM QRadar (QVM)

• Arquitectura de QVM: integración con escáneres Nessus, Qualys y Rapid7.
• Flujos de trabajo de escaneo de vulnerabilidades y programación de escaneos.
• Análisis de resultados de evaluación de vulnerabilidades e integración con QRadar.
• Correlación de puntajes CVSS y clasificación de severidad de vulnerabilidades.
• Análisis de tendencias de vulnerabilidad y priorización de remediación.

5.2 Gerente de Riesgos IBM QRadar (QRM)

• Arquitectura de QRM: motor de cálculo de riesgos y metodología de puntuación de riesgo.
• Configuración de reglas de riesgo: criticidad del activo, probabilidad de explotación de vulnerabilidades, perfiles de riesgo de activos.
• Cálculo de la puntuación de riesgo: combinación de datos de vulnerabilidad, inteligencia de amenazas, datos de ofensa y valor del activo.
• Clasificación de activos basada en riesgos y configuración del panel de control de riesgos.
• Priorización de activos impulsada por riesgos y priorización de remediación impulsada por riesgos.

Competencias alineadas al mercado: Evaluación y Gestión de Vulnerabilidades, Administrador de Vulnerabilidades IBM QRadar (QVM), Correlación de Puntajes CVE, Integración de Escaneo de Vulnerabilidades, Integración Qualys/Nessus, Priorización de Vulnerabilidades Basada en Riesgos, Gerente de Riesgos IBM QRadar (QRM), Cálculo de Puntuación de Riesgo, Evaluación de Criticidad del Activo, Remediación Impulsada por Riesgos, Configuración de Panel de Control de Riesgos, Análisis de Tendencias de Vulnerabilidad, Gestión de Vulnerabilidades Empresarial, Evaluación y Gestión de Riesgos Empresariales.

Módulo 6: QRadar SOAR, Automatización y Respuesta a Incidentes

Cubre IBM QRadar SOAR (Orquestación, Automatización y Respuesta de Seguridad), orquestación de playbooks, automatización de runbooks y automatización de respuesta a incidentes esenciales para las operaciones modernas del SOC.

6.1 Visión General de IBM QRadar SOAR

• Orquestación de seguridad y respuesta automatizada: definición y valor.
• Arquitectura y componentes de QRadar SOAR: playbooks, incidentes, acciones de automatización y acciones de datos.
• Integración de QRadar SOAR: conectando SIEM, EDR, inteligencia de amenazas y sistemas de tickets (ServiceNow, Jira).
• SOAR vs. automatización tradicional: orquestación de flujos de trabajo impulsada por playbooks.

6.2 Diseño y Ejecución de Playbooks

• Creación de playbooks: construcción de flujos de trabajo de investigación y respuesta automatizados.
• Disparadores de playbook: creación de ofensas, activación por reglas y activación manual.
• Acciones de playbook: enriquecer direcciones IP, bloquear IPs, crear tickets, consultar fuentes de amenazas.
• Condiciones de playbook y lógica de ramificación.

6.3 Automatización de Respuesta a Incidentes

• Respuesta automatizada a incidentes: de la alerta a la contención en minutos.
• Búsqueda automatizada de amenazas: investigación de amenazas impulsada por playbooks.
• Contención automatizada de incidentes: bloqueo de IP, aislamiento del extremo y suspensión de cuentas.
• Flujos de trabajo de respuesta a incidentes automatizados para ransomware, phishing, ataques de fuerza bruta y amenazas internas.

6.4 Integración con Sistemas Externos

• Integraciones de QRadar SOAR con ServiceNow, Jira, Slack, correo electrónico y sistemas basados en webhooks.
• Integración de API personalizada con plataformas de Inteligencia de Amenazas.
• Integración EDR para acciones automatizadas del extremo.
• Automatización de análisis de cargas (archivos, URLs, dominios).

Competencias alineadas al mercado: Orquestación de Seguridad, Automatización de IA y Respuesta (SOAR), IBM QRadar SOAR, Automatización de Playbooks, Diseño de Runbooks, Orquestación de Flujos de Trabajo de Respuesta a Incidentes Automatizados, Automatización de Seguridad Basada en API, Integración de Inteligencia de Amenazas, Automatización de Contención de Incidentes, Análisis Automatizado de Amenazas, Integración ServiceNow para Seguridad, Automatización de Sistemas de Tickets, Automatización de Respuesta del Extremo, Listado Negro Automático de IPs, Automatización de Respuesta a Phishing, Automatización de Respuesta a Ransomware.

Módulo 7: Forensia QRadar, Forensia de Red y Análisis de Datos

Cubre IBM QRadar Incident Forensics (QRIF) y capacidades de investigación forense, forensia de red (NFI) para análisis de captura de paquetes y técnicas de análisis forense utilizadas en la investigación de incidentes.

7.1 Forensia IBM QRadar (QRIF)

• QRIF: recopilación y almacenamiento de datos forenses para investigaciones.
• Fuentes de datos forenses: capturas de paquetes, registros de eventos y forensia del extremo.
• Análisis forense: reconstrucción de línea de tiempo, análisis de archivos y análisis forense de red.
• Preservación de pruebas forenses y cadena de custodia.
• Herramientas y técnicas de análisis forense dentro de QRIF.

7.2 Forensia e Inspección de Red (NFI)

• Forensia de red: análisis de captura de paquetes e inspección del tráfico de red.
• Análisis de datos de flujo: NetFlow, sFlow e IPFIX en la forensia de red QRadar.
• Análisis de protocolos: HTTP, DNS, SMTP, SSH, FTP e inspección de protocolos personalizados.
• Detección de amenazas a través de la forensia de red: beaconing de C2, exfiltración de datos y detección de movimiento lateral.
• Identificación de patrones de tráfico sospechosos.

7.3 Analítica de Comportamiento de Usuario e Entidad (UEBA)

• UEBA: comprensión de la línea base del comportamiento del usuario y detección de anomalías.
• Fuentes de datos UEBA: Active Directory, registros de proxy, registros del extremo, registros DLP, registros de autenticación, registros en la nube.
• Puntuación UEBA: puntuaciones de riesgo de usuario y puntuaciones de riesgo de entidad.
• Detección de amenazas impulsada por UEBA: cuentas comprometidas, amenazas internas y exfiltración de datos.

Competencias alineadas al mercado: Forensia de Incidentes QRadar (QRIF), Recopilación de Datos Forenses, Investigación y Análisis Forense, Forensia de Red, Análisis de Captura de Paquetes, Análisis de Datos de Flujo, Detección de Amenazas a Través de la Forensia de Red, Analítica de Comportamiento de Usuario e Entidad (UEBA), Detección de Anomalías de Usuario, Detección de Amenaza Interna, Detección de Cuentas Comprometidas, Exfiltración de Datos mediante Comportamiento de Usuario, Detección de Beaconing de C2, Movimiento Lateral a Través de la Forensia de Red, Forensia Digital y Respuesta a Incidentes (DFIR), Preservación de Pruebas y Cadena de Custodia, Análisis de Protocolos, Forensia de Registros de Seguridad, Búsqueda de Amenazas mediante Analítica de Red.

Módulo 8: SIEM en la Nube, SIEM-as-Code, Cumplimiento y Operaciones del SIEM

Evalúa las operaciones, escalabilidad, informes de cumplimiento e integración de SIEM en la nube de IBM QRadar, prácticas de detección como código y gobernanza del SOC esenciales para el despliegue de SIEM a escala empresarial.

8.1 Operaciones y Administración de QRadar

• Administración de QRadar: roles de usuario, permisos y políticas de seguridad.
• Auditoría de configuraciones de QRadar y registros de acceso.
• Informes programados y diseño de informes personalizados para gerencia y cumplimiento.
• Tareas programadas: copia de seguridad/restauración, limpieza de bases de datos y mantenimiento.
• Configuración del servidor Syslog para reenvío de registros SIEM.
• Actualizaciones de software y gestión de parches para appliances QRadar.

8.2 Informes de Cumplimiento y Mapeo Normativo

• Requisitos del SIEM para PCI DSS e informes de cumplimiento con QRadar.
• Mapeo de cumplimiento HIPAA, GDPR, SOX, NIST CSF e ISO 27001 con informes de QRadar.
• Informes de auditoría regulatoria: plantillas de informes personalizados para auditores PCI DSS y HIPAA.
• Monitoreo de cumplimiento en tiempo real y paneles de control de cumplimiento continuo.

8.3 SIEM-as-Code e Infraestructura como Código

• Gestión de reglas de SIEM con control de versiones: despliegue de reglas basado en Git.
• Terraform y Ansible para aprovisionamiento y configuración de appliances QRadar.
• Pipeline CI/CD para reglas y playbooks de SIEM.
• Automatización basada en API de QRadar para despliegue y gestión de reglas.

8.4 SIEM en la Nube y Seguridad Híbrida en Cloud

• Integración de fuentes de registro en la nube: AWS CloudTrail, Microsoft Sentinel, GCP Audit Logs, Azure Monitor.
• Estrategias de SIEM nativo en la nube: SIEM para entornos SaaS (AWS, Azure, GCP, Office 365).
• Integraciones de SIEM con Microsoft Sentinel, Azure Sentinel, AWS CloudWatch Logs y Google Cloud Logging.
• Monitoreo de identidad y acceso en la nube: IAM, Active Directory, Entra ID.
• Protección de cargas de trabajo en la nube e integración con SIEM.

8.5 Detección de Amenazas de Identidad

• La identidad como nueva frontera de amenaza: detección de compromiso de cuentas.
• Detección de amenazas en Active Directory: Kerberoasting, AS-REP roasting, ataques de tickets Golden/Sid.
• Detección de evasión de autenticación multifactor (MFA).
• Monitoreo de Gestión de Identidad Privilegiada (PIM).

8.6 Monitoreo Zero Trust

• Monitoreo de la arquitectura Zero Trust: controles de identidad, dispositivo y red.
• Monitoreo de microsegmentación y validación de cumplimiento de políticas.
• Informes de cumplimiento Zero Trust mediante integración con SIEM.

8.7 Operaciones del SOC y Gobernanza del SIEM

• Métricas y KPIs del SOC: MTTR (Tiempo Medio para Responder), MTTD para monitoreo de SIEM.
• Evaluación de madurez del SOC e implementación mejorada impulsada por SIEM.
• Gobernanza del SIEM: gestión de reglas, seguimiento de falsos positivos y mejora continua.
• Mejores prácticas operativas del SIEM: monitoreo, alertas y procedimientos de escalado.

Competencias alineadas al mercado: Administración de QRadar, Operaciones y Gestión del SIEM, Gestión de Cumplimiento del SIEM, Informes de Cumplimiento del SIEM PCI D, Cumplimiento del SIEM HIPAA y GDPR, Cumplimiento del SIEM SOX e ISO 27001, Mapeo del SIEM NIST CSF, Monitoreo Continuo de Cumplimiento, Informes Personalizados de Cumplimiento, SIEM-as-Code e Infraestructura como Código, Terraform para SIEM, Ansible para Despliegue de SIEM, CI/CD para Reglas de SIEM, Automatización de API de QRadar, Integración de SIEM en la Nube, AWS CloudTrail SIEM, Integración de Microsoft Sentinel, Google Cloud Logging SIEM, Azure Monitor SIEM, Office 365 Integración SIEM, SIEM Nativo en la Nube, Monitoreo Zero Trust, Detección de Amenazas IAM, Detección de Amenazas de Identidad, Detección de Amenazas en Active Directory, Detección de Ataques Kerberos, Monitoreo de Identidad Privilegiada, Seguridad de Autenticación Multifactor (MFA), Gestión de KPIs y Métricas del SOC, Evaluación de Madurez del SOC, Mejores Prácticas Operativas del SIEM, Gobernanza de Respuesta a Incidentes, Gestión del Ciclo de Vida de Reglas del SIEM, Gobernanza Empresarial del SIEM.

Módulo 9: Proyecto Final y Escenarios de Amenazas del Mundo Real

Un proyecto final práctico integral que simula escenarios de seguridad empresarial, incluyendo detección de amenazas, investigación y respuesta a incidentes utilizando IBM QRadar.

9.1 Proyecto Final: Escenario de Seguridad Empresarial

• Configuración de un entorno empresarial simulado con fuentes de registro realistas y escenarios de ataque.
• Despliegue de fuentes de registro y configuración de políticas de recopilación de registros.
• Construcción de reglas de detección mapeadas a MITRE ATT&CK.
• Investigación de datos de ofensas del mundo real en QRadar y realización de análisis forense.
• Diseño y despliegue de playbooks SOAR para respuesta automatizada.
• Generación de informes de cumplimiento para PCI DSS, HIPAA y GDPR.
• Realización de planificación de capacidad y escalado del despliegue del SIEM.

9.2 Escenarios de Amenazas del Mundo Real

• Ataques simulados: implementación de ransomware, amenaza interna, movimiento lateral, ataques de fuerza bruta, ataques a la cadena de suministro y phishing.
• Detección de ransomware: movimiento lateral, agrupamiento de datos y detección de movimiento lateral.
• Amenaza interna: intentos de exfiltración de datos y detección de anomalías.
• Detección de ataque a la cadena de suministro: detección de acceso comprometido del proveedor.
• Respuesta al phishing: bloqueo automático de URLs y flujos de trabajo de investigación de correo electrónico.
• Búsqueda de amenazas de día cero: detección de amenazas desconocidas utilizando técnicas de búsqueda sin reglas.
• Detección de Amenaza Persistente Avanzada (APT) mediante análisis UEBA y forense.

Competencias alineadas al mercado: Entrega de Proyecto de Seguridad Final, Simulación de SIEM Empresarial, Diseño de Escenarios de Amenazas del Mundo Real, Despliegue de Reglas de Detección MITRE ATT&CK, Investigación de Incidentes del SOC, Diseño de Playbooks QRadar SOAR, Simulación de Respuesta a Ransomware, Detección de Amenaza Interna, Automatización de Respuesta al Phishing, Detección de Ataques a la Cadena de Suministro, Búsqueda de Amenazas de Día Cero, Detección de Amenaza Persistente Avanzada (APT), Planificación y Escalado de Capacidad del SIEM, Informes Multi-Cumplimiento (PCI DSS, HIPAA, GDPR), Respuesta a Amenazas Empresariales, Investigación Forense de Amenazas, Enriquecimiento de Inteligencia de Amenazas, Contención Automatizada de Incidentes, Simulación de Operaciones del SOC, Práctica Integral de Ingeniería de SIEM.