¿Cómo decides qué fuentes de registros y telemetría necesitas para cazar de forma eficaz?
Respuesta breve
Parte de las técnicas que quieres detectar y luego trabaja hacia atrás hasta la telemetría que las revela — el mapeo de fuentes de datos de ATT&CK ayuda. En la práctica, las fuentes de mayor valor son la telemetría de endpoint de procesos/línea de comandos y carga de módulos (EDR/Sysmon), los registros de autenticación e identidad, el DNS y el flujo proxy/red, y los registros del plano de control de la nube. Luego auditas lo que realmente recopilas y retienes frente a lo que necesita cada técnica, exponiendo los puntos ciegos. Una técnica que no puedes ver en ningún registro aún no es cazable.
No puedes cazar lo que no puedes ver. La primera pregunta de cualquier caza no es « qué consulta ejecuto » sino « ¿tengo siquiera los datos que revelarían este comportamiento, con suficiente fidelidad y retención? »
Partir de la técnica, no de los datos
Trabaja hacia atrás. Elige las técnicas que te importan — ATT&CK mapea cada una con las fuentes de datos que la exponen (creación de procesos, ejecución de comandos, carga de módulos, inicio de sesión, conexión de red, creación de archivos). Ese mapeo convierte « qué registros necesito » en una lista de la compra concreta impulsada por la amenaza, y no por lo que casualmente fluye hacia el SIEM.
Las fuentes de alto valor
- Endpoint — creación de procesos con línea de comandos completa, relaciones padre/hijo, cargas de módulos/DLL y eventos de registro/archivo. EDR o Sysmon. Aquí es donde la mayoría del comportamiento del atacante se vuelve visible.
- Identidad y autenticación — eventos de inicio de sesión de Windows, registros de inicio de sesión de Entra ID / Okta, actividad de Kerberos. Esenciales para el abuso de credenciales y el movimiento lateral.
- Red — consultas DNS, registros proxy/web y datos de flujo para C2 y exfiltración.
- Plano de control de la nube — CloudTrail, registros de actividad de Azure, registros de auditoría para TTP de la nube.
Auditar los puntos ciegos
Compara lo que necesita cada técnica objetivo con lo que realmente recopilas y retienes. ¿Registro de línea de comandos desactivado? Estás ciego ante los LOLBins. ¿Retención de 7 días? Te pierdes las intrusiones de combustión lenta. Documenta estos puntos ciegos como hallazgos.
Por qué importa
Los entrevistadores quieren ver que razonas de la amenaza a la telemetría y que tratas los puntos ciegos como problemas de primer orden — no alguien que da por hecho que los datos ya están ahí.
Posibles preguntas de seguimiento
- ¿Por qué es tan valioso el registro de la línea de comandos de procesos y cómo se habilita?
- ¿Cómo limitan los límites de retención lo que puedes cazar?
- ¿Qué te aporta un mapeo de fuente de datos a técnica de ATT&CK?