Skip to content

¿Cómo estructurarías una caza de amenazas basada en TTP usando MITRE ATT&CK y qué hace que una caza sea buena?

Respuesta breve

La caza basada en TTP usa MITRE ATT&CK como mapa: elige una técnica relevante para tu modelo de amenazas (idealmente una con cobertura débil), forma una hipótesis concreta sobre cómo aparecería en tu telemetría, identifica las fuentes de datos que la revelan, consúltalas y analiza los aciertos. Una buena caza está acotada, guiada por hipótesis, ligada a un comportamiento real de adversario, es repetible y produce un resultado duradero — una nueva detección, una brecha de cobertura documentada o evidencia de que la técnica está ausente — independientemente de si encuentra una intrusión.

La caza basada en TTP invierte el guion: en lugar de perseguir indicadores, persigue comportamientos. MITRE ATT&CK te ofrece un catálogo compartido y estructurado de cómo operan los adversarios, y lo usas tanto como lista de objetivos como mapa de cobertura.

Estructurar la caza

  1. Seleccionar una técnica — elige en ATT&CK según tu modelo de amenazas: técnicas usadas por grupos que apuntan a tu sector, o aquellas donde ATT&CK Navigator muestra que tienes cobertura de detección débil.
  2. Formar una hipótesis — hazla comprobable y específica del entorno: « Si un adversario usara T1003, el volcado de credenciales de LSASS, aquí, vería procesos no del sistema abriendo un handle a lsass.exe. »
  3. Mapear a la telemetría — identifica las fuentes de datos exactas (acceso a procesos, línea de comandos, carga de módulos) que la revelarían, y confirma que las recopilas.
  4. Consultar y analizar — ejecuta la búsqueda y luego separa la señal real de la actividad benigna con contexto (proceso padre, firmante, usuario).
  5. Documentar y operacionalizar — registra el método y los resultados; convierte el comportamiento confirmado en una regla Sigma y actualiza tu mapa de cobertura.

Qué hace que una caza sea buena

Una buena caza está acotada (una pregunta clara, no « encontrar el mal »), es guiada por hipótesis, anclada en un comportamiento real de adversario, repetible y productiva — deja tras de sí una detección, una brecha documentada o una confianza justificada de que la técnica está ausente. No encontrar ninguna intrusión es un resultado válido y útil.

Por qué importa

Los entrevistadores senior buscan una estructura impulsada por ATT&CK, una hipótesis falsable, un mapeo de telemetría y un resultado duradero. « Solo curioseo en el SIEM en busca de cosas raras » señala un enfoque inmaduro e irrepetible.

Posibles preguntas de seguimiento

  • ¿Cómo priorizas qué técnica de ATT&CK cazar primero?
  • ¿Qué le aporta a un programa de caza un mapa de calor de cobertura de ATT&CK Navigator?
  • ¿Por qué es mejor una caza repetible y documentada que una ad hoc?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.