Lunes 9 de la mañana, hay cuatro alertas abiertas. ¿Cuál trabajas PRIMERO?
Respuesta breve
Tría por impacto y alcanzabilidad: el volcado de credenciales (firma de mimikatz) en un controlador de dominio es un evento sobre las joyas de la corona que puede llevar a la compromisión total del dominio, así que trabájalo primero. El escaneo de puertos externo ya fue bloqueado por el IDS, la extensión de navegador no aprobada es de baja gravedad, y un certificado TLS caducado en una máquina de prueba interna es informativo. La habilidad central del SOC es priorizar por radio de impacto y probabilidad de escalada, no por la antigüedad ni por lo «ruidosa» que sea la alerta.
El triaje es el núcleo diario del trabajo en un SOC, y esta pregunta separa a los analistas que reaccionan al volumen o la frescura de las alertas de los que razonan sobre impacto y probabilidad. Hay cuatro alertas abiertas; solo una es un camino potencial hacia la compromisión total.
Por qué gana la alerta del controlador de dominio
Una herramienta de volcado de credenciales (firma de mimikatz) ejecutándose en un controlador de dominio roza el peor caso. El DC guarda las llaves del reino — volcar LSASS o la base de datos NTDS.dit puede entregar todas las credenciales del dominio, incluido el Administrador de dominio y el hash de krbtgt (que habilita los Golden Tickets). Es actividad de post-explotación activa sobre un activo joya de la corona, con un camino directo al control a nivel de dominio. Alto impacto, alta probabilidad de escalada, ocurriendo ahora: va primero.
Por qué las otras esperan
- Escaneo de puertos bloqueado — el IDS ya lo descartó. El reconocimiento que se previno es de baja urgencia; no hay un punto de apoyo activo que perseguir.
- Extensión de navegador no aprobada — un asunto de política/higiene, de baja gravedad. Vale la pena atenderlo, pero no es una intrusión activa en infraestructura crítica.
- Certificado TLS caducado en una máquina de prueba interna — informativo. Sin brecha de confidencialidad o integridad, sin atacante, y es un sistema fuera de producción. Es la prioridad más baja de las cuatro.
El principio de priorización
Ordena por radio de impacto (cuánto daño si es real) y probabilidad/etapa (¿es explotación activa o ruido ya mitigado?). La alerta del DC es alta en ambos ejes; las otras son bajas en uno o ambos. Notablemente, no priorizas por cuál alerta es la más antigua, la más ruidosa o la más fácil de cerrar — así es como los incidentes reales quedan enterrados bajo tareas menores.
Qué evalúa el entrevistador
Quiere ver un triaje estructurado: identificar el activo joya de la corona, reconocer la post-explotación activa, y articular por qué las otras tres pueden esperar. Una señal extra es nombrar los siguientes movimientos en el DC — aislar, capturar memoria, forzar restablecimientos de credenciales a nivel de toda la empresa, y comprobar una compromisión de krbtgt — lo que muestra que entiendes lo que está en juego, no solo el orden.
Posibles preguntas de seguimiento
- ¿Por qué un controlador de dominio cambia el cálculo de gravedad frente a la misma alerta en una estación de trabajo?
- ¿Qué acciones inmediatas siguen una vez que confirmas el volcado de credenciales en el DC?
- ¿Cómo justificarías despriorizar las otras tres ante un jefe que pregunta por qué siguen abiertas?