Una alerta del SIEM se dispara por un inicio de sesión sospechoso. Explícame cómo la trías.
Respuesta breve
Confirma que la alerta es real antes de actuar: lee qué se disparó y por qué, luego enriquécela: quién es el usuario, si la IP/geo/dispositivo de origen son esperados, si hay viaje imposible, si hubo fallos previos. Clasifica como verdadero o falso positivo, escala o contén si es real (desactivar la sesión, forzar un restablecimiento de MFA) y documéntalo todo para que el siguiente analista pueda seguir tu razonamiento.
El triage consiste en responder de forma eficiente a una pregunta: ¿es real y, de serlo, qué tan grave es? Los entrevistadores quieren ver un proceso repetible, no un reflejo. Saltar directamente a «desactivar la cuenta» es una señal de alarma: podrías estar actuando sobre un falso positivo y quemando confianza, o avisando a un atacante antes de entender el alcance.
1. Validar
Empieza leyendo la propia detección. ¿Qué regla se disparó, sobre qué fuente de datos y cuál es la condición exacta que coincidió? Un «inicio de sesión sospechoso» podría ser una sola regla de geovelocidad o una correlación de varias señales. Saber por qué se disparó te indica qué evidencia reunir.
2. Enriquecer con contexto
Aquí está la mayor parte del valor. Reúne los hechos circundantes:
- Identidad: quién es el usuario, cuál es su rol, ¿suele iniciar sesión a esta hora?
- Origen: ¿la IP proviene de un rango corporativo conocido, de un VPN, de un ISP residencial o de un proveedor de hosting / nodo de salida Tor? ¿Qué país, y es plausible?
- Dispositivo: ¿es un dispositivo gestionado con el user agent esperado, o algo nuevo?
- Secuencia: ¿hubo intentos fallidos antes del éxito (password spray / fuerza bruta), y hay viaje imposible: dos inicios de sesión demasiado distantes geográficamente para ser la misma persona?
3. Clasificar
Con el contexto en mano, decide: verdadero positivo, falso positivo o verdadero positivo benigno (real pero autorizado, p. ej. el usuario de viaje). Dilo de forma explícita y registra la evidencia que te llevó a esa conclusión.
4. Contener (si es real)
Si parece una cuenta comprometida, actúa de forma proporcional: revoca la sesión activa, fuerza un restablecimiento de credenciales y MFA, y comprueba qué hizo la sesión: reglas de buzón, concesiones OAuth, acceso a datos. La contención es mejor que esperar.
5. Escalar y documentar
Traspasa a respuesta a incidentes si el radio de impacto supera una sola cuenta o si ves movimiento lateral. En cualquier caso, escríbelo: qué se disparó, qué comprobaste, qué concluiste y qué hiciste. Las buenas notas son lo que permite a un SOC ajustar las detecciones y sobrevivir a una auditoría.
Por qué importa
La estructura demuestra criterio. Cualquiera puede pulsar «bloquear»; un analista que puede explicar por qué un inicio de sesión era o no malicioso —y que deja un rastro limpio— es a quien se le confían incidentes mayores.
Posibles preguntas de seguimiento
- ¿Qué es el «viaje imposible» y cómo lo detectarías?
- ¿Cuándo escalas a respuesta a incidentes en lugar de gestionarlo tú mismo?
- ¿Cómo ajustas una regla ruidosa sin crear un punto ciego?