// TEMA: Security Operations - Dominio 1 CySA+
// ENFOQUE: Arquitectura, herramientas, inteligencia y defensa activa
// FUENTE: NotebookLM + Study Guide oficial
El Dominio 1, centrado en las Security Operations (Operaciones de Seguridad), constituye el pilar fundamental del examen CySA+ CS0-003.
Este dominio representa la capacidad critica del analista para detectar, monitorear y responder a incidentes en infraestructuras complejas.
No se trata simplemente de memorizar herramientas, sino de desarrollar la agudeza técnica necesaria para interpretar senales débiles en entornos de producción saturados de ruido.
En un Centro de Operaciones de Seguridad (SOC) real, la diferencia entre un analista de nivel 1 y un arquitecto senior radica en la comprensión del "por que" detras de cada registro y la capacidad de anticipar el siguiente movimiento del adversario.
Exploraremos desde la gestión de registros en sistemas híbridos hasta la inteligencia de amenazas avanzada y la defensa activa.
Arquitectura de Seguridad e Infraestructura Moderna
Sistemas en la Nube y Virtualización
La infraestructura contemporánea ha migrado de centros de datos físicos a modelos de servicio flexibles.
Como analista, tu visibilidad y control dependen enteramente del modelo de despliegue
MODELOS DE SERVICIO EN LA NUBE
IaaS - Control total del SO y aplicaciones. Tu parchas el kernel, configuras firewall y gestionas logs.
PaaS - El SO desaparece. Te enfocas en seguridad de la aplicacion y manejo de datos.
SaaS - Casi toda la responsabilidad es del proveedor. Tu accion se limita a gestion de identidades y auditoria via APIs.
FaaS (Serverless) - Codigo bajo demanda. Seguridad centrada exclusivamente en el codigo y permisos de ejecucion.
Entender la distinción técnica entre virtualización y contenedores para el análisis forense:
VIRTUALIZACION vs CONTENEDORES
VMs: Hypervisor (ESXi, Hyper-V) | Hardware emulado | SO completo propio | Pesado (GBs) | Minutos para arrancar | Persistente
Contenedores: Kernel del host | Namespaces + cgroups | Comparten kernel | Ligero (MBs) | Milisegundos | Ephemeral
El Shared Responsibility Model (Modelo de Responsabilidad Compartida) es el marco legal y operativo que delimita tus obligaciones.
En la nube, la seguridad "de" la infraestructura es del proveedor, pero la seguridad "en" la nube (tus datos, tus configuraciones) es tuya.
Una mala configuración en el IAM es la causa principal de brechas en la nube.
TRAMPA DEL EXAMEN
En un modelo SaaS, nunca intentes parchar el sistema operativo subyacente; es responsabilidad exclusiva del proveedor y tu careces de acceso.
Las herramientas de escaneo tradicionales fallan con los contenedores debido a su naturaleza ephemeral; la seguridad aqui debe desplazarse a la izquierda (shift-left), escaneando las imágenes base en el pipeline de CI/CD antes de que lleguen a producción.
Estrategias Zero Trust y Segmentacion
La arquitectura Zero Trust (Confianza Cero) rompe con el modelo tradicional de "castillo y foso".
Se basa en tres principios:
LOS TRES PRINCIPIOS ZERO TRUST
1. Verificar explícitamente cada solicitud de acceso
2. Utilizar acceso de mínimo privilegio
3. Asumir siempre la brecha (assume breach)
La segmentación es la herramienta tactica para implementar Zero Trust.
La segmentación física implica hardware separado para redes criticas, mientras que la segmentación lógica utiliza VLANs, VRFs y NGFWs para micro - segmentar el trafico.
Esto evita el movimiento lateral, confinando al atacante en un segmento pequeño y controlado.
Infraestructura de Clave Publica (PKI) y Cifrado
La Public Key Infrastructure (PKI) es el sistema de confianza que sustenta el cifrado asimétrico:
COMPONENTES PKI
CA (Certificate Authority) - Entidad raiz que emite y firma certificados
RA (Registration Authority) - Intermediario que verifica la identidad del solicitante
CSR (Certificate Signing Request) - Archivo para pedir un certificado, incluye tu clave publica
CRL (Certificate Revocation List) - Lista estatica de certificados que ya no son validos
OCSP (Online Certificate Status Protocol) - Verificacion en tiempo real de validez de certificado
El uso de certificados self-signed (auto firmados) en producción es un hallazgo critico: carecen de cadena de confianza validada por una CA publica, exponiendo a ataques Man-in-the-Middle.
El cifrado TLS es un arma de doble filo porque protege la privacidad pero oculta el malware y la exfiltración.
Para recuperar la visibilidad, se utiliza la TLS Interception o SSL Inspection donde un proxy rompe la conexión cifrada, inspecciona el contenido y lo vuelve a cifrar.
La clave publica del proxy debe estar en el trust store de cada endpoint.
TRAMPA DEL EXAMEN
Si estas en una escena de incidente con una laptop encendida pero bloqueada con Full Disk Encryption (FDE), no la apagues.
Apagarla purga la clave de cifrado de la RAM.
Debes realizar un memory dump en vivo o buscar el archivo hiberfil.sys, donde a menudo reside la clave en texto plano.
Monitoreo Avanzado y Analisis de Logs
Analisis de Registros en Windows y Linux
En Windows, los registros son bases de datos estructuradas en %SystemRoot%\System32\Winevt\Logs.
Un analista senior debe dominar los Event IDs (EID) y los Logon Types para reconstruir el movimiento lateral:
EVENT IDS CRITICOS DE WINDOWS
EID 4624 - Inicio de sesion exitoso. Mirar el Logon Type:
Tipo 2: Interactivo local | Tipo 3: Red (movimiento lateral) | Tipo 10: RDP
EID 4625 - Fallo de inicio de sesion. Multiples = fuerza bruta o password spraying
EID 1102 - Registro de auditoria BORRADO. Alerta critica de evasión de defensas
EID 7045 - Nuevo servicio instalado. Los atacantes lo usan para PsExec
EID 4698 - Tarea programada creada. Tecnica clasica de persistencia
Para visibilidad profunda:
- Sysmon con sus EIDs de WMI (19, 20, 21).
- El WMI es abusado para ejecuciones fileless y persistencia sigilosa.
- Los atacantes tambien abusan del Registry en HKLM y HKCU, en las claves Run y RunOnce.
- En Linux: /var/log/auth.log (Debian/Ubuntu), /var/log/secure (RHEL/CentOS), $HOME/.bash_history (historial), /proc/[pid]/maps (procesos en memoria).
- Persistencia en /etc/crontab y /etc/systemd/system/.
TRAMPA DEL EXAMEN
Ante una cascada de eventos, prioriza siempre el EID 1102 (borrado de logs) sobre el EID 4625 (fallo de inicio).
El borrado de logs confirma que un atacante ya tiene privilegios administrativos y esta realizando tareas de limpieza forense.
Logs Web e Inyecciones SQL
Al analizar registros de Apache o IIS, buscamos anomalías en la query string
FIRMAS DE ATAQUE EN LOGS WEB
SQLi: %27 (comilla simple), UNION SELECT, operador -- para comentar
XSS: etiquetas script, eventos JavaScript en parametros de URL
Registros de Red y Estandar Syslog
Syslog utiliza Facility (que origino el mensaje) y Severity (que tan urgente es).
Niveles del 0 al 7:
NIVELES DE SEVERIDAD SYSLOG
0 Emergency - Sistema inutilizable | 1 Alert - Accion inmediata
5 Notice - Evento normal pero significativo | 6 Informational - Informativo
7 Debug - Extremadamente ruidoso, nunca en produccion
En monitoreo de red: Packet Sniffing (captura completa, Wireshark/tcpdump) vs NetFlow (solo metadatos: IPs, puertos, volumen). NetFlow detecta:
PATRONES DETECTADOS POR NETFLOW
Vertical scan - Un origen ataca muchos puertos en un solo host
Horizontal scan (Sweep) - Un origen busca un puerto en toda una subred
C2 beaconing - Conexiones con cadencia matemática perfecta (ej. cada 60s), firma de C2
TRAMPA DEL EXAMEN
Activar el nivel 7 (Debug) en produccion satura el SIEM y eleva costos de almacenamiento.
Vigila siempre el trafico Direct-IP outbound; las conexiones directas a IPs sin resolución DNS previa son indicadores de compromiso de alta fidelidad.
Herramientas Centrales: Deteccion y Orquestacion
SIEM frente a SOAR
El SIEM (Security Information and Event Management) es el cerebro recolector, en el SIEM hay log ingestion, normalización y reglas de Correlation para detectar ataques complejos que un solo dispositivo no vería.
El SOAR (Security Orchestration, Automation, and Response) es el brazo ejecutor y se integra via APIs
Utiliza Playbooks para automatizar la respuesta.
SIEM vs SOAR - COMPARATIVA
SIEM
- Objetivo: Visibilidad y detección
- Fortalezas: Agregación y retención histórica
- Operación: Reglas de correlación
SOAR
- Objetivo: Respuesta y eficiencia
- Fortalezas: Automatización y orquestación
- Operación: Playbooks y flujos de trabajo
TRAMPA DEL EXAMEN
Si el objetivo es "conectar eventos de multiples fuentes", la respuesta es SIEM.
Si el objetivo es "reducir el tiempo de respuesta mediante acciones automáticas", la respuesta es SOAR.
EDR frente a UEBA
El EDR (Endpoint Detection and Response) utiliza agents para monitorear procesos, archivos y conexiones en tiempo real.
Es la herramienta definitiva para detectar técnicas de LOTL donde el atacante usa binarios legítimos para evadir antivirus.
El UEBA (User and Entity Behavior Analytics) se centra en la identidad.
Establece baselines de comportamiento normal y alerta sobre anomalías.
Es la mejor defensa contra insider threats.
TRAMPA DEL EXAMEN
El EDR se enfoca en el dispositivo y sus procesos (ej. inyeccion de codigo en un proceso legitimo).
El UEBA se enfoca en el comportamiento de la cuenta (ej. desviaciones de la norma de acceso).
Scripting y Automatizacion Tactica
Python para interactuar con APIs de inteligencia.
Bash o PowerShell para filtrados rapidos mediante one-liners.
Regex para extraer IoCs de logs masivos.
En Windows, configura Set-ExecutionPolicy RemoteSigned para permitir la ejecución de scripts.
TRAMPA DEL EXAMEN
El análisis de riesgos cualitativo, al basarse en juicios humanos y subjetividad, no puede ser automatizado.
Solo los procesos repetibles y que no requieren intuición humana son candidatos para la automatización.
Inteligencia de Amenazas y Frameworks de Análisis
Modelos de Análisis de Intrusion
TRES MARCOS DE ANALISIS
Cyber Kill Chain
Modelo lineal de 7 fases (Reconnaissance a Actions on Objectives).
Útil para comunicación estratégica.
Debilidad: se enfoca en el perímetro.
MITRE ATT&CK
Base de conocimiento granular. Tácticas (el objetivo) y Técnicas (el como).
Estandar para threat hunting y mapeo de grupos.
Diamond Model
Cuatro vertices: Adversary, Capability, Infrastructure, Victim. Permite pivoting (usar un dato para descubrir otro).
TRAMPA DEL EXAMEN
El Diamond Model no es secuencial; los cuatro vertices existen simultaneamente. Si un servidor de un tercero es comprometido para lanzarte un ataque, ese servidor se clasifica como Infrastructure, no como victima primaria.
Estándares y Protocolos de Inteligencia
PROTOCOLOS DE INTELIGENCIA DE AMENAZAS
STIX (Structured Threat Information eXpression)
El formato de los datos (basado en JSON)
TAXII (Trusted Automated eXchange of Indicator Information)
El protocolo de transporte sobre HTTPS
OpenIOC
Formato XML creado por Mandiant para indicadores forenses técnicos
MISP
Plataforma open source para almacenar y correlacionar inteligencia
TRAMPA DEL EXAMEN
STIX es el contenido (la carga) y TAXII es el medio de transporte (el camión).
OpenIOC fue desarrollado por Mandiant.
Dimensiones de Calidad de la Inteligencia
DIMENSIONES DE CALIDAD
Timeliness (Oportunidad)
Que la información sea reciente
Relevancy (Relevancia)
Que aplique a tu sector o infraestructura
Confidence / Accuracy (Confianza/Precisión)
Que la fuente sea fiable
TRAMPA DEL EXAMEN
Nunca bloques trafico automáticamente basándote en inteligencia de Low-confidence.
Estos indicadores solo deben usarse para vigilancia y monitoreo para evitar falsos positivos que interrumpan el negocio.
Threat Hunting y Defensa Activa
Estrategias de Caza Proactiva
El Threat Hunting es proactivo
El analista asume que el atacante ya burlo las defensas.
Su meta es reducir el Dwell time (el tiempo que el atacante permanece oculto).
TIPOS DE THREAT HUNTING
Hypothesis-driven - Empieza con una teoria (ej. "nuestros servidores web estan siendo usados para minar criptomonedas")
IOC-based - Busca rastros conocidos (hashes, IPs maliciosas) en logs historicos
Técnicas de Engaño y Control de Acceso
DEFENSA ACTIVA
Honeypot
Un solo sistema senuelo
Honeynet
Una red completa de senuelos
Tarpit
Sistema disenado para ralentizar al atacante (sticky)
Allowlisting opera bajo default-deny (denegacion por defecto). Blocklisting solo prohibe lo que ya se sabe que es malo.
TRAMPA DEL EXAMEN
Configurar una alerta en el SIEM es monitoreo reactivo.
El Threat Hunting es siempre una busqueda manual y creativa basada en una hipotesis tecnica.
Malware, Identidad y Seguridad de Email
Análisis de Malware
Static analysis examina el archivo sin ejecutarlo.
Técnica común: comando strings para extraer texto legible de un binario.
Dynamic analysis ejecuta el malware en una Sandbox para observar su comportamiento real.
Reverse engineering desensambla el código para entender su lógica interna.
Infiltración y Exfiltración
La Infiltratión ocurre en las etapas iniciales del ataque.
La Exfiltratión es el robo de datos hacia el exterior.
- DNS tunneling (encapsular datos en consultas DNS)
- Slow-and-low exfiltration (enviar datos poco a poco para no disparar alertas).
TRAMPA DEL EXAMEN
Si ves una transferencia de 30GB desde un servidor de base de datos hacia una IP externa desconocida, es un indicador claro de exfiltración, sin importar si el protocolo parece legitimo.
Seguridad de Email (La Trilogía)
SPF (Sender Policy Framework)
Lista de IPs autorizadas para enviar correos de un dominio
DKIM (DomainKeys Identified Mail)
Firma criptográfica que asegura que el mensaje no fue alterado
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
La política que une a ambos y exige Alignment
TRAMPA DEL EXAMEN
El SPF por si solo no detiene la suplantación visual del remitente.
Solo DMARC, mediante el requisito de Alignment (alineacion entre el dominio tecnico y el visible para el usuario), soluciona este problema de forma integral.
Resumen
PUNTOS CRITICOS PARA EL DOMINIO 1
Contexto es Rey: Un Event ID no significa nada sin el Logon Type o la actividad previa y posterior.
Automatiza lo Rutinario: Deja los Playbooks de SOAR para lo repetible y tu intuición para el Threat Hunting.
Conoce tus Frameworks: MITRE para lo tecnico, Kill Chain para lo estratégico, Diamond para pivotar.
Forensia Moderna: No apagues sistemas cifrados; la RAM es donde residen las llaves del reino.
DMARC es el Estandar: Es la única defensa real contra la suplantación de identidad en el correo corporativo.
[ EOF ]
"Logs do not explain themselves. Correlation does."