1-Introblueteam - Inteligencia de Amenazas - Alumno2021

Introducción
al Blue Team
1
Agenda
Introducción
al Blue Team
• Presentación del Programa del Curso
• Temas propios del Curso
2
3
NORMAS DE COMPORTAMIENTO
DURANTE LA CLASE VIRTUAL
Introducción
al Blue Team
• Se debe respetar la puntualidad.
• Se debe participar de las clases virtuales programadas.
• Al ingreso de la clase virtual, identificarse y saludar en el chat
• Si el estudiante llega atrasado/a, debe ingresar en silencio e
informar al profesor o ayudante a través del chat de la clase.
• El estudiante debe poner su micrófono, celular, Tablet,
computador en silencio.
• Para lograr y favorecer una buena escucha y comunicación, el
profesor puede poner los micrófonos en silencio.
• Levantar la mano o utilizar los íconos dispuestos en la barra de
herramienta (zoom) para realizar consultas.
• El trato debe ser de respeto y amabilidad, no olvidar solicitar
pidiendo “por favor” y dando las “gracias”.
3
4
Bienvenid@
Alumn@
Introducción
al Blue Team
A tu camino
En el
BLUETEAM
4
Certificación
Introducción • De cumplir con ambos requisitos se le proporcionará el certificado e insignia del
al Blue Team curso por parte de capacitación USACH.
• Si aprueba este más dos más de los cursos gratuitos que estaremos ofreciendo
podrá alcanzar la certificación de Herramientas Digitales de Ciberseguridad.
2 cursos Introductorios
de Seguridad de la
Información y/o
Ciberseguridad
• Si desea obtener mayor información de los cursos gratuitos, cursos certificados y

programas de diplomado visite: www.diplomadociberseguridad.com
5
Sesión 1: Introducción al Inteligencia de Amenazas Introducción a Blueteam
Introducción
al Blue Team Contexto
Este módulo proporciona una visión inicial de los diferentes
elementos de la seguridad de la información en el rol de la
defensa. Más tarde, el módulo analiza los conceptos la
ciberdefensa de seguridad desde el punto de vista del
profesional de blueteam basado en los principales estándares
de ciberseguridad.
Estructura de Contenidos
Sesión 1: Introducción al Inteligencia de Amenazas Certificación Introducción a Blueteam
Sesión 2: Introducción a la gestión de vulnerabilidades Este módulo proporciona una visión inicial de los
diferentes elementos de la seguridad de la
Sesión 3: Introducción a la respuesta a incidentes información en el rol de la defensa. Más tarde, el
Sesión 4: Introducción a la inteligencia Open-Source módulo analiza los conceptos la ciberdefensa de
seguridad desde el punto de vista del profesional de
Sesión 5: Introducción al análisis de Redes blueteam basado en los principales estándares de
ciberseguridad, basado en las mejores prácticas
Sesión 6: Introducción al Forense Digital internacionales.
https://www.youracclaim.com/org/capacitacion-usach/badge/introduccion-al-blue-team
6
6
Introducción
al Blue Team Agenda
Presentación del Programa del Curso Introducción al blueteam:
Sesión 1- Introducción a la de Inteligencia de Amenazas
Sesión 2 - Introducción a la gestión de vulnerabilidades
Sesión 3- Introducción a la gestión de incidentes
Sesión 4- Introducción análisis de redes
Sesión 5- Introducción a la inteligencia Open-Source
Sesión 6- Introducción al Forense Digital
7
Introducción
al Blue Team
Sesión 1: Introducción al Inteligencia de Amenazas
• Modelamiento de amenazas
• Entendiendo el Cyberkillchain
• Entendiendo TAXII/STIX
• Escenarios de ataques basados en Mitre Attack
• Herramientas para Inteligencia de Amenazas
8
8
Introducción
al Blue Team
Sesión 2: Introducción a la gestión de vulnerabilidades
• Sistemas Operativas y vulnerabilidades

• OWASP TOP 10 Web
• OWASP TOP 10 Cloud
• Vulnerabilidades basadas en MITRE, CVE, CWE CAPEC y CVSS
• Métricas de vulnerabilidad
• Herramientas y Scanner de vulnerabilidades
https://www.youracclaim.com/org/capacitacion-usach/badge/introduccion-al-blue-team 9
9
Introducción
al Blue Team
Sesión 3: Introducción a la respuesta a incidentes
• Componentes y artefactos en sistemas operativos Microsoft

• Windows eventos de Seguridad
• Componentes y artefactos en sistemas operativos Linux
• Análisis de Logs
• Análisis de trafico
• Análisis de malware
• Herramientas para monitoreo
• Herramientas para respuesta Incidentes
10
Introducción Estructura de Contenidos

al Blue Team
Sesión 4: Introducción al análisis de Redes
• Modelo OSI
• Modelo TCP/IP
• Puertos y Servicios en RED
• Capturas de trafico
• Herramientas para análisis de seguridad en Red
11
Introducción
al Blue Team
Sesión 5: Introducción a la inteligencia Open-Source
• Tipos de inteligencia
• Inteligencia de fuentes abiertas
• Técnicas y herramientas de Osint
• Herramientas para Osint
12
12
Introducción
al Blue Team
Sesión 6: Introducción al Forense Digital
• Artefactos de Windows
• Artefactos de Linux
• Entendiendo la importancia del levantamiento de evidencia
• Herramientas para adquisición de evidencia forense digital
• Cierre de clase roles, perfiles y campo del profesional de blueteam
13
13
14
Introducción
al Blue Team
1c4745c82fdcb9d05e210eff346d7bee2f087357b17bfcf7c2038c854f0dee61
14
15
Introducción
al Blue Team
https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
15
16
Introducción
al Blue Team
16
Clase1- Introducción al Análisis de Redes Entendiendo el rol del blueteam
Introducción
al Blue Team
CONFIDENCIALIDAD
Confidencialidad Condición que garantiza que la información es
accedida solo por las personas autorizadas
según la naturaleza de su cargo o función dentro
de la organización.
INTEGRIDAD
Condición que garantiza que la información es
Integridad consistente o coherente. La integridad es el
mantener con exactitud la información tal cual
fue generada, sin ser manipulada o alterada por
personas o procesos no autorizados.
DISPONIBILIDAD
Condición que garantiza que la información
Disponibilidad puede ser accedida en el momento en que es
requerida. La disponibilidad es el acceso a la
información y a los sistemas por personas
autorizadas en el momento que lo requieran.
17
18
Introducción
al Blue Team
18
19
Introducción
al Blue Team
19
20
Introducción
al Blue Team
20
21
Introducción
al Blue Team
21
22
Introducción
al Blue Team
22
23

Introducción
al Blue Team
23
24
Introducción
al Blue Team
24
25

Introducción
al Blue Team
25
26
Introducción
al Blue Team
26
27
Introducción
al Blue Team
27
28
Introducción
al Blue Team
28
29
Introducción
al Blue Team
29
30
Introducción
al Blue Team
https://www.nist.gov/system/files/documents/2021/03/16/NIC
E%20Framework%20SP%20800-181%20%28Spanish%29.pdf
30
31
Introducción
al Blue Team
https://niccs.cisa.gov/workforce-development/cyber-security-workforce-framework/workroles
31 https://www.nist.gov/system/files/documents/2021/03/16/NICE%20Framework%20SP%20800-181%20%28Spanish%29.pdf
32
Introducción
al Blue Team
32
33
Introducción
al Blue Team
33
34
Introducción
al Blue Team
https://niccs.cisa.gov/workforce-development/cyber-security-workforce-
34 framework/workroles?name=Cyber+Defense+Incident+Responder&id=All
35
Introducción
al Blue Team
36
Introducción
al Blue Team
37
Introducción
al Blue Team
37
Introducción
al Blue Team
Preguntas difíciles para los defensores
• ¿Qué eficacia tienen mis defensas?

• ¿Tengo alguna posibilidad de detectar la APT29?
• ¿Son útiles los datos que estoy recogiendo?
• ¿Tengo una cobertura de herramientas que se solapa?
• ¿Ayudará este nuevo producto a las defensas de mi
organización?
38
38
39
Introducción
al Blue Team
39
40
Introducción
al Blue Team
40
41
Introducción
al Blue Team
https://www.isao.org/resources/published-products/
41
Introducción CYBERKILLCHAIN
al Blue Team
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
42
43
Introducción
al Blue Team
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
43
Introducción CYBERKILLCHAIN EXTEND

al Blue Team
https://www.pandasecurity.com/rfiles/enterprise/solutions/ad360/1704-WHITEPAPER-CKC-EN.pdf
44
Introducción
al Blue Team
45
Introducción
al Blue Team
46
46
Introducción
al Blue Team
47
47
Introducción
al Blue Team
48
Introducción
al Blue Team
49
Introducción
al Blue Team
50
Sesión 5: Introducción al Inteligencia de Amenazas OWASP
Introducción
al Blue Team Se pueden tomar medidas defensivas contra estas fases
Denegar: impedir la Interrumpir: detener

Detectar: determinar
divulgación de o cambiar el tráfico
si un atacante está
información y el de salida (hacia el
husmeando
acceso no autorizado atacante)
Degradar: Engañar: interferir Contener: cambios en

contraatacar el con el mando y el la segmentación de la
mando y el control control red
51
Introducción
al Blue Team
https://nsfocusglobal.com/threat-model-attck/
52
Introducción
al Blue Team
https://sbscyber.com/resources/how-the-cyber-kill-chain-can-help-you-protect-against-attacks
53
Introducción
al Blue Team
https://sbscyber.com/resources/how-the-cyber-kill-chain-can-help-you-protect-against-attacks
54
Introducción
al Blue Team
55
Introducción
al Blue Team
56
56
Introducción
al Blue Team indicador de compromiso o IOC, del
inglés Indicator of Compromise, es
toda aquella información relevante que
describe cualquier incidente de
ciberseguridad, actividad y/o artefacto
malicioso, mediante el análisis de sus
patrones de comportamiento.
57
57
Introducción
al Blue Team
58
58
Sesión 5: Introducción al Inteligencia de Amenazas Tipos de IOC
Introducción
al Blue Team
59
59
Introducción
al Blue Team
https://docs.mcafee.com/bundle/enterprise-security-manager-10.3.x-product-
60
guide/page/GUID-8437386F-9370-41BA-8161-A89441C8E0D4.html?_LANG=eses
60
• Existen varios sistemas que definen cómo deben documentarse los indicadores de compromiso. Algunos de los más conocidos son:2463
Introducción • Incident Object Description Exchange Format (IODEF). Definido por la IETF en el RFC 5070. Dirigidas a los CSIRTs, por tanto orientada a incidentes. Formato XML. Adopción limitada
al Blue Team • Open Indicators of Compromise (OpenIOC). Surgido de la compañía Mandiant, comprada por FireEye, para mejoar IODEF. Distribuido bajo licencia Apache2 y basado en XML. Hay disponibles
herramientas libres gratuitas para facilitar su uso desarrolladas por los propios creadores: IOC Editor (editor para crear o modificar indicadores de compromiso) y IOC Finder (buscador en el sistema de los
indicadores de compromiso que se le faciliten en una lista). No sirve para detallar aspectos a más alto nivel como vectores de ataque y tácticas seguidos por el malware.
• Oasis Cyber Threat Intelligence (CTI). iniciado por el gobierno estadounidense, a través del MITRE, DHS y US-CERT, fue posteriormente respaldado por algunos de los principales fabricantes de soluciones
de seguridad del mercado. Se ha pasado al consorcio de estándares OASIS. Está compuesto por tres subcomités:
• Cyber Observable Expressión (CybOX). Serialización de datos en formato JSON, para la caracterización de información sobre malware, detección de intrusiones, respuesta y manejo de
incidentes y forense digital. Es de bajo nivel. En la actualidad, CybOX ha sido integrado por completo en STIX y ya no se recomienda su uso.
• Structured Threat Information Expression (STIX). Lenguaje estructurado en JSON para describir las ciberamenazas en un formato que puede ser compartido, almacenado y analizado de forma
consistente. Aparece para aportar una organización de la información de manera altamente estructurada e interrelacionada para lograr una alta legibilidad y fácil comprensión. Es un formato
basado en grafos para ofrecer una representación muy intuitiva de los objetos y relaciones entre los mismos. Muy útil para los aspectos de alto nivel como quién está detrás del malware y dónde ha
sido utilizado. Permite aprovechar la información descrita en otros formatos, por ejemplo OpenIOC, reglas de Snort sistema de detección de intrusos en red) y reglas de YARA (identifican malware
en base a patrones de texto o binarios y el uso de expresiones booleanas para determinar su lógica) entre otros.
• Trusted Automated Exchange of indicator Information (TAXII). Especificaciones orientadas a conformar un mecanismo flexible de transporte de información de ciberamenazas. TAXII se centra
en los mecanismos de distribución de información y adopta otros estándares para el formato de la misma. Así a través de los servicios definidos por TAXII, las organizaciones pueden intercambiar
información de forma segura y automatizada con soporte para múltiples formatos de representación de información de ciberamenazas, especialmente STIX y CybOx. Soporta diversas arquitecturas
de comunicación (Hub and Spoke, Peer to Peer y cliente/servidor). Es un protocolo de la capa de aplicación y funciona sobre HTTPS
• Malware Attribute Enumeration and Characterization (MAEC). Enumera atributos que caracterizan software malintencionado (malware). Creado basándose en CybOX.
• Collective Intelligence Framework (CIF). 7
• Open Threat Exchange (OTX). Usado por AlienVault Open Threat Exchange herramienta que proporciona acceso abierto a una comunidad global de investigadores de amenazas y profesionales de la
seguridad que proporciona datos de amenazas generados por la comunidad permitiendo la investigación colaborativa y automatiza el proceso de actualización de la infraestructura de seguridad con datos de
amenazas desde cualquier fuente.78
• Vocabulary for Event Recording and Incident Sharing (VERIS).7
61
61
Introducción
al Blue Team
62
62
Introducción
al Blue Team
63
63
Introducción
al Blue Team
64
Virustotal Sesión 1: Introducción al Inteligencia de Amenazas Introducción a Blueteam
Introducción
al Blue Team
65
Introducción CASO EJEMPLO

al Blue Team
Discovering Dark Crystal RAT
The threat intel team provided FLARE with an EXE sample, believed to contain Dark Crystal RAT, and having
the MD5 hash b478d340a787b85e086cc951d0696cb1. Using sandbox testing, we found that this sample
produced two executables, and in turn, one of those two executables produced three more. Figure 1 shows
the relationships between the malicious executables discovered via sandbox testing.
Fuente: https://www.fireeye.com/blog/threat-research/2020/05/analyzing-dark-crystal-rat-backdoor.html 66
66
Introducción CASO EJEMPLO

al Blue Team
Dark Crystal RAT Website

We found that Dark Crystal RAT has a website at
files.dcrat[.]ru, shown in Figure 17. Observe that there are
options to download the RAT itself, as well as a few plugins;
the DCLIB extension is consistent with the plugin loading
code we found in the RAT.
Fuente_ https://www.fireeye.com/blog/threat-
research/2020/05/analyzing-dark-crystal-rat-backdoor.html 67
67
Introducción
al Blue Team
68
68
Introducción
al Blue Team
69
Introducción
al Blue Team
70
70
Introducción
al Blue Team
71
Introducción
al Blue Team
https://app.any.run/tasks/4cee4969-21a2-4b7a-a5e6-5af69abd9231/ 72
72
Introducción
al Blue Team
73
73
Introducción
al Blue Team
74
74
Introducción
al Blue Team
75
75
Introducción
al Blue Team
MITRE ATTACK
¿Qué es?
• Una base de conocimiento del

• Comportamiento del adversario:
• Basada en observaciones del mundo real
• Gratuita, abierta y accesible a nivel mundial
• Un lenguaje común
• Impulsado por la comunidad
76
76
Introducción
al Blue Team
Fuente: https://attack.mitre.org/ 77
77
Introducción
al Blue Team
78
78
Introducción
al Blue Team
79
79
Introducción
al Blue Team
80
80
Introducción
al Blue Team
81
81
Introducción
al Blue Team
82
82
Introducción
al Blue Team
83
Introducción
al Blue Team
84
84
Introducción
al Blue Team
85
85
Introducción
al Blue Team
86
86
Introducción
al Blue Team
87
87
Introducción
al Blue Team
88
88
Introducción
al Blue Team
89
89
Introducción
al Blue Team
90
90
Introducción
al Blue Team
91
91
Introducción
al Blue Team
DEMO
92
Introducción
al Blue Team
DEMO
93
Ejercicio simple
Introducción
al Blue Team
¿Qué información pueden obtener con este hash?
• 6cea7290883f0527dbd3e2df64462684
94
94

1-Introblueteam - Inteligencia de Amenazas - Alumno2021

Cargado por

Copyright:

Formatos disponibles

1-Introblueteam - Inteligencia de Amenazas - Alumno2021

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1-Introblueteam - Inteligencia de Amenazas - Alumno2021

Cargado por

Copyright:

Formatos disponibles

Introducción

• Si desea obtener mayor información de los cursos gratuitos, cursos certificados y

Sesión 2 - Introducción a la gestión de vulnerabilidades

Sesión 3- Introducción a la gestión de incidentes

Sesión 4- Introducción análisis de redes

Sesión 5- Introducción a la inteligencia Open-Source

Sesión 6- Introducción al Forense Digital

Sesión 1: Introducción al Inteligencia de Amenazas

Sesión 2: Introducción a la gestión de vulnerabilidades

• Sistemas Operativas y vulnerabilidades

Sesión 3: Introducción a la respuesta a incidentes

• Componentes y artefactos en sistemas operativos Microsoft

Introducción Estructura de Contenidos

Sesión 4: Introducción al análisis de Redes

Sesión 6: Introducción al Forense Digital

Clase1- Introducción al Análisis de Redes Entendiendo el rol del blueteam

Clase1- Introducción al Análisis de Redes Entendiendo el rol del blueteam

• ¿Qué eficacia tienen mis defensas?

Introducción CYBERKILLCHAIN EXTEND

Denegar: impedir la Interrumpir: detener

Degradar: Engañar: interferir Contener: cambios en

• Collective Intelligence Framework (CIF). 7

• Vocabulary for Event Recording and Incident Sharing (VERIS).7

Introducción CASO EJEMPLO

Introducción CASO EJEMPLO

Dark Crystal RAT Website

• Una base de conocimiento del

¿Qué información pueden obtener con este hash?

También podría gustarte