Alertas & Monitoreo

Claves y curiosidades avanzadas sobre alerta, correlación, informes y archivado en SIEM

⚡ 1. La diferencia entre SIEM "configurado" y "optimizado" es abismal

Un SIEM "recién instalado" no sirve de nada sin:

• Reglas de correlación inteligentes.

• Parsers personalizados.

• Integración de threat intel contextual.

• Alertas filtradas con umbrales realistas.

Un SIEM optimizado no alerta más, alerta mejor.

🧬 2. Las reglas estáticas son solo el principio

Las reglas más potentes utilizan:

• Ventanas de tiempo dinámicas (por ejemplo, correlación en 15 min, 1 hora, 24 h).

• Comparación entre entidades (comportamiento histórico vs actual).

• Umbrales adaptativos (por ejemplo, variaciones respecto al comportamiento medio del usuario o sistema).

💡Ejemplo avanzado:

Si un usuario genera más tráfico de subida que su media histórica + 30%, y además contacta con un dominio no categorizado por threat intel → disparar alerta.

🧪 3. Correlación multi-dimensional

Un SIEM bien usado no solo enlaza eventos. También vincula:

• Contexto del sistema (endpoint, tipo de usuario, clasificación de activo).

• Datos de vulnerabilidad (¿es un host vulnerable a lo que el atacante intenta?).

• Amenazas externas (el dominio es sospechoso según múltiples feeds?).

🧠 Esto transforma una alerta genérica en una alerta priorizada.

🧠 4. Validar alertas es más ciencia que arte

Cazadores avanzados usan esta secuencia:

1. Verificar si el evento cumple la regla literalmente.

2. Analizar el contexto del host/usuario (es un admin en producción o un becario en staging).

3. Pivotar al EDR/NDR para comprobar si hay movimiento lateral, persistencia o C2.

4. Comparar con amenazas conocidas (IOC y TTP).

5. Investigar precedentes: ¿hay incidentes similares en los últimos 30 días?

🧰 5. Curiosidades de reglas útiles pero infravaloradas

• Acceso de usuario privilegiado fuera de horas laborales.

• Cambios de configuración en firewall/IPS sin ticket de cambio.

• Autenticaciones exitosas sin autenticaciones fallidas previas desde IP desconocida.

• Cambio de permisos NTFS o ACL sin proceso legítimo que lo justifique.

📊 6. Los informes para dirección deben hablar su idioma

No digas: "99 alertas de tipo 4625 (login fallido)"
Di:
"Detectamos un 200% de incremento en intentos de acceso no autorizado en servidores de bases de datos durante el horario no laboral."

🧠 Consejo: usa visualizaciones sencillas + lenguaje orientado a riesgos y decisiones.

🧱 7. Archivado ≠ Olvido

El archivo no es una tumba. Es una mina de oro para:

• Cazar campañas que duraron semanas (APT).

• Investigar retrospectivamente un IOC nuevo.

• Realizar análisis de comportamiento histórico.

✅ Lo ideal: separar datos calientes (últimos 30 días) y datos fríos (archivados) pero indexables.

🔍 8. Threat Hunting desde el SIEM ≠ esperar alertas

El verdadero hunter usa el SIEM así:

• Crea queries para buscar TTP específicos (no solo IOCs).

• Usa dashboards de comportamiento (¿quién ejecuta más PowerShell, qué usuarios tienen más escaladas de privilegios?).

• Ejecuta búsquedas sobre eventos que nunca generan alertas, pero que son valiosos si se combinan (como conexiones RDP + creación de tarea + ejecución de whoami).

🤖 9. Integración con SOAR: automatización que no duerme

Cuando integras SIEM + SOAR:

• Una alerta puede lanzar automáticamente un análisis de hash.

• Puede aislar un host si el EDR lo permite.

• Puede abrir un ticket en Jira y notificar a Slack/Teams.

💡 Consejo avanzado: no automatices todo. Automatiza decisiones de bajo riesgo y recolección de contexto.

🧩 10. Cada alerta debe contar una historia

Cuando terminas de investigar una alerta, deberías poder decir:

"El atacante entró vía phishing, usó credenciales robadas, se movió lateralmente por SMB, ejecutó mimikatz, exfiltró datos por DNS tunneling y borró logs vía wevtutil."

Eso se logra no con un SIEM que alerta, sino con un analista que pregunta, pivota y conecta los puntos.