CHECKLIST DE THREAT HUNTING AVANZADA POR FUENTE DE DATOS

🔍 1. ENDPOINT / HOST

Acción Técnica de hunting Herramientas

1. Revisar ejecución de binarios anómalos en AppData, Temp, ProgramData Living off the Land Binaries (LOLBins), malware sin archivo – Sysmon, EDR, Sigma rules
2. Detectar procesos con nombre legítimo pero hash no coincidente Impersonation / masquerading – EDR, YARA, Get-FileHash
3. Analizar conexiones salientes por procesos que no deberían tener red C2 por procesos no autorizados – Sysmon, Netstat, EDR
4. Correlacionar nuevos servicios creados con tiempo de ejecución sospechoso Persistencia por servicios – sc, Autoruns, Sysinternals
5. Detectar carga de DLLs no firmadas en procesos legítimos DLL injection / sideloading – Process Explorer, Procmon
6. Analizar uso anómalo de PowerShell, wmic, rundll32, regsvr32 LOLBins / malware fileless – Sysmon, Logs de script block
7. Buscar modificaciones de claves de inicio automático Persistencia en Run/RunOnce/Services – RegRipper, EDR

🌐 2. RED

Acción Técnica de hunting Herramientas

1. Detectar conexiones salientes periódicas a IPs raras – Beaconing / C2 – Zeek, PCAP, RITA
2. Analizar tráfico DNS con payloads cifrados o largos – DNS tunneling – Zeek, Suricata
3. Revisar NetFlow en busca de transferencia de datos fuera de horario –  Exfiltración / insider threat – NfSen, Flowmon
4. Filtrar tráfico a través de protocolos inusuales (ICMP, SMTP, FTP) – Data staging / Exfiltration – Wireshark, Firewall logs
5. Revisar conexiones entrantes a puertos no publicados – Backdoors / pivoteo – IDS, Suricata, Firewall
6. Revisar tráfico TLS sin SNI o con certificados auto-firmados – Túneles cifrados maliciosos – Zeek TLS logs

☁️ 3. CLOUD / SaaS / AAD / M365

Acción Técnica de hunting Herramientas

1. Detectar MFA deshabilitado o bypassed – Abuso de identidad – Azure AD logs, Purview
2. Revisar sesiones persistentes con tokens – OAuth Persistencia cloud – M365 audit logs, Defender for Cloud Apps
3. Identificar nuevos dispositivos conectados a OneDrive o SharePoint – Exfiltración cloud – M365 audit logs
4. Detectar cambios en permisos de buzones o carpetas compartidas – Escalada / abuso de acceso – Exchange Online logs
5. Revisar logins exitosos fuera del país o por Tor – Anomalías geográficas – Azure Sign-In logs
6. Filtrar reglas de inbox que redirigen correos a externos –  Compromiso de correo (BEC) – Defender for O365, audit logs

📊 4. SIEM / CORRELACIÓN

Acción Técnica de hunting Herramientas

1. Detectar múltiples errores de inicio de sesión seguidos de un login exitoso – Fuerza bruta / password spraying – Sentinel, Splunk, AlienVault
2. Correlacionar ejecución de binarios raros con eventos de red sospechosos – Comando + control – Sigma, MITRE rules
3. Detectar creación de nuevas cuentas locales/admin – Persistencia – GPO logs, Sysmon, AD Audit
4. Buscar procesos que lanzan otros binarios sin firma – Execution chaining – Sysmon, KAPE
5. Cruce de IOC (IPs, hashes, dominios) con inteligencia de amenazas – IOC correlation – MISP, Anomali, ThreatConnect

🧠 5. FUENTES HUMANAS / NO ESTRUCTURADAS

Acción Técnica de hunting Herramientas

1. Revisar solicitudes inusuales de acceso a datos sensibles vía tickets o correos Insider threat – Helpdesk, Jira, correo
2. Entrevistar usuarios clave en incidentes para entender comportamientos Validar contexto operativo – Chat logs, entrevistas
3. Correlacionar cambios en comportamiento del usuario (ingresos, errores, rutas) Anomalías UEBA – SIEM con UEBA, Sentinel User Analytics
4. Revisar mensajes de ingeniería social recibidos en correo/chat Campañas de phishing dirigidas – Correo, Teams, Slack

📌 Consejos de uso

• ✅ Prioriza técnicas de alta probabilidad + bajo ruido en hunts diarios.

• 🧪 Aísla hallazgos en entornos sandbox o VM antes de análisis profundo.

• 🔁 Automatiza búsquedas repetitivas con scripts o reglas SIEM/SOAR.

• 🧠 Aprende del adversario: usa MITRE ATT&CK para identificar técnicas por TTP.

• 📎 Documenta todo con timestamp, herramienta usada y hallazgos. Esto facilita forense y auditorías.