📜 PLAYBOOK DE RESPUESTA A INCIDENTES – Purple Team

🪞 FASE 0 – Pre-Incidente (Preparación & Visión Estratégica)

Objetivo: Ser resilientes antes de que ocurra un ataque.

🔹 Acciones:

  1. Definir roles y responsables de IR (IR Commander, comunicaciones, legal, IT, etc.).

  2. Crear políticas claras de IR y aceptar el riesgo residual.

  3. Configurar herramientas necesarias:

    • SIEM (ej. AlienVault, Splunk).

    • EDR/XDR (ej. CrowdStrike, SentinelOne).

    • IDS/IPS (ej. Suricata, Snort).

    • Backups + DRP.

  4. Crear canales de comunicación seguros (Teams, Signal, radio, fuera de la red).

  5. Diseñar escenarios de tabletop y simulacros (1 al mes).

  6. Crear una "sala de guerra" IR virtual o física.

🟣 Purple Tips:

  • Vincula cada rol IR.

  • Instruye a todo el equipo en mentalidad dual: defensiva y ofensiva.

🚨 FASE 1 – Detección (Indicios de amenaza)

Objetivo: Detectar comportamientos anómalos lo antes posible.

🔹 Fuentes de alerta:

  • Logs del SIEM.

  • Alertas del EDR.

  • Usuarios reportando phishing.

  • Comportamientos UBA/UEBA extraños.

  • Trampas (honeypots, Canary tokens).

🔹 Acciones:

  1. Clasificar la alerta: incidente real vs falso positivo.

  2. Categorizar según el impacto:

    • Bajo: solo afecta a un usuario.

    • Medio: afecta a un servicio.

    • Alto: riesgo de fuga masiva o cifrado.

  3. Asignar prioridad y activar protocolo IR.

🟣 Purple Tips:

  • Integra técnicas de threat hunting activas.

  • Revisa si ya hay TTPs relacionados en MITRE ATT&CK.

🔍 FASE 2 – Análisis del Incidente

Objetivo: Entender qué pasó, cómo, cuándo y con qué herramientas.

🔹 Acciones:

  1. Recolectar artefactos forenses:

    • Logs, conexiones activas, memoria RAM, disco, IOC.

  2. Determinar punto de entrada:

    • Phishing, RDP, USB, vulnerabilidad web, etc.

  3. Evaluar alcance:

    • ¿A cuántos usuarios/servicios afectó?

    • ¿Hubo exfiltración de datos?

  4. Confirmar el vector de ataque (ej. Cobalt Strike, PowerShell, rootkit).

🟣 Purple Tips:

  • Aplica DFIR (Digital Forensics & Incident Response).

  • Usa herramientas: Volatility, FTK Imager, Autopsy, Wireshark.

  • Clasifica con el marco MITRE: ¿Recon, Execution, Persistence…?

⛓️ FASE 3 – Contención (Frenar la infección)

Objetivo: Contener el daño sin alertar al atacante antes de tiempo.

🔹 Acciones:

  1. Aislar sistemas comprometidos (segmentación).

  2. Cambiar contraseñas clave de forma silenciosa.

  3. Redirigir tráfico si es necesario (honeynet o tarpit).

  4. Activar reglas específicas en firewall/IDS para bloquear el C2.

🟣 Purple Tips:

  • A veces es mejor observar unos minutos más para comprender todo el alcance antes de actuar.

  • Contención ≠ desconexión inmediata si se está rastreando infraestructura del atacante.

🔥 FASE 4 – Erradicación (Eliminar la amenaza)

Objetivo: Limpiar el sistema afectado y bloquear el reingreso.

🔹 Acciones:

  1. Eliminar malware, shell reversa, backdoors y rootkits.

  2. Desinstalar herramientas del atacante.

  3. Aplicar parches al sistema.

  4. Reestablecer configuración segura.

🟣 Purple Tips:

  • Usa scripts automatizados para limpiar artefactos si tienes infraestructura grande.

  • Usa herramientas como YARA para asegurarte de que no quedó ningún rastro oculto.

🌱 FASE 5 – Recuperación (Volver al negocio)

Objetivo: Restaurar la operación sin reinfectar nada.

🔹 Acciones:

  1. Restaurar desde backup seguro (verificado y aislado).

  2. Realizar pruebas funcionales y de seguridad post-recuperación.

  3. Supervisar el sistema restaurado durante 7-14 días.

  4. Verificar logs y métricas de comportamiento.

🟣 Purple Tips:

  • Esta es una oportunidad para instalar nuevos controles de seguridad durante la restauración.

📚 FASE 6 – Lecciones aprendidas (Transformación alquímica)

Objetivo: Elevar el nivel del equipo y de la infraestructura.

🔹 Acciones:

  1. Documentar todo el incidente:

    • Cronología exacta.

    • Herramientas usadas.

    • Impacto real vs previsto.

  2. Actualizar playbooks y defensas.

  3. Compartir IOCs con la comunidad (ISAC, CERT, etc.).

  4. Reentrenar al equipo involucrado y usuarios afectados.

🟣 Purple Tips:

  • Conviértelo en una ceremonia de revisión: ¿qué podemos hacer mejor?

  • Premia la honestidad y el aprendizaje. No culpes, evoluciona.


🧙‍♀️ CIERRE ALQUÍMICO – La crisis revela al verdadero equipo

"No hay mejor forma de conocerte a ti mismo que enfrentarte a una tormenta que amenaza tu hogar… y protegerlo con sabiduría, valor y estrategia."

Un Purple Team no teme a los incidentes.
Los observa, los contiene, los analiza y los transmuta en poder.

🧠 PLAYBOOK IR – Basado en MITRE ATT&CK (Purple Team Vision)

🌀 1. Preparación & Mapeo Defensivo

Antes del incidente, se establece una matriz defensiva ofensiva:

🔹 Acciones:

  • Estudiar las 12 Tácticas de MITRE ATT&CK:

    • Reconocimiento

    • Desarrollo de recursos

    • Acceso inicial

    • Ejecución

    • Persistencia

    • Elevación de privilegios

    • Evasión de defensa

    • Acceso a credenciales

    • Descubrimiento

    • Movimiento lateral

    • Recopilación

    • Exfiltración e Impacto

  • Identificar qué técnicas son más relevantes para tu entorno:

    • T1190: Exploit Public-Facing App

    • T1059: Command & Scripting Interpreter

    • T1021: Remote Services

    • T1078: Valid Accounts

    • T1566: Phishing

  • Mapear tus herramientas defensivas a técnicas MITRE:

    • EDR → T1059, T1055, T1105

    • SIEM → Detección de T1071, T1003, T1110

    • NDR → T1041, T1071

    • UEBA → T1531, T1203

  • Crear alertas por cada técnica detectada y simularlas con herramientas como Atomic Red Team, Invoke-ATTACKAPI o Caldera.

🧭 2. Detección y Mapeo Táctico (táctica = qué intenta lograr el atacante)

🔹 Acciones:

  1. Se genera una alerta:

    • SIEM, EDR, IDS o reporte manual.

  2. Correlación y atribución:

    • Clasifica la alerta en la táctica MITRE correspondiente.

    • Por ejemplo:

      • Alerta: Conexión RDP no autorizada desde IP desconocida.

      • MITRE: Tactic = Acceso inicial / Técnica = T1078 (Valid Accounts).

  3. Consultar si hay múltiples tácticas encadenadas (cadena de kill chain):

    • Acceso inicial → Ejecución → Persistencia → Exfiltración

🔬 3. Análisis profundo (Técnicas, herramientas y comportamiento)

🔹 Acciones:

  1. Correlacionar técnicas usadas:

    • ¿Se usaron cuentas legítimas? (T1078)

    • ¿Hubo PowerShell malicioso? (T1059.001)

    • ¿Se establecieron conexiones C2? (T1071.001)

  2. Investigar herramientas y artefactos:

    • ¿Se detectaron payloads conocidos? (Cobalt Strike, Mimikatz)

    • ¿Se ejecutaron DLLs desde rutas inusuales?

    • ¿Se observaron comandos sospechosos?

  3. Mapa completo de ataque:

    • Constrúyelo en una herramienta como ATT&CK Navigator o OpenCTI:

      pgsqlCopiarEditarT1566 → T1059 → T1078 → T1021 → T1003 → T1041 Phishing → Execution → Access → Lateral Move → Cred Dump → Exfiltration

🛡️ 4. Contención táctica basada en MITRE

🔹 Acciones:

  • Por cada técnica confirmada, define un control específico:

    • T1059 (PS scripts maliciosos) → Bloquear PowerShell con AppLocker.

    • T1021 (Remote Desktop) → Deshabilitar RDP temporalmente.

    • T1003 (Dumping de credenciales) → Cambiar contraseñas afectadas.

    • T1041 (Exfiltración por HTTPS) → Bloquear IPs del C2 y revisar logs del proxy.

  • Implementa reglas YARA, Snort, Suricata o reglas Sigma para cubrir esos vectores.

  • Si el atacante está activo, mantener el acceso para seguir el rastro antes de aislar.

🧹 5. Erradicación por técnica

🔹 Acciones:

  • Analiza qué tácticas y técnicas dejaron persistencia o residuos:

    • T1053 (Scheduled Task) → Eliminar tareas programadas maliciosas.

    • T1547 (Boot or Logon Autostart) → Limpiar claves de registro.

    • T1036 (Masquerading) → Verificar binarios sospechosos.

    • T1112 (Modify Registry) → Restaurar claves legítimas.

  • Validar integridad con FIM o hashing.

  • Revisar endpoints con herramientas como Velociraptor, KAPE, Sysinternals.

🔄 6. Recuperación estratégica

🔹 Acciones:

  • Por cada host afectado:

    • Reinstalar o restaurar desde backup verificado.

    • Aplicar hardening: CIS Benchmarks, desactivar servicios innecesarios.

    • Reinstalar EDR, reforzar reglas DLP y segmentación.

  • Revalidar visibilidad: ¿están logueando correctamente las técnicas MITRE?

  • Implementar automatización si es posible (SOAR + MITRE).

🧪 7. Lecciones aprendidas / enriquecimiento MITRE

🔹 Acciones:

  • Documentar la cadena de ataque en base a MITRE.

  • Actualizar detecciones SIEM/EDR con nuevas reglas.

  • Hacer pruebas red team controladas para asegurar que ahora se detecta.

  • Enriquecer tus TTPs defensivos y compartir IOCs si aplica.

🟣 Purple Tips:

  • Repite el incidente con Atomic Red Team para validación.

  • En ATT&CK Navigator marca en verde las técnicas detectadas y en rojo las fallidas.

🧩 ¿Quieres visualizarlo?

Aquí tienes un ejemplo de ataque tipo phishing + ransomware mapeado:

T1566 → T1059 → T1055 → T1547 → T1003 → T1041 → T1486
Phishing → Execution → Process Injection → Persistence → Cred Dump → Exfiltration → Encrypt files

👉 Cada paso puede convertirse en una mini-playbook defensivo por técnica.
👉 Esto te permite construir playbooks modulares por táctica y técnica.

🧙‍♀️ Conclusión alquímica

El marco ATT&CK te da el mapa de cómo piensan los atacantes.
Tu playbook no debe seguir pasos arbitrarios, sino responder técnica a técnica, paso a paso.
Así transformas cada ataque en un ritual de aprendizaje y fortaleza cibernética.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar