Diseñando defensas inteligentes basadas en comportamiento y TTPs
Autor: Erick Israel Aguilar Paau
Introducción
Un SOC moderno ya no puede depender únicamente de alertas generadas por reglas heredadas o firmas estáticas. Los adversarios han perfeccionado el uso de técnicas evasivas, scripts fileless, abuso de credenciales legítimas, túneles cifrados y cadenas de ataque basadas en TTPs (Tácticas, Técnicas y Procedimientos) que no siempre generan señales obvias. Esto obliga a los equipos defensivos a evolucionar hacia un modelo más analítico y proactivo.
En la certificación CompTIA CySA+, la Ingeniería de Detecciones —Detection Engineering— se ha convertido en una competencia clave. Es la práctica que permite transformar un SOC reactivo en uno verdaderamente inteligente, capaz de identificar patrones sutiles, correlacionar eventos dispersos y anticipar comportamientos maliciosos incluso cuando el atacante intenta camuflarse entre el ruido.
Detection Engineering no es simplemente escribir reglas: es una disciplina que combina telemetría, análisis de comportamiento, validación continua y un entendimiento profundo del modelo ATT&CK de MITRE. Este artículo desarrolla los elementos necesarios para implementar un programa robusto de detecciones.
Concepto de Detection Engineering
A diferencia de las detecciones tradicionales basadas en firmas, la Ingeniería de Detecciones utiliza un enfoque estructurado y orientado al comportamiento. Su objetivo es reducir el tiempo de detección, elevar la precisión del SOC y mejorar la correlación de señales provenientes de distintas fuentes.
Un programa sólido de detecciones integra los siguientes elementos:
Análisis de brechas de visibilidad
Antes de crear cualquier regla, es fundamental saber qué información está disponible. Muchos SOC fallan por “puntos ciegos” que los adversarios aprovechan:
- Endpoints sin reporte de procesos, árboles de ejecución o actividad PowerShell.
- Falta de logs críticos: DNS, proxy, autenticaciones, Kerberos, AD.
- Arquitecturas cloud sin telemetría de API calls o actividad IAM.
- Contenedores o workloads sin monitoreo de runtime.
Sin telemetría adecuada, la detección es incompleta, por más sofisticado que sea el SIEM.
Diseño de reglas basadas en MITRE ATT&CK
MITRE ATT&CK es el idioma común entre ofensiva y defensiva. Mapear reglas a técnicas ATT&CK permite:
- Identificar qué tácticas están cubiertas.
- Priorizar detecciones contra TTPs usados por adversarios reales.
- Medir madurez del SOC de forma objetiva.
Ejemplos típicos:
- T1059 – Command and Scripting Interpreter
- T1021 – Remote Services
T1003 – OS Credential Dumping
T1047 – Windows Management Instrumentation
Validación mediante simulación
Una detección no validada es una ilusión de seguridad. La simulación permite comprobar si la regla detecta correctamente y si no genera ruido innecesario.
Herramientas comunes:
- Atomic Red Team
- MITRE CALDERA
- Prelude Operator
Estas plataformas ejecutan TTPs emulados en un entorno controlado
Ajuste fino para reducir falsos positivos
Un error común en SOCs jóvenes es crear reglas demasiado amplias. El resultado es siempre el mismo:
ruido excesivo y analistas agotados.
La Ingeniería de Detecciones ajusta:
- umbrales,
- condiciones lógicas,
- exclusiones basadas en comportamiento legítimo,
- correlación entre eventos de distintas fuentes.
Una buena detección encuentra el equilibrio entre sensibilidad y precisión.
Documentación y estandarización
Las reglas deben ser entendibles, replicables y auditables.
Formatos recomendados:
- Sigma → detecciones portables.
- YARA-L → análisis de logs.
- Plantillas internas con campos ATT&CK, lógica, fuentes y validación.
Una buena documentación permite continuidad incluso si el personal rota, lo cual es común en los SOC.
Ciclo de vida de las detecciones
La Ingeniería de Detecciones se ejecuta siguiendo un ciclo iterativo:
1. Identificación de necesidades
Derivadas de:
- inteligencia de amenazas,
- incidentes recientes,
- campañas activas,
- brechas de visibilidad,
- nuevas TTPs detectadas globalmente.
2. Diseño de reglas basadas en comportamiento
Se buscan patrones, no firmas:
- autenticaciones anómalas,
- secuencias sospechosas de procesos,
- acceso irregular a recursos sensibles,
- tráfico lateral incorrecto entre hosts.
3. Validación con Atomic Red Team o CALDERA
Pruebas controladas replican TTPs reales.
4. Ajustes para reducir ruido
Los falsos positivos destruyen la eficiencia de un SOC. Este paso es vital.
5. Despliegue en SIEM o XDR
Las reglas se implementan en:
- Splunk,
- QRadar,
- Sentinel,
- Elastic,
- Cortex XDR,
- CrowdStrike,
Cada plataforma tiene su propio lenguaje de consulta, por lo que las reglas deben adaptarse sin perder su lógica central.
6. Monitoreo continuo
Una detección debe evaluarse según:
- tasa de falsos positivos,
- tasa de detección,
- impacto en analistas,
- cobertura MITRE,
- velocidad de respuesta.
Este ciclo permite que las detecciones sean cada vez más precisas.
Herramientas comunes en Ingeniería de Detecciones
El analista CySA+ debe dominar un conjunto de plataformas destinadas a mejorar la precisión del SOC:
SIEM (Security Information and Event Management)
Permite correlación profunda, análisis de patrones, normalización de logs y creación de reglas avanzadas (KQL, SPL, AQL).
XDR
Entrega telemetría granular, contextualizando eventos de red, endpoint y nube.
Identifica correlaciones dificiles de detectar manualmente.
Sigma
Un lenguaje estándar y portable para crear reglas independientes del SIEM.
Permite colaboración y documentación uniforme.
Red Canary Atomic Tests
Colección estructurada de pruebas para simular técnicas ATT&CK.
Es esencial para validar que las detecciones funcionan y que no existen brechas.
YARA y YARA-L
YARA se utiliza principalmente para el análisis estático de malware, permitiendo identificar archivos maliciosos mediante reglas basadas en patrones binarios, cadenas de texto y condiciones lógicas. Es ampliamente empleada en procesos de detección por firmas avanzadas y en labores forenses para clasificar y agrupar muestras según comportamientos conocidos.
YARA-L, por su parte, extiende el concepto de YARA hacia el análisis y correlación de eventos, siendo utilizada para la detección de patrones en grandes volúmenes de logs y telemetría. Permite identificar actividades sospechosas mediante reglas que describen comportamientos observables en eventos, más allá de archivos individuales.
En conjunto, YARA y YARA-L contribuyen a la detección de amenazas tanto a nivel de artefactos como de comportamiento, apoyando estrategias de threat hunting y detección basada en reglas en entornos SIEM y XDR.
Caso Practico: Detección de PowerShell ofuscado
Una de las técnicas más utilizadas por adversarios es ejecutar PowerShell codificado en Base64 para evadir defensas básicas.
Regla creada
Detecta ejecución con:
- -enc o -encodedcommand,
- parámetros como -nop, -w hidden,
- cadenas codificadas.
Técnicas MITRE asociadas
- 001 – PowerShell
- T1027 – Obfuscation
Prueba con Atomic Red Team
Se ejecuta un payload controlado que replica la técnica del atacante.
Resultados
- El SIEM genera la alerta esperada.
- El XDR correlaciona el evento con comandos sospechosos posteriores.
- Un playbook del SOAR entra en acción:
- Aisla el endpoint.
- Extrae artefactos relevantes.
- Revoca tokens de sesión.
- Registra ticket con toda la evidencia.
El resultado: detección confirmada, automatización funcional y una defensa basada en comportamiento real.
Conclusión
La Ingeniería de Detecciones es un pilar fundamental en la operación de un SOC moderno. Permite anticipar ataques, elevar la calidad de las alertas y detectar adversarios que utilizan técnicas cada vez más avanzadas y silenciosas.
Para un analista certificado CySA+, dominar este campo implica comprender profundamente MITRE ATT&CK, trabajar con telemetría real, validar reglas con simulaciones controladas y documentar detecciones que se integren con SIEM, XDR y SOAR.
Cuando un SOC adopta un modelo maduro de Detection Engineering, deja de reaccionar ante ruidos y comienza a operar de forma estratégica, ágil y verdaderamente inteligente. Es, en esencia, la base para construir defensas vivas, adaptativas y centradas en el comportamiento de los adversarios.
