Tema 5: Detección de amenazas y respuesta a incidentes

⏱️ Tiempo estimado: 2-3 días

La respuesta a incidentes es estar listo/a para manejar eventos de seguridad cuando ocurren. Antes de implementar detección automatizada para tu Journal API, necesitas entender principios de detección y flujos de trabajo de incident response.

---

📚 Ruta de aprendizaje

Objetivos de aprendizaje

Al final de este tema, vas a entender:

• Amenazas comunes en cloud y vectores de ataque
• Ciclo de vida de incident response y best practices
• Conceptos de detección y respuesta automatizadas
• Cómo diseñar workflows de respuesta efectivos
• Fundamentos de threat intelligence y threat hunting

Recursos base

1. Lee: fundamentos de incident response

• NIST Incident Handling Guide (lee secciones 1-3)
• SANS Incident Response Process
• MITRE ATT&CK for Cloud

2. Mira: incident response en práctica

• Incident Response Fundamentals (40 min)
• AWS Incident Response (35 min)
• Cloud Threat Hunting (45 min)

3. Aprende: amenazas cloud

• OWASP Cloud Security Top 10
• Cloud Security Alliance Threat Research

Conceptos clave

Ciclo de vida de incident response

1. Preparación: plan, entrenamiento, herramientas
2. Detección y análisis: identificar y entender eventos
3. Contención, erradicación y recuperación: parar la amenaza y restaurar
4. Post-incident: aprender y mejorar

Amenazas comunes

• Account compromise: credenciales robadas
• Data breaches: acceso no autorizado
• Resource hijacking: abuso de recursos
• Misconfigurations: exposición accidental
• Supply chain attacks: dependencias comprometidas

Respuesta automatizada

• Security orchestration: coordinar respuesta
• Playbooks: procedimientos predefinidos
• Threat intelligence: data externa para mejorar detección
• Behavioral analysis: detectar anomalías

Severidad

• Crítico: amenaza inmediata a operaciones o datos
• Alto: impacto significativo
• Medio: requiere investigación
• Bajo: evento menor

---

🧪 Pon a prueba tu conocimiento

Prompts de ejemplo:

1. “Evalúame sobre fases del incident response lifecycle”
2. “Pregúntame amenazas comunes y vectores de ataque en cloud”
3. “Evalúame sobre conceptos de respuesta automatizada”
4. “Pregúntame cómo clasificar severidad de incidentes”
5. “Pregúntame sobre threat intelligence y cómo se usa”
6. “Evalúame sobre playbooks y runbooks”
7. “Pregúntame estrategias de contención según tipo de incidente”
8. “Pregúntame sobre actividades post-incident y lessons learned”

Recursos adicionales (opcional)

Herramientas

• AWS GuardDuty
• Azure Sentinel
• Google Chronicle

Frameworks

• NIST Cybersecurity Framework
• SANS Incident Response Methodology
• ISO 27035

Práctica

• AWS Incident Response Workshops
• Azure Security Incident Response
• Incident Response Tabletop Exercises

Threat intelligence

• MITRE ATT&CK
• CISA Alerts
• Cloud Security Alliance Research

Próximos pasos

Cuando entiendas detección y response, estás listo/a para el capstone.

---

✅ Checklist del tema

Antes de seguir, asegúrate de tener:

• Entendido fases del incident response lifecycle
• Aprendido amenazas comunes en cloud
• Entendido conceptos de respuesta automatizada
• Aprendido clasificación de severidad
• Revisado fuentes de threat intelligence
• (Opcional) Completado workshops

---