Curso · NG-C04 Detección y respuesta 8–16 horas · 2 jornadas Hasta 10 alumnos NIST SP 800-61
§00 — Curso 04 · Defensa

La diferencia está
en los primeros 60 minutos.

§01
Para quién

Para equipos que ya operan un SIEM o quieren montarlo bien.

El curso encaja con SOC interno, IT que asume rol defensivo y consultoras que necesitan estandarizar respuesta a incidentes con un marco reconocido.

Perfil del alumno

  • A.01SOC L1/L2 con alertas en cola diariaIdeal
  • A.02IT con responsabilidad defensiva sin SOC formalEncaja
  • A.03Sysadmin que asume primera respuestaEncaja
  • A.04Consultor de respuesta a incidentesRefuerzo
  • A.05Responsable de cumplimiento NIS2/ENSRefuerzo

Requisitos previos

  • R.01Manejo Linux y Windows a nivel adminRecomendado
  • R.02Bases de redes y logs corporativosRecomendado
  • R.03Portátil con Docker para lab SIEMMaterial
  • R.04Conocimiento básico de MITRE ATT&CKÚtil
  • R.05Playbook actual del cliente (si in-company)Útil
§02
Programa

Ocho módulos. Dos jornadas.

Día 1 detección. Día 2 respuesta y forensia. Cada módulo combina demo en vivo y laboratorio sobre datasets reales.

MÓDULO 01 · 60 min

Preparación

Qué debe contener un playbook vivo, cómo estructurar un equipo IR y qué llevar siempre en el kit del respondedor: roles IM, lead, comms, legal; hardware, software y credenciales.

MÓDULO 02 · 120 min

Logging estratégico

Configuración mínima viable en Windows (Sysmon + SwiftOnSecurity) y Linux (auditd, journald). Logs de red con NetFlow y Zeek. Garantía de integridad y cadena de custodia.

MÓDULO 03 · 180 min

Detección con SIEM

Arquitectura ELK y Wazuh, reglas Sigma con mapeo MITRE ATT&CK y threat hunting dirigido. Lab: detectar lateral movement en dataset de 2M eventos.

MÓDULO 04 · 120 min

Triaje de alertas

Framework 5W, enriquecimiento con threat intel y tuning continuo para reducir el false positive rate. Lab: 20 alertas reales en 45 min.

MÓDULO 05 · 120 min

Primeros 60 minutos

Checklist de respuesta inicial, aislamiento de red (VLAN, EDR, NAC, physical unplug) y adquisición de evidencias con Magnet RAM Capture, avml y dd sin destruir el caso.

MÓDULO 06 · 180 min

Forensia básica

Análisis de memoria con Volatility, triage rápido Windows (Prefetch, ShimCache, AmCache) y Linux (auth.log, journal), y reconstrucción de timeline de un endpoint comprometido.

MÓDULO 07 · 120 min

Casos reales

Anatomía del ransomware moderno (initial access → exfil → encrypt), compromiso BEC (reglas inbox, OAuth, MFA fatigue) y supply chain compromise de detección tardía.

MÓDULO 08 · 60 min

Crisis y reporting

Notificación a AEPD (72 h), INCIBE y CNI-CCN. Comunicación a clientes y medios. Informe post-mortem blameless con cierre real: qué incluir y qué evitar.

§03
Qué te llevas

Playbooks, reglas Sigma y un caso real evaluado.

Entregable 01Lab SIEM

Laboratorio ELK + Wazuh

StackEntorno de detección desplegado en Docker con datasets de ataque listos para reproducir en casa.
Entregable 02Playbooks

Playbooks por familia de ataque

SalidaPlaybooks adaptables para ransomware, BEC y supply chain compromise, con responsables, plazos y comunicación.
Entregable 03Detección

Reglas Sigma anotadas

CoberturaConjunto curado de reglas Sigma con mapeo MITRE ATT&CK y notas para tunearlas en el SIEM del cliente.
Entregable 04Caso final

Caso práctico de 3 h evaluado

EvaluaciónInvestigación de endpoint comprometido con entrega de informe completo, revisado individualmente por un IR senior.
Entregable 05Frameworks

Mapeo a estándares

MappingNIST SP 800-61 Rev. 2, ENISA Good Practice, MITRE ATT&CK / D3FEND e ISO/IEC 27035 conectados al programa.
Entregable 06Retest

Retest a 30 días

ContinuidadSesión corta a un mes para validar mejoras implementadas en el SIEM y refinar reglas en producción.
§04
Formato

Dos jornadas, diez alumnos, retest incluido.

Detalle operativo

  • F.01Duración8–16 h
  • F.02ModalidadPresencial u online
  • F.03AforoHasta 10
  • F.04IdiomaES / EN
  • F.05CertificaciónFUNDAE

Qué incluye siempre

  • I.01Laboratorio SIEM (ELK + Wazuh) en Docker
  • I.02Datasets reales y Atomic Red Team
  • I.03Reglas Sigma comentadas y mapeadas
  • I.04Caso final evaluado por IR senior
  • I.05Retest a 30 días para validar mejoras
§05
Preguntas

Dudas frecuentes.

¿Sirve si ya usamos Splunk o Sentinel y no ELK?

Sí. La metodología, las reglas Sigma y los procesos son agnósticos. Si vais in-company adaptamos los laboratorios a vuestro SIEM real para que no haya traducción posterior.

¿Cubre los plazos NIS2 y la notificación a la AEPD?

Sí. El módulo de crisis y reporting cubre los plazos legales españoles y europeos (NIS2, RGPD, ENS) con las plantillas concretas y la cadena de aviso a CCN-CERT e INCIBE.

¿Se puede dar como ejercicio interno encubierto?

El curso es formación con conocimiento del aula. Si buscáis ejercicio sin aviso para evaluar reacción, se combina con el Curso 05 — Red team tabletop — o con un servicio específico de simulación.

¿Qué incluye el retest a 30 días?

Una sesión corta donde revisamos qué reglas Sigma habéis desplegado, falsos positivos detectados y un par de casos sintéticos para validar madurez antes y después de la formación.

§06 — Siguiente paso

Pide presupuesto o reserva 30 min para definir alcance.

Cuéntanos qué SIEM operáis, madurez del SOC y casos prioritarios. Te respondemos con propuesta cerrada en 48 h o ajustamos el formato en una llamada corta.

Solicitar presupuesto Reservar 30 min