Controles detectivos
¿Qué es Controles detectivos?
Controles detectivosMedidas de seguridad diseñadas para identificar y alertar sobre actividades maliciosas, infracciones de políticas o anomalías una vez ocurren en el entorno.
Los controles detectivos son salvaguardas que descubren y notifican incidentes de seguridad en lugar de bloquearlos. Incluyen reglas de correlación de SIEM, sensores IDS, telemetría EDR, monitoreo de integridad de archivos, registros de auditoría y análisis de anomalías. Su valor reside en reducir el tiempo entre el compromiso y la detección, alimentar la respuesta a incidentes y aportar evidencia forense. Complementan a los preventivos: cuando la prevención falla, la detección garantiza que el fallo no pase inadvertido. Su eficacia se mide por la cobertura de MITRE ATT&CK, la fidelidad de las alertas y métricas como el MTTD.
● Ejemplos
- 01
Regla SIEM que se dispara cuando una cuenta de servicio inicia sesión de forma interactiva por primera vez.
- 02
EDR que alerta sobre ejecución sospechosa de PowerShell encadenada desde un documento de Word.
● Preguntas frecuentes
¿Qué es Controles detectivos?
Medidas de seguridad diseñadas para identificar y alertar sobre actividades maliciosas, infracciones de políticas o anomalías una vez ocurren en el entorno. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Controles detectivos?
Medidas de seguridad diseñadas para identificar y alertar sobre actividades maliciosas, infracciones de políticas o anomalías una vez ocurren en el entorno.
¿Cómo defenderse de Controles detectivos?
Las defensas contra Controles detectivos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Controles detectivos?
Nombres alternativos comunes: Controles de detección, Controles de monitoreo.