Forense y respuesta
DFIR (Análisis forense y respuesta a incidentes)
También conocido como: Forense digital y respuesta a incidentes
Definición
Disciplina combinada que fusiona la investigación forense digital con la respuesta a incidentes para detectar, contener, erradicar y aprender de los incidentes ciberseguridad.
Ejemplos
- Un retainer DFIR se activa tras la detonación de un ransomware: triaje con Velociraptor, imágenes de hosts clave y plan de contención.
- Reconstrucción de una intrusión APT entre endpoints y logs en la nube para identificar el acceso inicial y el movimiento lateral.
Términos relacionados
Informática forense
Disciplina científica que identifica, preserva, analiza y documenta evidencia digital de equipos, redes y dispositivos de forma jurídicamente defendible.
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
Plan de respuesta a incidentes
Manual documentado y aprobado que define cómo la organización se prepara, detecta, contiene, erradica, recupera y aprende de los incidentes cibernéticos.
Cadena de custodia
Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.
Threat Hunting
Threat Hunting — definition coming soon.
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.