Forense de red
¿Qué es Forense de red?
Forense de redCaptura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante.
El forense de red examina capturas de paquetes (PCAP), NetFlow/IPFIX, DNS, proxy, firewall e IDS para identificar vectores de intrusión, canales de exfiltración, mando y control y movimiento lateral. Va desde captura completa permanente hasta sniffing dirigido en puntos clave. Herramientas habituales: Wireshark, Zeek, Suricata, tcpdump, Arkime/Moloch y plataformas NDR comerciales. Los analistas correlacionan flujos con datos de endpoint y SIEM, decodificando protocolos (HTTP, metadatos TLS, DNS, SMB) y aplicando huellas JA3/JA4 para detectar clientes sospechosos. Dado lo efímero del tráfico, las políticas de retención, el almacenamiento seguro y la cadena de custodia desde los sensores son críticos para la admisibilidad según ISO/IEC 27037.
● Ejemplos
- 01
Reconstrucción de sesiones HTTP C2 a partir de conn.log de Zeek y un PCAP.
- 02
Identificación de exfiltración por túnel DNS analizando distribución de longitud de consultas en NetFlow.
● Preguntas frecuentes
¿Qué es Forense de red?
Captura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Forense de red?
Captura, registro y análisis del tráfico y metadatos de red para investigar eventos de seguridad y reconstruir la actividad del atacante.
¿Cómo defenderse de Forense de red?
Las defensas contra Forense de red combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Forense de red?
Nombres alternativos comunes: NetFor, Forense de tráfico.