Caza de Amenazas
¿Qué es Caza de Amenazas?
Caza de AmenazasBúsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
La caza de amenazas es la disciplina de asumir el compromiso y buscarlo de forma activa. Los analistas formulan hipótesis basadas en TTPs, inteligencia de amenazas o debilidades conocidas, y consultan la telemetría de EDR, SIEM, red y nube para confirmarlas o descartarlas. A diferencia del triaje, reactivo y guiado por alertas, la caza es iterativa y exploratoria; su objetivo es descubrir intrusiones activas y huecos de detección que deben convertirse en nuevas reglas automatizadas. Los programas maduros aplican metodologías como PEAK o cazas guiadas por hipótesis alineadas con MITRE ATT&CK. Los resultados incluyen informes de caza, nuevas detecciones y mejoras de logging y visibilidad.
● Ejemplos
- 01
Cazar inicios de sesión con viaje imposible contra Microsoft 365 en los últimos 30 días.
- 02
Buscar hosts donde un binario firmado y legítimo carga de forma inusual una DLL no firmada (DLL sideloading).
● Preguntas frecuentes
¿Qué es Caza de Amenazas?
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Caza de Amenazas?
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
¿Cómo defenderse de Caza de Amenazas?
Las defensas contra Caza de Amenazas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.