Threat Hunting
Objetivo
Aprender a buscar actividad sospechosa de forma proactiva, no solo esperar alertas.
Threat hunting es una habilidad clave para pasar de analista reactivo a analista que entiende comportamiento. No reemplaza alertas; ayuda a descubrir brechas de deteccion y a mejorar reglas existentes.
Mapa Mental
hipotesis -> datos -> busqueda -> contexto -> hallazgo -> deteccion -> mejora
Un hunt sin hipotesis se convierte en navegar logs sin rumbo.
Que es Threat Hunting
Threat hunting es una investigacion guiada por hipotesis.
No empieza con:
La herramienta alerto.
Empieza con:
Creo que podria existir cierto comportamiento malicioso. Voy a buscar evidencia.
Hipotesis
Una hipotesis debe ser clara y verificable.
Ejemplo debil:
Buscar hackers.
Ejemplo bueno:
Un atacante que obtuvo credenciales podria intentar multiples logins fallidos y luego un login exitoso desde una IP inusual.
Hipotesis Buena
Debe tener:
- comportamiento observable;
- fuente de datos posible;
- entidad afectada;
- criterio de sospecha;
- resultado esperado.
Formato:
Creo que [actor/comportamiento] podria [accion] en [entidad] y puedo buscarlo con [datos].
Fuentes de Datos
- Logs de autenticacion.
- Eventos de procesos.
- DNS.
- Proxy.
- Firewall.
- EDR.
- VPN.
- Cloud audit logs.
- Web server logs.
Tipos de Hunt
Basado en Hipotesis
Parte de una idea concreta.
Basado en Inteligencia
Parte de indicadores o tecnicas conocidas.
Basado en Anomalias
Parte de desviaciones respecto al comportamiento normal.
Basado en Cobertura
Busca tecnicas MITRE que no estan cubiertas por alertas actuales.
Flujo de Hunting
- Crear hipotesis.
- Identificar datos necesarios.
- Buscar patrones.
- Revisar resultados.
- Separar normal de sospechoso.
- Documentar hallazgos.
- Crear deteccion si aplica.
Baseline
Antes de llamar algo sospechoso, entiende que es normal.
Ejemplos:
- horarios normales de login;
- paises o redes comunes;
- procesos habituales por rol;
- dominios frecuentes;
- cuentas de servicio esperadas;
- volumen normal de errores.
Sin baseline, todo parece raro o nada parece raro.
Ejemplos de Hunts
Hunt 1: Logins Inusuales
Hipotesis:
Credenciales validas pueden usarse desde ubicaciones o IPs inusuales.
Datos:
- Usuario.
- IP origen.
- Pais o ASN si existe.
- Hora.
- Resultado.
Preguntas:
- Es una IP nueva para ese usuario?
- Hay muchos fallos antes del exito?
- Ocurre fuera de horario?
- Hubo actividad posterior sensible?
Hunt 2: Uso Sospechoso de PowerShell
Hipotesis:
PowerShell puede usarse para ejecutar comandos sospechosos o automatizar acciones maliciosas.
Datos:
- Proceso.
- Comando.
- Usuario.
- Parent process.
- Host.
Preguntas:
- Quien ejecuto PowerShell?
- Desde que proceso padre?
- El comando esta codificado?
- Descarga contenido remoto?
Hunt 3: DNS Raro
Hipotesis:
Malware puede comunicarse con dominios inusuales o generados automaticamente.
Datos:
- Dominio.
- Host.
- Frecuencia.
- Longitud del dominio.
- Respuesta DNS.
Preguntas:
- El dominio es nuevo?
- Tiene muchos subdominios?
- Se repite en varios hosts?
- Hay trafico posterior?
Hunt 4: Cuentas de Servicio Anomalas
Hipotesis:
Una cuenta de servicio comprometida puede usarse desde hosts o horarios no esperados.
Datos:
- cuenta;
- host origen;
- sistema destino;
- hora;
- accion;
- resultado.
Preguntas:
- La cuenta deberia iniciar sesion interactivamente?
- El host origen es esperado?
- Hubo cambios de permisos?
- Se accedieron recursos sensibles?
Formato de analisis de hunting
# Threat Hunt ## Hipotesis ## Fuentes de Datos ## Busquedas Realizadas ## Resultados ## Hallazgos ## Falsos Positivos ## Recomendaciones ## Detecciones Propuestas
Mini Laboratorio: Hunt de Cuenta Comprometida
Crea hunt-cuenta-comprometida.md:
- Hipotesis.
- Fuentes de datos.
- Campos necesarios.
- Busquedas conceptuales.
- Baseline esperado.
- Anomalias encontradas.
- Falsos positivos.
- Recomendacion.
- Deteccion nueva propuesta.
Errores Comunes
- Buscar sin hipotesis.
- No conocer normalidad del ambiente.
- Confundir anomalia con incidente confirmado.
- No documentar busquedas que no encontraron nada.
- No convertir hallazgos repetibles en detecciones.
- No pedir datos faltantes.
Criterio de Dominio
Puedes avanzar cuando puedas:
- Escribir una hipotesis verificable.
- Identificar fuentes de datos.
- Documentar resultados.
- Proponer una deteccion nueva.
- Explicar la diferencia entre anomalia, hallazgo e incidente.
En esta página
- Objetivo
- Mapa Mental
- Que es Threat Hunting
- Hipotesis
- Hipotesis Buena
- Fuentes de Datos
- Tipos de Hunt
- Basado en Hipotesis
- Basado en Inteligencia
- Basado en Anomalias
- Basado en Cobertura
- Flujo de Hunting
- Baseline
- Ejemplos de Hunts
- Hunt 1: Logins Inusuales
- Hunt 2: Uso Sospechoso de PowerShell
- Hunt 3: DNS Raro
- Hunt 4: Cuentas de Servicio Anomalas
- Formato de analisis de hunting
- Hipotesis
- Fuentes de Datos
- Busquedas Realizadas
- Resultados
- Hallazgos
- Falsos Positivos
- Recomendaciones
- Detecciones Propuestas
- Mini Laboratorio: Hunt de Cuenta Comprometida
- Errores Comunes
- Criterio de Dominio