CM Subcapacidad Militar Objetivo de la capacidad y/o sucapacidad ¿Qué debe generar la capacidad?

Observaciones y detalles para un mejor entendimiento

Prevención

Centro de Llamadas Ayudar a los usuarios, realizar el triage, canalizar la información, informes de Debe ser el organismo en primera linea el cual orqueste la recepción
(Mesa de ayuda) incidentes y solicitudes de servicios de la organización recibidos por de los incidentes realizando el triage. El el organismo que canaliza las Esto es aproximadamente análogo a una mesa de ayuda tradicional de
teléfono, correo electrónico, publicaciones en el sitio web de SOC u otros entradas del NOC/SOC. TI, excepto en ciberdefensa, la cual debe opera por el ciberespacio.
Análisis en Tiempo Real métodos.

Por lo general, es sinónimo de los analistas de nivel 1 de SOC, que se

centran en las fuentes de eventos en tiempo real y otras visualizaciones
Monitoreo y Tiage en tiempo real Realizar el análisis de triaje y análisis superficial de las fuentes de datos en Después de un umbral de tiempo específico, los incidentes
de datos. Nota: esta es una de las capacidades más fácilmente
tiempo real (como los registros y alertas del sistema) para posibles sospechosos se escalan a un equipo de análisis y respuesta de
Análisis en Tiempo Real intrusiones. incidentes para un estudio adicional. reconocibles y visibles ofrecidas por un SOC, pero carece de sentido sin
el correspondiente análisis de incidentes y la capacidad de respuesta,
que se analiza en un nivel a continuación.

Realizar la recopilación, consumo y análisis de informes de inteligencia

Colección y análisis de
ciberinteligencia
Inteligencia y Tendencias
cibernética, informes de intrusiones cibernéticas y noticias relacionadas con Generar información util para la toma de deciciones en las Inteligencia puede seleccionar diferentes fuentes como SOCs
la seguridad de la información, que cubren nuevas amenazas,
vulnerabilidades, productos e investigación. Los materiales se inspeccionan ciberoperaciones de seguridad del SOC y poder distribuir esta coordinadores, proveedores, sitios web de medios de noticias, foros en
en busca de información que requiera una respuesta del SOC o distribución información a otros organismos a los cuales le sea útil. línea y listas de distribución de correo electrónico.
de esta misma.

Realizar la síntesis, resumen y redistribución de los informes de inteligencia

Distribución ciberinteligencia
Inteligencia y Tendencias
cibernética, informes de intrusión cibernética y noticias relacionadas con la
seguridad de la información a los miembros de la unidad constitutiva de Generar la distribución y retroalimentación de información util a Esta capacidad permite alertar a nuestras Unidades y a sus usuarios, a
forma rutinaria (como un boletín informativo semanal o mensual) o no otros organismos de interes. su vz concietizandolos respecto a las amenzas y vulnerabilidades.
rutinaria (como un aviso de parche de emergencia o alerta de campaña de
phishing).

Creación de ciberinteligencia Ser la capacidad principal de autoría respecto a las creación de nuevos
informes de inteligencia cibernética, como avisos de amenazas o destacados, Se debe aplicar a los propios incidentes, análisis forenses, análisis de Por ejemplo, el análisis de una nueva amenaza o vulnerabilidad no vista
Inteligencia y Tendencias basados en la investigación primaria realizada por el SOC. malware y enfrentamientos adversos del SOC. anteriormente en otro lugar.

Extraer datos de la inteligencia cibernética y sintetizarlos en nuevas firmas,

Fusión ciberinteligencia contenido y comprensión de las TTP (Tactics, Techniques and Procedures) Información de inteligencia cibernética, sintetiza en nuevas firmas,
contenido y comprensión de las TTP (Tactics, Techniques and Permite mejorar y evoluciona las operaciones de monitoreo.
Inteligencia y Tendencias adversarias, lo cual permite mejorar y evoluciona las operaciones de Procedures) adversarias.
monitoreo (por ejemplo, nuevas firmas o contenido SIEM).

Analizar las fuentes de eventos, el malware recolectado y los datos de Información util a partir del análisis de las las fuentes de eventos, el Esto puede incluir análisis no estructurados, abiertos, de inmersión
Tendencias malware recolectado y los datos de incidentes en busca de evidencia profunda en varias fuentes de datos, tendencias y correlación durante
incidentes en busca de evidencia de actividad malintencionada o anómala o de actividad malintencionada o anómala o para comprender mejor semanas o meses de datos de registro, análisis de datos "bajo y lento" y
Inteligencia y Tendencias para comprender mejor los TTP de la unidad o adversarios. los TTP de la unidad o adversarios. métodos de detección de anomalías esotéricas.

Esto incluirá el aprovechamiento de los recursos existentes, como las

Evaluación de amenazas Estimar holisticamente las amenazas planteadas por diversos actores, sus fuentes y tendencias de inteligencia cibernética, junto con la
Evaluar las amenazas existentes hacia la organización. arquitectura y el estado de vulnerabilidad de la organización. A menudo
Inteligencia y Tendencias enclaves o líneas de negocio, dentro del ámbito cibernético. se realiza en coordinación con otras partes interesadas en
ciberseguridad.

Esta capacidad generalmente la realizan analistas en los niveles 2 y

Análisis de incidentes Análizar prolongadamente y en profundidad las posibles intrusiones y de
Análisis y respuesta a incidentes sugerencias enviadas por otros miembros del SOC.
superiores dentro del proceso de escalamiento de incidentes del SOC.
Debe completarse en un período de tiempo específico para respaldar
Un análisis que aproveche que determine quién, qué, cuándo, dónde una respuesta relevante y efectiva. Por lo general, esta capacidad
y por qué de una intrusión: su alcance, cómo limitar el daño y cómo implicará un análisis que aproveche varios artefactos de datos para
recuperarse. determinar quién, qué, cuándo, dónde y por qué de una intrusión: su
alcance, cómo limitar el daño y cómo recuperarse. Un analista
documentará los detalles de este análisis, generalmente con una
recomendación para una acción adicional.

Esta actividad es distinta de otras capacidades porque

Coordinar cuidadosamente los enfrentamientos con los adversarios,
Análisis Tradecraft (Análisis de mediante los cuales los miembros del SOC realizan un estudio y análisis
Inteligencia) sostenidos "down-in-the-weeds" de las TTP (Tactics, Techniques and
Análisis y respuesta a incidentes Procedures) del adversario, en un esfuerzo por comprenderlos mejor e
informar el monitoreo continuo.
(1) a veces involucra una instrumentación ad hoc de redes y sistemas
Coordinación cuidadosa de los enfrentamientos con los adversarios, para enfocarse en una actividad de interés, como un honeypot, y
determinado las TTP (Tactics, Techniques and Procedures) del (2) un adversario podrá continuar su actividad sin ser inmediatamente
adversario. eliminada. Esta capacidad está estrechamente respaldada por las
tendencias y el análisis de malware e implantes y, a su vez, puede
admitir la creación de inteligencia cibernética.

Coordinación de respuesta a Esta función incluye la coordinación de acciones de respuesta y el

incidentes Trabajar con las Unidades afectadas para recopilar más información sobre un Coordinación con la Unidades afectadas para recopilar información reporte de incidentes. Este servicio no implica que el SOC implemente
incidente, comprender su importancia y evaluar el impacto de la misión. sobre el incidente.
Análisis y respuesta a incidentes directamente contramedidas.

Las posibles contramedidas incluyen el aislamiento lógico o físico de los

Implementación de contramedidas Implementar acciones de respuesta a un incidente para disuadir, bloquear o Acciones de respuesta a un incidente para disuadir, bloquear o cortar sistemas involucrados, los bloques de firewall, los agujeros negros del
Análisis y respuesta a incidentes cortar la presencia o daño del adversario. la presencia o daño del adversario. DNS, los bloques de IP, el despliegue de parches y la desactivación de
cuentas.

Respuesta a incidente en sitio Trabajar con las Unidades afectadas para responder y recuperarse de un
Análisis y respuesta a incidentes incidente en el sitio.
Por lo general, esto requerirá que los miembros de SOC que ya están
ubicados cerca de la Unidad afectada, o que viajan a ella, apliquen su
Responder y recuperarse de un incidente en el sitio de una Unidades experiencia práctica en el análisis de daños, la erradicación de los
afectada. cambios dejados por un adversario y la recuperación de los sistemas a
un estado bueno conocido. Este trabajo se realiza en colaboración con
los propietarios del sistema y los administradores de sistemas.

Esto implica el mismo trabajo que la respuesta a incidentes en el sitio.

Sin embargo, los miembros de SOC tienen comparativamente menos
Respuesta remota a incidentes Trabajar con las Unidades afectadas para recuperarse de un incidente de participación directa en la recopilación de artefactos o sistemas de
Recuperarse de un incidente de forma remota. recuperación. El soporte remoto generalmente se realiza por teléfono y
Análisis y respuesta a incidentes forma remota. correo electrónico o, en casos más raros, terminales remotas o
interfaces administrativas como Microsoft Terminal Services o Secure
Shell (SSH).

Recopilar y almacenar artefactos forenses (como discos duros o medios Dependiendo de la jurisdicción, esto puede involucrar el manejo de los
Manejo de artefactos forenses medios mientras se documenta la cadena de la custodia, se asegura un
extraíbles) relacionados con un incidente de una manera que respalde su Respalde de información de su uso en procedimientos legales. almacenamiento seguro y se admiten copias de evidencia compilables
Análisis de artefactos uso en procedimientos legales. de bit a bit.
 Realizar ingeniería inversa de malware o "reversing". Extrayendo malware
(virus, troyanos, implantes, cuentagotas, etc.) del tráfico de red o imágenes
de medios y analizarlos para determinar su naturaleza. Los miembros del Esta capacidad se destina principalmente a apoyar un monitoreo y
Malware y análisis de implantes SOC normalmente buscarán el vector de infección inicial, el comportamiento Determinar la naturaleza de los malware extraidos del tráfico de red respuesta efectiva. Aunque aprovecha algunas de las mismas técnicas
Análisis de artefactos y, potencialmente, la atribución informal para determinar el alcance de una o imágenes de medios. que los "forenses" tradicionales, no necesariamente se ejecuta para
intrusión y para apoyar la respuesta oportuna. Esto puede incluir el análisis respaldar el procesamiento legal.
de código estático a través de la descompilación o runtime/execution (por
ejemplo, "detonación") o ambos.

Análisis de artefactos digitales (medios, tráfico de red, dispositivos móviles)

Análisis de artefactos forenses
Análisis de artefactos
para determinar el alcance total y la verdad básica de un incidente,
generalmente mediante el establecimiento de una línea de tiempo detallada A menudo, esto se realiza mediante procedimientos bien definidos de
de eventos. Esto aprovecha técnicas similares a algunos aspectos del El alcance total y la verdad básica de un incidente. manera que sus hallazgos puedan respaldar acciones legales contra
quienes puedan estar implicados en un incidente.
malware y el análisis de implantes, pero sigue un proceso más exhaustivo y
documentado.

Recopilación de varias fuentes de datos relevantes para la seguridad para

Auditoría de recolección y
distribución de datos.
Auditoria y amenaza interna
fines de análisis de incidentes y correlación. Esta arquitectura de
recopilación también puede aprovecharse para respaldar la distribución y Datos relevantes para la seguridad para fines de análisis de incidentes Esta capacidad abarca la retención a largo plazo de datos relevantes
posterior recuperación de datos de auditoría para fines de investigación o y correlación. para la seguridad para su uso por parte de constituyentes fuera del SOC.
análisis bajo demanda fuera del alcance de la misión SOC.

Auditoría de creación de contenido Crear y adaptar el contenido de SIEM o mantenimiento de registros (LM) Este servicio se basa en la capacidad de distribución de datos de
y gestión (correlación, paneles de control, informes, etc.) para los fines de revisión de Auditoría y detección de uso indebido de la plataforma tecnológica auditoría, y proporciona no solo una fuente de datos en bruto, sino
auditoría y detección de uso indebido de los usuarios. por parte de los usuarios. también contenido creado para las partes interesadas en ciberseguridad
Auditoria y amenaza interna fuera del SOC.

Dar soporte para análisis e investigación de amenazas internas en dos áreas

Soporte de casos de amenazas
internas
Auditoria y amenaza interna
relacionadas:
1. Encontrar sugerencias para posibles casos de amenazas internas (por
ejemplo, mal uso de los recursos de TI, fraude de tarjetas de tiempo, fraude
financiero, espionaje industrial o robo). El SOC informará a los organismos de
investigación apropiados (aplicación de la ley, Inspector General, etc.) con un Soporte para análisis e investigación de amenazas internas. …
caso de interés.
2. En nombre de estos cuerpos de investigación, el SOC proporcionará más
monitoreo, recopilación de información y análisis en apoyo de un caso de
amenazas internas.

Investigación de casos de amenazas Investigar amenazas internas, para incluir un monitoreo enfocado o
internas El SOC puede aprovecha su propia autoridad reguladora o legal
prolongado de individuos específicos, sin necesidad de apoyo o autoridades Investigación de amenazas internas. independiente.
Auditoria y amenaza interna de una entidad externa.

Mapeo de red Mapeo sostenido y regular de redes de la organización para comprender el Comprención del tamaño, forma, composición e interfaces
su tamaño, la forma, la composición y las interfaces perimetrales, a través de perimetrales, de una red informática a través de técnicas Estos mapas a menudo se construyen en cooperación con otras
Escaneo y Evaluación técnicas automatizadas o manuales. automatizadas o manuales Unidades responsables de TI.

La interrogación de hosts de consistencia para el estado de vulnerabilidad,

Escaneo de vulnerabilidad
Escaneo y Evaluación
generalmente se enfoca en el nivel de parche y el cumplimiento de
seguridad de cada sistema, generalmente a través de herramientas Determinar el estado de vulnerabilidad de un activo o plataforma Esta función se realiza con regularidad y no forma parte de una
distribuidas y automatizadas. Al igual que con el mapeo de redes, esto tecnológica. evaluación o ejercicio específico.
permite al SOC entender mejor lo que debe defender. El SOC puede
proporcionar estos datos a los miembros de las Unidades responsables de la
infraestrcutura, tal vez en forma de informe o resumen.

Evaluación de seguridad abierta y de pleno conocimiento de un sitio, a veces

Evaluación de vulnerabilidad
Escaneo y Evaluación
conocido como "Blue Teaming". Los miembros de SOC trabajan con los
propietarios y administradores de sistemas para examinar de forma integral
la arquitectura de seguridad y las vulnerabilidades de sus sistemas, a través
de exploraciones y exámenes. Configuración del sistema, revisión de la Los SOC aprovechan las evaluaciones de vulnerabilidad como una
documentación de diseño del sistema, y entrevistas. Esta actividad puede Evaluación de seguridad de un sistema de información conocido. oportunidad para expandir la cobertura de monitoreo y el conocimiento
aprovechar las herramientas de exploración de redes y vulnerabilidades, de sus analistas.
además de tecnologías más invasivas que se utilizan para interrogar a los
sistemas en cuanto a configuración y estado. A partir de este examen, los
miembros del equipo producen un informe de sus hallazgos, junto con la
remediación recomendada.

Evaluación sin conocimiento o conocimiento limitado de un área específica,

Pruebas de penetración
Escaneo y Evaluación
también conocida como "Red Teaming". Los miembros del SOC realizan un
ataque simulado contra un segmento de la infraestructura para evaluar la
resistencia del objetivo a un ataque real. Estas operaciones generalmente se
llevan a cabo solo con el conocimiento y la autorización de los ejecutivos de
más alto nivel dentro de la organización y sin avisar a los propietarios del
sistema. Las herramientas utilizadas ejecutarán ataques a través de diversos En algunos casos, el personal del SOC solo coordinará las actividades de
medios: desbordamientos de búfer, inyección de lenguaje de consulta Red Teaming, con un tercero designado que realizará la mayoría de las
estructurado (SQL) y fuzzing de entrada. Los equipos rojos generalmente Evaluación de seguridad de un sistema de información no conocido.
limitarán sus objetivos y recursos para modelar los de un actor específico, tal pruebas reales para garantizar que los evaluadores no tengan
vez simulando una campaña adversa que podría comenzar con un ataque de conocimiento previo de los sistemas o las vulnerabilidades.
phishing. Cuando termine la operación, el equipo producirá un informe con
sus hallazgos, de la misma manera que una evaluación de vulnerabilidad. Sin
embargo, debido a que las actividades de pruebas de penetración tienen un
conjunto limitado de objetivos, no cubren tantos aspectos de la
configuración del sistema y las mejores prácticas como lo haría una
evaluación de vulnerabilidad.

Protección
Dispositivo de protección de
fronteras O&M Operar y mantener (O&M) los dispositivos de protección de fronteras (por Operación y mantenimiento (O&M) de dispositivos de protección de Incluye actualizaciones y configuraciones de administración (CM) de las
ejemplo, firewalls, proxies web, proxies de correo electrónico y filtros de fronteras. políticas del dispositivo, a veces en respuesta a una amenaza o
Soporte de ciclo de vida de contenido). incidente. Esta actividad está estrechamente coordinada con un NOC.
herramientas SOC

SOC Infraestructura O&M
Soporte de ciclo de vida de
herramientas SOC
Operar y mantener tecnologías fuera del alcance de los sensores. Esto
incluye el cuidado y la alimentación de los equipos informáticos SOC:
servidores, estaciones de trabajo, impresoras, bases de datos relacionales,
sistemas de solución de problemas, redes de área de almacenamiento (SAN) Tecnologías de operación y mantenimiento de SOC fuera del alcance El personal que apoya este servicio tiene privilegios de "root" en los
y copia de seguridad en cinta. Si el SOC tiene su propio enlace, esto de los sensores, osea, redes informáticas aisladas y generamente equipos SOC.
probablemente incluirá el mantenimiento de sus enrutadores, clasificadas como redes SCADA.
conmutadores, cortafuegos y controladores de dominio, si los hay. Esto
también puede incluir O&M de sistemas de monitoreo, sistemas operativos
(SO) y hardware.

Cuidar y alimentar las plataformas de sensores de propiedad y operadas por

el SOC: IDS, IPS, SIEM, etc. Esto incluye actualizar los sistemas IDS / IPS y
SIEM con nuevas firmas, ajustar sus conjuntos de firmas para mantener el
Ajuste y mantenimiento del sensor volumen del evento en niveles aceptables, minimizar los falsos positivos y
Soporte de ciclo de vida de mantener el estado de mantenimiento de los sensores y las fuentes de
herramientas SOC datos. Los miembros del SOC que participan en este servicio deben tener un
conocimiento profundo de las necesidades de monitoreo del SOC para que
el SOC pueda seguir el ritmo de un entorno de consistencia y amenaza en
constante evolución.
El cuidado y alimentación de plataformas de sensores de propiedad y
operadas por el SOC: IDS, IPS, SIEM, etc.
Los cambios en cualquier dispositivo de prevención en línea (HIPS /
NIPS) generalmente se coordinan con el NOC u otras áreas de las
operaciones de TI. Esta capacidad puede implicar una secuencia de
comandos ad hoc significativa para mover los datos e integrar
herramientas y fuentes de datos.

Creación de firma personalizada Crear e implementar contenido de detección para sistemas de monitoreo Creación e implementación de contenido de detección para sistemas Esta capacidad aprovecha las herramientas a disposición del SOC para
(firmas IDS, casos de uso de SIEM, etc.) sobre la base de amenazas, de monitoreo sobre la base de amenazas, vulnerabilidades, llenar los vacíos que dejan las firmas proporcionadas comercialmente o
Soporte de ciclo de vida de vulnerabilidades, protocolos, misiones u otros detalles actuales del entorno protocolos, misiones u otros detalles actuales del entorno de por la comunidad. El SOC puede compartir sus firmas personalizadas
herramientas SOC de Unidades afectadas. Unidades afectadas. con otros SOCs.

Ingeniería y despliegue de
herramientas
Soporte de ciclo de vida de
herramientas SOC
Investigar el mercado, evaluación de productos, creación de prototipos,
ingeniería, integración, implementación y actualizaciones de equipos SOC,
principalmente basados en software de código abierto o gratuito (FOSS) o
tecnologías comerciales disponibles (COTS). Este servicio incluye el
presupuesto, la adquisición y la recapitalización regular de los sistemas SOC.
Investigación de mercado, evaluación de productos, creación de
prototipos, ingeniería, integración, implementación y actualizaciones
de equipos SOC, principalmente basados en software de código
abierto o gratuito (FOSS) o tecnologías comerciales disponibles
(COTS)
El personal que apoya este servicio debe mantener un ojo atento a un
entorno de amenaza cambiante, aportando nuevas capacidades en
cuestión de semanas o meses, de acuerdo con las demandas de la
misión.

Herramienta de Investigación y
Desarrollo Investigar y desarrollar (I+D) herramientas personalizadas donde ninguna Investigación y desarrollo (I+D) de herramientas personalizadas El alcance de esta actividad abarca desde el desarrollo del código para
capacidad comercial o de código abierto adecuado, se adapte a una donde ninguna capacidad comercial o de código abierto adecuado, se un problema conocido y estructurado hasta la investigación académica
Soporte de ciclo de vida de necesidad operativa. adapta a una necesidad operativa. de varios años aplicada a un desafío más complejo.
herramientas SOC
Reacción

Realizar pruebas de las características de seguridad de los dispositivos

Evaluación del producto tecnologicos que está adquiriendo la organización. Realiza evaluaciones de
manera análoga y pequeñas evaluaciones de vulnerabilidad de uno o unos Características de seguridad de los dispositivos tecnologicos que está Esto puede implicar pruebas “internas” de productos en lugar de
Outreach (Capacidades pocos hosts, esta prueba permite un análisis en profundidad de las fortalezas adquiriendo la organización. evaluaciones remotas de los sistemas de producción o preproducción.
Complementarias) y debilidades de un producto en particular desde una perspectiva de
seguridad.

Consultoría de Seguridad Proporcionar asesoramiento sobre ciberseguridad a la organización fuera del

alcance del CTE; apoyando el diseño de nuevos sistemas, la continuidad del Asesoramiento sobre ciberseguridad a la organización fuera del
Outreach (Capacidades negocio y la planificación de recuperación ante desastres; política de alcance del CTE u otro organismo relacionado con la TI. …
Complementarias) ciberseguridad; guias de configuracion seguras; y otros esfuerzos.

Formación y sensibilización
Outreach (Capacidades
Complementarias)
Difundir proactivamente información de sensibilización y formación a la
organización, apoyando a la capacitación general de usuarios, boletines y
otros materiales educativos que les ayudan a comprender varios problemas
de ciberseguridad.
Difusión proactiva de información de sensibilización y formación a la
organización, apoyando a la capacitación general de usuarios,
boletines y otros materiales educativos que les ayudan a comprender
varios problemas de ciberseguridad.
Los objetivos principales son ayudar a la organización a protegerse de
amenazas comunes como los esquemas de suplantación de identidad /
suplantación de identidad, mejorar la seguridad de los sistemas finales,
crear conciencia sobre los servicios del SOC y ayudar a los
constituyentes a informar correctamente los incidentes.

Empaquetar y redistribuir regular y repetiblemente el conocimiento del SOC

Conciencia Situacional
Outreach (Capacidades
Complementarias)
sobre los activos, redes, amenazas, incidentes y vulnerabilidades de la
organización. Esta capacidad va más allá de la distribución de la inteligencia Redistribución regular y repetible del conocimiento del SOC sobre los Esta información se puede entregar automáticamente a través de un
activos, redes, amenazas, incidentes y vulnerabilidades de la sitio web del SOC, un portal web o una lista de distribución de correo
cibernética, mejorando la comprensión de la organización sobre la postura organización.
electrónico.
de seguridad cibernética, impulsando la toma de decisiones efectiva en
todos los niveles.

Redistribución de TTPs
Outreach (Capacidades
Complementarias)
Intercambiar productos internos del SOC a otros aliados, como SOC
asociados o subordinados, en un formato más formal o estructurado.
Esto puede incluir casi cualquier cosa que el SOC desarrolle por sí solo
Intercambio sostenido de productos internos del SOC a otros aliados, (por ejemplo, herramientas, inteligencia cibernética, firmas, informes
como SOC asociados o subordinados, en un formato más formal o de incidentes y otros observables en bruto). Teniendo en concideración
estructurado. el principio de "quid pro quo" a menudo se aplica: el flujo de
información entre los SOC es bidireccional.

Relaciones con los medios Comunicar directamente a los medios de comunicación. El SOC es
Outreach (Capacidades responsable de divulgar información sin afectar la reputación de la unidad Comunicación directa con los medios de comunicación. …
Complementarias) afectada o las actividades de respuesta en curso.
 Capacidades de un SOC
Nombre
Análisis en Tiempo Real

1 Centro de Llamadas

2 Monitoreo y Tiage en
tiempo real

Inteligencia y Tendencias

3 Colección y análisis de
ciberinteligencia

4 Distribución
ciberinteligencia

5 Creación de
ciberinteligencia

6 Fusión ciberinteligencia

7 Tendencias

8 Evaluación de amenazas

Análisis y respuesta a incidentes

9 Análisis de incidentes

10 Análisis Tradecraft (Análisis

de Inteligencia)

Coordinación de respuesta
11 a incidentes

Implementación de
12
contramedidas

Respuesta a incidente en
13
sitio

Respuesta remota a
14 incidentes

Análisis de artefactos

15 Manejo de artefactos
forenses

Malware y análisis de
16
implantes
 Análisis de artefactos
17
forenses

Soporte de ciclo de vida de herramientas

Dispositivo de protección
18
de fronteras O&M

19 SOC Infraestructura O&M

Ajuste y mantenimiento del

20 sensor

Creación de firma
21
personalizada

Ingeniería y despliegue de
22
herramientas

Herramienta de
23 Investigación y Desarrollo

Auditoria y amenaza interna

24 Auditoría de recolección y
distribución de datos.
25 Auditoría de creación de
contenido y gestión

Soporte de casos de
26
amenazas internas

27 Investigación de casos de
amenazas internas
Escaneo y Evaluación

28 Mapeo de red

29 Escaneo de vulnerabilidad

Evaluación de
30
vulnerabilidad
31 Pruebas de penetración

Outreach (Capacidades Complementaria

32 Evaluación del producto

33 Consultoría de Seguridad

34 Formación y sensibilización

35 Conciencia Situacional

36 Redistribución de TTPs

37 Relaciones con los medios

 Capacidades de un SOC
Descripción
Análisis en Tiempo Real
Consejos, informes de incidentes y solicitudes de servicios de la organización recibidos por teléfono, correo electrón
en el sitio web de SOC u otros métodos. Esto es aproximadamente análogo a una mesa de ayuda tradicional de TI, e
ciberdefensa, la cual debe opera por el ciberespacio.

Análisis de triaje y análisis superficial de las fuentes de datos en tiempo real (como los registros y alertas del sistema
intrusiones. Después de un umbral de tiempo específico, los incidentes sospechosos se escalan a un equipo de análi
incidentes para un estudio adicional. Por lo general, es sinónimo de los analistas de nivel 1 de SOC, que se centran e
eventos en tiempo real y otras visualizaciones de datos. Nota: esta es una de las capacidades más fácilmente recono
ofrecidas por un SOC, pero carece de sentido sin el correspondiente análisis de incidentes y la capacidad de respues
continuación.

Inteligencia y Tendencias

Recopilación, consumo y análisis de informes de inteligencia cibernética, informes de intrusiones cibernéticas y noti
con la seguridad de la información, que cubren nuevas amenazas, vulnerabilidades, productos e investigación. Los m
inspeccionan en busca de información que requiera una respuesta del SOC o distribución de esta misma. Inteligenci
diferentes fuentes como SOCs coordinadores, proveedores, sitios web de medios de noticias, foros en línea y listas d
correo electrónico.

Síntesis, resumen y redistribución de los informes de inteligencia cibernética, informes de intrusión cibernética y no
con la seguridad de la información a los miembros de la unidad constitutiva de forma rutinaria (como un boletín info
mensual) o no rutinaria (como un aviso de parche de emergencia o alerta de campaña de phishing).

Autoría principal de nuevos informes de inteligencia cibernética, como avisos de amenazas o destacados, basados e
primaria realizada por el SOC. Por ejemplo, el análisis de una nueva amenaza o vulnerabilidad no vista anteriorment
lo general, esto se debe a los propios incidentes, análisis forenses, análisis de malware y enfrentamientos adversos

Extraer datos de la inteligencia cibernética y sintetizarlos en nuevas firmas, contenido y comprensión de las TTP (Tac
Procedures) adversarias, lo cual permite mejorar y evoluciona las operaciones de monitoreo (por ejemplo, nuevas fi
SIEM).

El análisis a largo plazo de las fuentes de eventos, el malware recolectado y los datos de incidentes en busca de evid
malintencionada o anómala o para comprender mejor los TTP de la unidad o adversarios. Esto puede incluir análisis
abiertos, de inmersión profunda en varias fuentes de datos, tendencias y correlación durante semanas o meses de d
análisis de datos "bajo y lento" y métodos de detección de anomalías esotéricas.

Estimación holística de las amenazas planteadas por diversos actores, sus enclaves o líneas de negocio, dentro del á
Esto incluirá el aprovechamiento de los recursos existentes, como las fuentes y tendencias de inteligencia cibernétic
arquitectura y el estado de vulnerabilidad de la organización. A menudo se realiza en coordinación con otras partes
ciberseguridad.
Análisis y respuesta a incidentes
Análisis prolongado y en profundidad de posibles intrusiones y de sugerencias enviadas por otros miembros del SOC
generalmente la realizan analistas en los niveles 2 y superiores dentro del proceso de escalamiento de incidentes de
completarse en un período de tiempo específico para respaldar una respuesta relevante y efectiva. Por lo general, e
implicará un análisis que aproveche varios artefactos de datos para determinar quién, qué, cuándo, dónde y por qué
su alcance, cómo limitar el daño y cómo recuperarse. Un analista documentará los detalles de este análisis, generalm
recomendación para una acción adicional.

Coordinación cuidadosa de los enfrentamientos con los adversarios, mediante los cuales los miembros del SOC reali
análisis sostenidos "down-in-the-weeds" de las TTP (Tactics, Techniques and Procedures) del adversario, en un esfue
comprenderlos mejor e informar el monitoreo continuo. Esta actividad es distinta de otras capacidades porque (1) a
instrumentación ad hoc de redes y sistemas para enfocarse en una actividad de interés, como un honeypot, y (2) un
continuar su actividad sin ser inmediatamente eliminada. Esta capacidad está estrechamente respaldada por las ten
de malware e implantes y, a su vez, puede admitir la creación de inteligencia cibernética.

Trabajo con las Unidades afectadas para recopilar más información sobre un incidente, comprender su importancia
de la misión. Más importante aún, esta función incluye la coordinación de acciones de respuesta y el reporte de inci
no implica que el SOC implemente directamente contramedidas.

Implementación real de acciones de respuesta a un incidente para disuadir, bloquear o cortar la presencia o daño d
posibles contramedidas incluyen el aislamiento lógico o físico de los sistemas involucrados, los bloques de firewall, l
del DNS, los bloques de IP, el despliegue de parches y la desactivación de cuentas.

Trabajo con las Unidades afectadas para responder y recuperarse de un incidente en el sitio. Por lo general, esto req
miembros de SOC que ya están ubicados cerca de la Unidad afectada, o que viajan a ella, apliquen su experiencia pr
de daños, la erradicación de los cambios dejados por un adversario y la recuperación de los sistemas a un estado bu
trabajo se realiza en colaboración con los propietarios del sistema y los administradores de sistemas.

Trabajar con las Unidades afectadas para recuperarse de un incidente de forma remota. Esto implica el mismo traba
a incidentes en el sitio. Sin embargo, los miembros de SOC tienen comparativamente menos participación directa en
artefactos o sistemas de recuperación. El soporte remoto generalmente se realiza por teléfono y correo electrónico
raros, terminales remotas o interfaces administrativas como Microsoft Terminal Services o Secure Shell (SSH).

Análisis de artefactos
Recopilación y almacenamiento de artefactos forenses (como discos duros o medios extraíbles) relacionados con un
manera que respalde su uso en procedimientos legales. Dependiendo de la jurisdicción, esto puede involucrar el ma
mientras se documenta la cadena de la custodia, se asegura un almacenamiento seguro y se admiten copias de evid
de bit a bit.

También conocido como ingeniería inversa de malware o simplemente "reversing". Extraer malware (virus, troyano
cuentagotas, etc.) del tráfico de red o imágenes de medios y analizarlos para determinar su naturaleza. Los miembro
normalmente buscarán el vector de infección inicial, el comportamiento y, potencialmente, la atribución informal p
alcance de una intrusión y para apoyar la respuesta oportuna. Esto puede incluir el análisis de código estático a trav
descompilación o runtime/execution (por ejemplo, "detonación") o ambos. Esta capacidad se destina principalment
monitoreo y respuesta efectiva. Aunque aprovecha algunas de las mismas técnicas que los "forenses" tradicionales,
se ejecuta para respaldar el procesamiento legal.
Análisis de artefactos digitales (medios, tráfico de red, dispositivos móviles) para determinar el alcance total y la ver
incidente, generalmente mediante el establecimiento de una línea de tiempo detallada de eventos. Esto aprovecha
algunos aspectos del malware y el análisis de implantes, pero sigue un proceso más exhaustivo y documentado. A m
realiza mediante procesos y procedimientos de manera que sus hallazgos puedan respaldar acciones legales contra
estar implicados en un incidente.

Soporte de ciclo de vida de herramientas SOC

Operación y mantenimiento (O&M) de dispositivos de protección de fronteras (por ejemplo, firewalls, proxies web,
electrónico y filtros de contenido). Incluye actualizaciones y configuraciones de administración (CM) de las políticas
veces en respuesta a una amenaza o incidente. Esta actividad está estrechamente coordinada con un NOC.

Tecnologías de operación y mantenimiento de SOC fuera del alcance de la optimización de sensores. Esto incluye el
alimentación de los equipos informáticos SOC: servidores, estaciones de trabajo, impresoras, bases de datos relacio
solución de problemas, redes de área de almacenamiento (SAN) y copia de seguridad en cinta. Si el SOC tiene su pro
probablemente incluirá el mantenimiento de sus enrutadores, conmutadores, cortafuegos y controladores de domi
también puede incluir O&M de sistemas de monitoreo, sistemas operativos (SO) y hardware. El personal que apoya
privilegios de "root" en los equipos SOC.

Cuidado y alimentación de plataformas de sensores de propiedad y operadas por el SOC: IDS, IPS, SIEM, etc. Esto inc
sistemas IDS / IPS y SIEM con nuevas firmas, ajustar sus conjuntos de firmas para mantener el volumen del evento e
aceptables, minimizar los falsos positivos y mantener el estado de mantenimiento de los sensores y las fuentes de d
del SOC que participan en este servicio deben tener un conocimiento profundo de las necesidades de monitoreo de
SOC pueda seguir el ritmo de un entorno de consistencia y amenaza en constante evolución. Los cambios en cualqu
prevención en línea (HIPS / NIPS) generalmente se coordinan con el NOC u otras áreas de las operaciones de TI. Esta
implicar una secuencia de comandos ad hoc significativa para mover los datos e integrar herramientas y fuentes de

Creación e implementación de contenido de detección original para sistemas de monitoreo (firmas IDS, casos de uso
sobre la base de amenazas, vulnerabilidades, protocolos, misiones u otros detalles actuales del entorno de Unidade
capacidad aprovecha las herramientas a disposición del SOC para llenar los vacíos que dejan las firmas proporcionad
o por la comunidad. El SOC puede compartir sus firmas personalizadas con otros SOCs.

Investigación de mercado, evaluación de productos, creación de prototipos, ingeniería, integración, implementación

de equipos SOC, principalmente basados en software de código abierto o gratuito (FOSS) o tecnologías comerciales
Este servicio incluye el presupuesto, la adquisición y la recapitalización regular de los sistemas SOC. El personal que
debe mantener un ojo atento a un entorno de amenaza cambiante, aportando nuevas capacidades en cuestión de s
acuerdo con las demandas de la misión.

Investigación y desarrollo (I+D) de herramientas personalizadas donde ninguna capacidad comercial o de código abi
adapta a una necesidad operativa. El alcance de esta actividad abarca desde el desarrollo del código para un problem
estructurado hasta la investigación académica de varios años aplicada a un desafío más complejo.
Auditoria y amenaza interna
Recopilación de varias fuentes de datos relevantes para la seguridad para fines de análisis de incidentes y correlació
de recopilación también puede aprovecharse para respaldar la distribución y posterior recuperación de datos de au
investigación o análisis bajo demanda fuera del alcance de la misión SOC. Esta capacidad abarca la retención a largo
relevantes para la seguridad para su uso por parte de constituyentes fuera del SOC.
Creación y adaptación del contenido de SIEM o mantenimiento de registros (LM) (correlación, paneles de control, in
los fines de revisión de auditoría y detección de uso indebido de los constituyentes. Este servicio se basa en la capac
de datos de auditoría, y proporciona no solo una fuente de datos en bruto, sino también contenido creado para con
SOC.

Soporte para análisis e investigación de amenazas internas en dos áreas relacionadas pero distintas:
1. Encontrar sugerencias para posibles casos de amenazas internas (por ejemplo, mal uso de los recursos de TI,
fraude de tarjetas de tiempo, fraude financiero, espionaje industrial o robo). El SOC informará a los organismos de in
apropiados (aplicación de la ley, Inspector General [IG], etc.) con un caso de interés.
2. En nombre de estos cuerpos de investigación, el SOC proporcionará más monitoreo, recopilación de información
de un caso de amenazas internas.

El SOC aprovecha su propia autoridad reguladora o legal independiente para investigar amenazas internas, para incl
enfocado o prolongado de individuos específicos, sin necesidad de apoyo o autoridades de una entidad externa.
Escaneo y Evaluación
Mapeo sostenido y regular de redes de la organización para comprender el su tamaño, la forma, la composición y la
perimetrales, a través de técnicas automatizadas o manuales. Estos mapas a menudo se construyen en cooperación
responsables de TI.

La interrogación de hosts de consistencia para el estado de vulnerabilidad, generalmente se enfoca en el nivel de pa

cumplimiento de seguridad de cada sistema, generalmente a través de herramientas distribuidas y automatizadas. A
mapeo de redes, esto permite al SOC entender mejor lo que debe defender. El SOC puede proporcionar estos datos
las Unidades responsables de la infraestrcutura, tal vez en forma de informe o resumen. Esta función se realiza con
forma parte de una evaluación o ejercicio específico.

Evaluación de seguridad abierta y de pleno conocimiento de un sitio, a veces conocido como "Blue Teaming". Los m
trabajan con los propietarios y administradores de sistemas para examinar de forma integral la arquitectura de segu
vulnerabilidades de sus sistemas, a través de exploraciones y exámenes. Configuración del sistema, revisión de la do
diseño del sistema, y entrevistas. Esta actividad puede aprovechar las herramientas de exploración de redes y vulne
de tecnologías más invasivas que se utilizan para interrogar a los sistemas en cuanto a configuración y estado. A par
los miembros del equipo producen un informe de sus hallazgos, junto con la remediación recomendada. Los SOC ap
evaluaciones de vulnerabilidad como una oportunidad para expandir la cobertura de monitoreo y el conocimiento d
Evaluación sin conocimiento o conocimiento limitado de un área específica, también conocida como "Red Teaming"
SOC realizan un ataque simulado contra un segmento de la infraestructura para evaluar la resistencia del objetivo a
operaciones generalmente se llevan a cabo solo con el conocimiento y la autorización de los ejecutivos de más alto
organización y sin avisar a los propietarios del sistema. Las herramientas utilizadas ejecutarán ataques a través de d
desbordamientos de búfer, inyección de lenguaje de consulta estructurado (SQL) y fuzzing de entrada. Los equipos r
limitarán sus objetivos y recursos para modelar los de un actor específico, tal vez simulando una campaña adversa q
con un ataque de phishing. Cuando termine la operación, el equipo producirá un informe con sus hallazgos, de la m
una evaluación de vulnerabilidad. Sin embargo, debido a que las actividades de pruebas de penetración tienen un co
objetivos, no cubren tantos aspectos de la configuración del sistema y las mejores prácticas como lo haría una evalu
vulnerabilidad.
En algunos casos, el personal del SOC solo coordinará las actividades de Red Teaming, con un tercero designado que
de las pruebas reales para garantizar que los evaluadores no tengan conocimiento previo de los sistemas o las vulne

Outreach (Capacidades Complementarias)

Prueba de las características de seguridad de que está adquiriendo la organización. Realiza evaluaciones de manera
evaluaciones de vulnerabilidad de uno o unos pocos hosts, esta prueba permite un análisis en profundidad de las fo
debilidades de un producto en particular desde una perspectiva de seguridad. Esto puede implicar pruebas “interna
lugar de evaluaciones remotas de los sistemas de producción o preproducción.

Proporcionar asesoramiento sobre ciberseguridad a la organización fuera del alcance del CTE; apoyando el diseño d
continuidad del negocio y la planificación de recuperación ante desastres; política de ciberseguridad; guias de config
otros esfuerzos.

Difusión proactiva a la organización, apoyando a la capacitación general de usuarios, boletines y otros materiales ed
ayudan a comprender varios problemas de ciberseguridad. Los objetivos principales son ayudar a la organización a p
amenazas comunes como los esquemas de suplantación de identidad / suplantación de identidad, mejorar la seguri
finales, crear conciencia sobre los servicios del SOC y ayudar a los constituyentes a informar correctamente los incid

Empaquetado y redistribución regular y repetible del conocimiento del SOC sobre los activos, redes, amenazas, incid
vulnerabilidades de la organización. Esta capacidad va más allá de la distribución de la inteligencia cibernética, mejo
comprensión de la organización sobre la postura de seguridad cibernética, impulsando la toma de decisiones efectiv
niveles. Esta información se puede entregar automáticamente a través de un sitio web del SOC, un portal web o una
de correo electrónico.

Intercambio sostenido de productos internos del SOC a otros aliados, como SOC asociados o subordinados, en un fo
estructurado. Esto puede incluir casi cualquier cosa que el SOC desarrolle por sí solo (por ejemplo, herramientas, int
cibernética, firmas, informes de incidentes y otros observables en bruto). Teniendo en concideración el principio de
menudo se aplica: el flujo de información entre los SOC es bidireccional.

Comunicación directa con los medios de comunicación. El SOC es responsable de divulgar información sin afectar la
unidad afectada o las actividades de respuesta en curso.