SESIÓN 02 — Detección & MITRE ATT&CK Mapea las detecciones
Details
SOC Hands-On Workshop · Sesión 02
Detección & MITRE ATT&CK
MITRE ATT&CK aparece en casi todas las conversaciones de ciberseguridad. Poca gente lo usa operativamente. Esta sesión cambia eso.
── Lo que harás ──
Empezarás navegando la matriz MITRE directamente en Sentinel para ver qué tácticas cubre el Training Lab con sus 22 reglas activas — y cuáles quedan sin detección. Ese ejercicio tiene una respuesta incómoda: los gaps son más grandes de lo que parece. Identificarlos es el primer paso para priorizar qué construir después.
El segundo ejercicio es automation rules: una regla que clasifica, asigna y etiqueta incidentes de alta severidad automáticamente, sin intervención manual. Cuando detecta táctica de Credential Access con severidad Alta, asigna propietario, agrega el tag Priority-1 y cambia el estado — todo sin Logic Apps ni código.
El tercero es cross-platform: CrowdStrike detecta malware en un endpoint → Sentinel recibe la alerta y evalúa condiciones → Microsoft Defender for Endpoint aísla el dispositivo en segundos. Este ejercicio muestra en vivo lo que significa "orquestación" cuando el tiempo importa.
── Lo que te llevas ──
→ Mapa de cobertura MITRE real de tu workspace — con los gaps identificados
→ Automation rule activa que clasifica incidentes de Credential Access sin intervención manual
→ Pipeline cross-platform: detección en CrowdStrike → aislamiento en MDE
→ Perspectiva de campo de alguien que opera Sentinel en producción
── Prerequisitos ──
→ Haber completado S01 o tener el Training Lab desplegado
→ Para el Ejercicio 05: dispositivo ya onboarded en Microsoft Defender for Endpoint
Related topics
Sponsors
Microsoft
Instalaciones
Subway
Catering