SESIÓN 03 — Detection Engineering

SOC Hands-On Workshop · Sesión 03
Detection Engineering
Una regla que dispara 200 alertas al día no es una detección — es ruido. Esta sesión trata sobre la diferencia.
── Lo que harás ──
El primer ejercicio toma la regla de port scan del Training Lab — que con su umbral por defecto genera decenas de falsas alertas al día — y la afina: se excluyen IPs de confianza vía watchlist, se cambia el métrico de conteo total de eventos a puertos únicos escaneados, y se amplia la ventana de análisis para capturar al atacante que escanea despacio. Resultado: de docenas de alertas a 3–5 de alta fidelidad sobre el mismo tráfico.
El segundo ejercicio construye desde cero una regla para detectar MFA abuse en los logs de Okta del Training Lab. El patrón: múltiples fallos de autenticación MFA por el mismo usuario en una ventana corta — la señal de MFA fatigue attack o credential stuffing. Aprenderás a diseñar la hipótesis antes de escribir la query.
El tercer ejercicio introduce watchlists como mecanismo de enriquecimiento: creas una lista de usuarios de alto privilegio y modificas una regla para que las alertas sobre esos usuarios se generen con severidad Alta, sin importar el umbral original. La misma detección, con contexto de negocio integrado.
Un invitado con experiencia en detección compartirá cuántas reglas maneja en producción, cómo decide cuál afinar primero y cómo manejar identidades comprometidas con credenciales válidas — el escenario más difícil de detectar.
── Lo que te llevas ──
→ Regla de port scan afinada: de ruido a alta fidelidad
→ Regla de MFA abuse construida desde cero sobre comportamiento real
→ Watchlist de usuarios VIP activa como contexto de detección
→ El mindset de Detection Engineering: cuándo una alerta es un problema del atacante y cuándo es un problema de la regla

Microsoft Sentinel Training-Lab