Los equipos de seguridad actuales no pueden limitarse a confiar únicamente en las alertas. Los atacantes permanecen en los entornos durante días o semanas antes de que las herramientas de detección detecten su actividad, y las amenazas más sofisticadas están diseñadas específicamente para evitar activar las reglas automatizadas. Una metodología estructurada de búsqueda de amenazas cubre esa brecha: pasa de las alertas reactivas a la investigación proactiva, partiendo de la hipótesis de que algo puede estar ya mal y buscando pruebas de forma sistemática.
Esta guía explica en qué consiste la metodología de búsqueda de amenazas, cómo estructuran sus programas de búsqueda los equipos de seguridad más destacados y cómo aplicar esos marcos de trabajo utilizando la Vectra AI en entornos híbridos que abarcan infraestructuras de red, identidad, cloud y SaaS.
Está dirigido a analistas de SOC, ingenieros de detección y arquitectos de seguridad que estén desarrollando o perfeccionando una estrategia proactiva de búsqueda de amenazas.
¿Qué es una metodología de búsqueda de amenazas?
Una metodología de búsqueda de amenazas es un enfoque estructurado para buscar de forma proactiva amenazas que aún no han activado alertas automáticas. En lugar de esperar a que se active una regla de detección, los cazadores parten de la hipótesis de que algo podría estar ya mal y buscan indicios de comportamiento anómalo. Combinan la inteligencia sobre amenazas, el conocimiento de las tácticas de los atacantes y su familiaridad con su propio entorno para detectar actividades que no se ajustan a los patrones esperados.
Una metodología completa de búsqueda de amenazas define tres aspectos: qué buscar (la hipótesis), cómo buscarlo (la técnica) y qué hacer cuando se encuentra algo (el flujo de trabajo de respuesta).
Las tres metodologías de detección de amenazas más utilizadas son:
| Metodología |
A quién va dirigido |
Ideal para |
| Caza basada en el TTP |
Comportamientos y técnicas de los atacantes asignados a marcos como MITRE ATT&CK |
Detección de amenazas avanzadas que eluden las herramientas basadas en firmas |
| Búsqueda basada en el cumplimiento normativo |
Incumplimientos de las políticas, configuraciones inseguras e incumplimientos de los límites normativos |
Detectar los errores de configuración y las deficiencias en la aplicación de las normas antes de que se conviertan en incidentes |
| Caza basada en COI |
Elementos relacionados con atacantes conocidos: dominios, direcciones IP, hash de archivos y tokens |
Verificación de la exposición tras un aviso de inteligencia sobre amenazas o la divulgación de una filtración |
Marcos de detección de amenazas
Un marco de búsqueda de amenazas proporciona la estructura que guía la planificación, la ejecución y la repetición de las operaciones de búsqueda. Los marcos más utilizados toman como referencia MITRE ATT&CK taxonomía de las técnicas de los atacantes, organizando las operaciones de búsqueda por táctica (lo que el atacante intenta conseguir) y técnica (cómo lo consigue).
Los componentes fundamentales de un marco operativo de detección de amenazas son:
- Formulación de hipótesis: define qué comportamiento de los atacantes estás buscando y por qué es relevante en tu entorno
- Identificación de fuentes de datos: determinar qué flujos de telemetría contienen la señal que necesitas (metadatos de red, registros de identidad, cloud , datos de los terminales)
- Ejecución de consultas: realiza búsquedas estructuradas en datos históricos para encontrar coincidencias
- Análisis y investigación: cuando se encuentre una coincidencia, se debe centrar el análisis en la entidad afectada para comprender el alcance y la cronología.
- Integración de la respuesta: incorporar los resultados confirmados a las reglas de detección, los guiones de respuesta o los flujos de trabajo de respuesta a incidentes
- Documentación y repetibilidad: guarda consultas eficaces, documenta los resultados y programa búsquedas periódicas
Sin un marco sistemático, la búsqueda de amenazas sigue siendo una actividad puntual y ofrece resultados inconsistentes. Con uno, se convierte en un programa cuantificable que refuerza continuamente la cobertura de detección.
Buenas prácticas para la detección de amenazas
Las siguientes prácticas recomendadas se han extraído de programas de SOC consolidados y reflejan lo que diferencia a los equipos de detección proactiva de alto rendimiento de aquellos que tienen dificultades para poner en práctica estas técnicas.
Empieza con hipótesis muy fiables. Las búsquedas más eficaces se basan en técnicas específicas de los atacantes, no en búsquedas genéricas. Utiliza la inteligencia sobre amenazas, los informes recientes de incidentes y MITRE ATT&CK identificar las técnicas relevantes para tu sector e infraestructura antes de escribir una sola consulta.
Prioriza los metadatos de red. Los metadatos de red muestran cómo se comunican los sistemas, no solo que lo han hecho. Los registros de los puntos finales describen sucesos aislados en una sola máquina. Los datos de red revelan cómo se interconecta la actividad en todo el entorno. Los equipos que se basan principalmente en la telemetría de los puntos finales pasan por alto una categoría significativa de señales de movimiento lateral, comando y control, y exfiltración de datos.
Realiza búsquedas en los tres tipos de metodología. Las búsquedas basadas en TTP, en el cumplimiento normativo y en los IOC revelan, cada una, diferentes categorías de amenazas. Un programa que solo utilice un tipo de metodología pasará por alto sistemáticamente lo que los otros dos están diseñados para detectar.
Crea bibliotecas de consultas repetibles. Guarda las consultas eficaces. Documenta qué busca cada una, qué resultados ha arrojado históricamente y en qué condiciones genera falsos positivos. Una biblioteca de consultas en constante crecimiento es un indicador directo de la madurez del programa.
Incorporar los resultados a la ingeniería de detección. Cada hallazgo confirmado en la búsqueda de amenazas que no se convierte en una regla de detección supone una oportunidad perdida para reforzar la seguridad. El ciclo entre la búsqueda de amenazas y el ajuste de la detección es lo que permite que los programas se perfeccionen con el tiempo.
Establece unos valores de referencia de comportamiento antes de buscar anomalías. No es posible identificar de forma fiable lo que es anormal sin comprender primero cómo es lo normal. Dedica tiempo a documentar los valores de referencia antes de esperar que las búsquedas basadas en anomalías generen señales fiables.
Búsquedas con límites de tiempo. Las búsquedas estructuradas y con límites de tiempo, con objetivos claros, dan mejores resultados que las investigaciones sin plazos definidos. La mayoría de los cazadores experimentados trabajan en sesiones estructuradas de entre 5 y 30 minutos, y luego evalúan los resultados antes de decidir si deben ampliar la búsqueda o cambiar de estrategia.
Metodología de detección de amenazas con la Vectra AI
Vectra AI está diseñada específicamente para la investigación y la detección de amenazas avanzadas a gran escala. Los analistas examinan metadatos mejorados con IA para descubrir los comportamientos de los atacantes, rastrear la actividad a lo largo del tiempo y correlacionar señales entre las capas de identidad, cloud y red, todo ello desde una única interfaz.
Ámbitos de cobertura y flujos de metadatos
| Ámbito de cobertura |
Flujos de metadatos |
| Red |
iSession, DNS, HTTP, SSL, X509, SMB, RDP, RADIUS, NTLM, LDAP, DHCP, SSH, DCE/RPC, Kerberos, AI-Beacon |
| Entra ID |
Inicios de sesión con Entra ID, actividad de Entra ID |
| Microsoft 365 |
Actividades de M365 y Copilot, Exchange, SharePoint |
| Plano de control de Azure |
Actividad del plano de control de Azure |
| Plano de control de AWS |
Actividad del plano de control de AWS |
Modalidades de búsqueda en la Vectra AI
| Técnica de caza |
A quién va dirigido |
Cuándo utilizarlo |
| Caza basada en el TTP |
Comportamientos y procedimientos de los atacantes según el marco MITRE ATT&CK robo de credenciales, abuso de la autenticación, movimiento lateral, evasión |
Proactivo y continuo: detección de amenazas avanzadas que eluden las herramientas basadas en firmas |
| Búsqueda basada en el cumplimiento normativo |
Incumplimientos de las políticas, protocolos heredados, configuraciones inseguras y servicios no autorizados |
Revisiones periódicas y auditorías previas: detectar las deficiencias en el cumplimiento antes de que se conviertan en incidentes |
| Caza basada en COI |
Elementos relacionados con atacantes conocidos: dominios maliciosos, direcciones IP, hash de archivos y tokens de autenticación |
Después de un aviso o un incidente: cómo comprobar si un indicador conocido estaba presente en tu entorno |
Metodología de detección proactiva de amenazas basada en TTP
La detección basada en TTP se centra en identificar los comportamientos de los atacantes, en lugar de basarse en indicadores estáticos. Al centrarse en las tácticas, técnicas y procedimientos específicos utilizados en intrusiones reales, los equipos de seguridad pueden detectar amenazas que a menudo eluden las herramientas basadas en firmas.
Qué tipo de amenazas basadas en TTP están diseñadas para detectar:
- Compromiso en una fase temprana, antes de que comience el movimiento lateral
- Técnicas de robo de credenciales dirigidas a Active Directory y a cloud
- Patrones de uso indebido de la autenticación en controladores de dominio y proveedores de identidad
- Anomalías en el acceso a Cloud que indican una fase preparatoria para la filtración de datos
- Técnicas de evasión que utilizan herramientas legítimas del sistema (living-off-the-land)
Las nueve reglas de detección basadas en TTP que se indican a continuación se corresponden con técnicas de ataque conocidas y se pueden ejecutar directamente en la Vectra AI .
Metodología de detección proactiva de amenazas basada en TTP
La detección basada en TTP se centra en identificar los comportamientos de los atacantes, en lugar de basarse en indicadores estáticos. Al centrarse en las tácticas, técnicas y procedimientos específicos utilizados en intrusiones reales, los equipos de seguridad pueden detectar amenazas que a menudo eluden las herramientas basadas en firmas.
Qué tipo de amenazas basadas en TTP están diseñadas para detectar:
- Compromiso en una fase temprana, antes de que comience el movimiento lateral
- Técnicas de robo de credenciales dirigidas a Active Directory y a cloud
- Patrones de uso indebido de la autenticación en controladores de dominio y proveedores de identidad
- Anomalías en el acceso a Cloud que indican una fase preparatoria para la filtración de datos
- Técnicas de evasión que utilizan herramientas legítimas del sistema (living-off-the-land)
Las nueve reglas de detección basadas en TTP que se indican a continuación se corresponden con técnicas de ataque conocidas y se pueden ejecutar directamente en la Vectra AI .
1. Recuperación de la clave de copia de seguridad DPAPI
Lo que encuentra esta consulta:
- Intentos de recuperar claves de copia de seguridad DPAPI de los controladores de dominio
- Patrones de acceso sospechosos a los recursos del controlador de dominio
- Consultas administrativas inusuales en Active Directory
- Uso de técnicas conocidas para la extracción de claves DPAPI (Mimikatz, SharpDPAPI, DSInternals)
Lógica de la caza: Comprueba los registros DCE/RPC de la red de los últimos 14 días en busca de eventos en los que un sistema se conecte a un controlador de dominio mediante el punto final LSARPC y realice la recuperar datos privados funcionamiento.
Consecuencias para la seguridad: el robo de la clave de copia de seguridad de DPAPI permite a un atacante:
- Descifrar todas las contraseñas y credenciales almacenadas en la red
- Ampliar los privilegios en todo el dominio
- Recopilar datos confidenciales a gran escala
- Mantener un control duradero\
SELECT
marca de tiempo,
nombre_host_orig,
id.orig_h AS "id_orig_h",
id.resp_h AS "id_resp_h",
resp_hostname,
dominio,
nombre_de_usuario,
punto final,
nombre_host,
operación,
sensor_uid
FROM
network.dce_rpc
WHERE
id.orig_h = '10.254.50.142'
Y LOWER(endpoint) = 'lsarpc'
Y LOWER(operation) = 'lsarretrieveprivatedata'
Y timestamp > date_add('día', -14, ahora())
ORDENAR POR
timestamp DESC
LIMIT 100
2. Uso del binario Certutil
Lo que encuentra esta consulta:
certutil.exe que se utiliza para descargar archivos de sitios web externos- Contenido codificado en Base64 que se descodifica mediante certutil
- Un gran volumen de solicitudes HTTP procedentes de la
Microsoft-CryptoAPI/10.0 agente de usuario - Patrones de descarga sospechosos agrupados por host de destino
Lógica de la caza: Analiza el tráfico HTTP de los últimos 14 días en busca de solicitudes con un agente de usuario Microsoft-CryptoAPI/10.0, que se genera cuando certutil descarga archivos de fuentes externas.
Consecuencias para la seguridad: El uso indebido de Certutil permite a los atacantes:
- Distribuir malware parezca más que una actividad normal del sistema
- Extraer datos a través de un archivo binario de Windows de confianza
- Ejecutar scripts ofuscados que eluden los sistemas de detección estándar
- Establecer la persistencia o desplazarse lateralmente antes de ser detectado
SELECCIONAR host, CONTAR(*) COMO recuento_solicitudes
FROM red.http
WHERE user_agent = 'Microsoft-CryptoAPI/10.0' Y marca de tiempo > date_add('día', -14, now())
GROUP POR host
ORDEN POR requeridos DESC
LÍMITE 50
3. Controlador de dominio que inicia la autenticación NTLM
Lo que encuentra esta consulta:
- Controladores de dominio que inician solicitudes de autenticación NTLM salientes (comportamiento anómalo)
- Direcciones IP de origen que coinciden con rangos conocidos de controladores de dominio y que inician procesos de autenticación en otros sistemas
Lógica de búsqueda: analiza el tráfico NTLM de los últimos 14 días en busca de solicitudes cuyas direcciones IP de origen sean controladores de dominio.
Implicaciones de seguridad: El hecho de que un controlador de dominio inicie una autenticación NTLM saliente es un claro indicio de:
- Ataques de retransmisión NTLM
- Autenticación forzada (PetitPotam, PrinterBug)
- Movimiento lateral desde un DC comprometido
- Posible compromiso de seguridad en todo el dominio
SELECT id.orig_h, orig_hostname.name COMO nombre_host, CONTAR(*) AS ntlm_request_count
FROM network.ntlm
WHERE (LOWER(orig_hostname.name) COMO '%dc%' OR TRY_CAST(id.orig_h AS
DIRECCIÓN_IP) ENTRE DIRECCIÓN_IP '10.254.100.0' Y DIRECCIÓN_IP '10.254.100.255')
Y marca de tiempo > date_add('día', -14, now())
GROUP POR id.orig_h, orig_hostname.name
ORDENAR POR ntlm_request_count DESC
LÍMITE 100
4. Autenticaciones forzadas
Lo que encuentra esta consulta:
| Técnica |
Protocolo |
Opnums seleccionados |
| PetitPotam |
MS-EFSR |
0, 4, 5, 6, 7, 12, 13, 15 |
| PrinterBug |
MS-RPRN |
65 (0x41) |
| ShadowCoerce |
MS-FSRVP |
8, 9 (0x08, 0x09) |
| DFSCoerce |
MS-DFSNM |
12, 13 (0x0c, 0x0d) |
Lógica de detección: Examina los metadatos del tráfico RPC para identificar llamadas a protocolos de Windows vulnerables que utilicen números de operación específicos correspondientes a técnicas de coacción conocidas.
Consecuencias para la seguridad: Una autenticación forzada que se lleve a cabo con éxito permite a los atacantes:
- Realizar ataques de retransmisión NTLM sin intervención del usuario
- Robar las credenciales de una cuenta de máquina con privilegios a nivel de dominio
- Llevar a cabo ataques DCSync y crear «Golden Tickets»
- Lograr el control total del dominio
SELECT marca de tiempo, nombre_host_orig, id.orig_h, id.resp_h, nombre_host_resp, dominio,
nombre_de_usuario, punto_final, nombre_de_host, operación, uid_del_sensor
FROM network.dce_rpc
WHERE (
(punto de conexión = 'unknown-c681d488-d850-11d0-8c52-00c04fd90f7e' Y operación
EN ('unknown-0', 'desconocido-4', 'desconocido-5', 'desconocido-6', 'desconocido-7', 'desconocido-12',
«desconocido-13», «desconocido-15»)) O
(punto final = 'spoolss' Y operación EN
('RpcRemoteFindFirstPrinterChangeNotificationEx')) O
(punto final = 'unknown-a8e0653c-2744-4389-a61d-7373df8b2292' Y operación
EN ('unknown-8', 'desconocido-9')) O
(punto final = 'netdfs' Y operación EN ('NetrDfsAddStdRoot', 'NetrDfsRemoveStdRoot'))
) Y marca de tiempo > date_add('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
5. Conexión SSH saliente en un puerto no estándar
Lo que encuentra esta consulta:
- Conexiones SSH salientes en puertos distintos del puerto 22
- Sesiones con destinos externos mediante el protocolo SSH en los puertos 2222, 443, 8080 u otros puertos no estándar
- Sistemas que inician conexiones SSH hacia destinos en los que no se espera que haya acceso SSH
Lógica de búsqueda: examina los metadatos de iSession para identificar conexiones TCP salientes con el protocolo SSH que se producen en puertos distintos del puerto 22.
Implicaciones de seguridad: El tráfico SSH saliente en puertos no estándar se asocia con:
- Canales ocultos de mando y control
- Túneles de exfiltración de datos que eluden las reglas del cortafuegos
- Acceso remoto no autorizado camuflado como tráfico web legítimo
- Movimiento lateral a través de un túnel SSH
SELECT marca de tiempo, uid, id.orig_h, orig_hostname, id.resp_h, resp_hostname,
id.resp_p, proto_name, orig_ip_bytes, resp_ip_bytes, duration, conn_state, sensor_uid, service
FROM network.isession
WHERE LOWER(service) = 'ssh' Y id.resp_p != 22 Y local_resp != true Y
marca de tiempo > date_add('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
6. Inicios de sesión en varios países (indicador de imposibilidad de viajar)
Lo que encuentra esta consulta:
- Usuarios que se han autenticado desde más de un país en un plazo de 24 horas
- Solo registros con datos de ubicación confirmados (se excluyen los registros sin datos de ubicación)
Lógica de búsqueda: agrupa todos los inicios de sesión correctos de cada usuario en las últimas 24 horas, cuenta los países distintos por usuario e identifica a los usuarios que aparecen en más de un país.
Implicaciones de seguridad: los inicios de sesión en varios países en un plazo de 24 horas indican un probable robo de credenciales, ya que los viajes internacionales rápidos son físicamente imposibles para la mayoría de los usuarios. Este patrón es característico de las campañas de «credential stuffing» y de apropiación de cuentas dirigidas a la identidad corporativa.
SELECT DISTINCT(vectra.identity_principal), CONTAR(DISTINCT location.country_or_region) AS RecuentoDePaíses,
MIN(timestamp) AS PrimerInicioDeSesión, MAX(marca de tiempo) AS ÚltimoInicioSesión
FROM entra.signins._all
WHERE location.country_or_region ES NO NULO
Y marca de tiempo > date_add('día', -1, now())
GROUP POR vectra.identity_principal
HAVING CONTAR(DISTINCT location.country_or_region) > 1
ORDER POR CountryCount
LÍMITE 100
7. Patrones de intentos fallidos de inicio de sesión por dirección IP
Lo que encuentra esta consulta:
- Direcciones IP con 20 o más intentos fallidos de autenticación en un plazo de 6 horas
- Número total de fallos y usuarios únicos por IP
- Marcas de tiempo del primer y último fallo por dirección IP
Lógica de búsqueda: agrupa los intentos fallidos de inicio de sesión por dirección IP durante las últimas 6 horas, identificando las direcciones IP con un elevado número de fallos que indican el uso de herramientas de ataque automatizadas.
Implicaciones de seguridad:
| Patrón |
Tipo de ataque probable |
| Número elevado de fallos, un solo usuario |
Ataque de fuerza bruta dirigido |
| Elevado número de fallos, muchos usuarios únicos |
Ataque de prueba de contraseñas |
| Fallos en un breve intervalo de tiempo |
Herramienta automatizada de relleno de credenciales |
SELECT dirección_IP, CONTAR(*) AS Intentos fallidos,
CONTA(DISTINCT vectra.identity_principal) AS UsuariosÚnicos,
MIN(marca de tiempo) AS PrimerFallo,
MAX(marca de tiempo) AS ÚltimoFallo
FROM entra.signins."Demolab-AD"
WHERE dirección_IP ES NO NULO
Y marca de tiempo > date_add(hora, -6, now())
Y status.error_code != 0
GROUP POR dirección_IP
HAVING CON(*) >= 20
ORDEN POR Intentos fallidos
LÍMITE 100
8. Acceso masivo a datos de una cuenta de almacenamiento sospechosa
Lo que encuentra esta consulta:
- Usuarios o aplicaciones que realicen 100 o más operaciones de lectura de blobs o archivos en un plazo de 6 horas
- Operaciones de lectura correctas en Azure Blob Storage y Azure File Services
- Agrupados por identidad y recurso de almacenamiento para facilitar el análisis
Lógica de detección: analiza los registros de actividad de Azure en busca de operaciones de lectura en cuentas de almacenamiento realizadas en las últimas 6 horas, identificando las fuentes con un número de lecturas igual o superior al umbral de acceso masivo.
Implicaciones de seguridad: Las operaciones de lectura en el almacenamiento masivo indican:
- Etapa de exfiltración de datos: los atacantes descargan archivos en grandes cantidades antes de transferirlos
- Las cuentas comprometidas se están utilizando para robar datos de las organizaciones a gran escala
- Robo Cloud dirigido a la propiedad intelectual, las credenciales o los registros de clientes
SELECT vectra.identity,
resourceid,
CONTAR(*) AS RecuentoAccesos,
COUNT(DISTINCT ResourceId) AS CuentasDeAlmacenamientoÚnicas,
MIN(marca de tiempo) AS PrimerAcceso,
MAX(marca de tiempo) AS ÚltimoAcceso
FROM azurecp.operations._all
WHERE marca de tiempo > fecha_añadida(hora, -6, now())
Y UPPER(nombre_operación) EN ('MICROSOFT.STORAGE/STORAGEACCOUNTS/BLOBSERVICES/CONTAINERS/BLOBS/READ',
'MICROSOFT.STORAGE/STORAGEACCOUNTS/FILESERVICES/SHARES/FILES/READ')
Y tipo de resultado = 'Éxito'
GRUPO POR vectra.identity, ResourceId
HAVING CON(*) >= 100
ORDEN POR Recuento de accesos
LÍMITE 100
9. Patrones excesivos de acceso a los secretos del almacén de claves
Lo que encuentra esta consulta:
- Fuentes que acceden a 20 o más secretos de Key Vault en 24 horas
- Fuentes que acceden a 10 o más claves únicas, lo que indica una recopilación masiva de credenciales
- Operaciones exitosas de SecretGet, KeyGet y CertificateGet agrupadas por identidad e IP
Lógica de detección: Examina los registros de actividad de Azure en busca de operaciones de acceso a Key Vault realizadas en las últimas 24 horas, identificando las fuentes que superan los volúmenes normales de acceso de las aplicaciones.
Implicaciones de seguridad: El acceso excesivo a Key Vault se asocia con ataques de recolección de credenciales en los que se utilizan identidades comprometidas para robar:
- Claves API y cadenas de conexión para el movimiento lateral
- Certificados para la suplantación de identidad
- Secretos necesarios para un acceso persistente en todo el entorno
SELECT direcciónIPdelllamante,
vectra.identity,
id_recurso,
nombre_operación,
CONTAR(*) AS RecuentoDeAccesosSecretos,
COUNT(DISTINCT resourceid) AS SecretosÚnicos,
MIN(timestamp) AS PrimerAcceso,
MAX(marca de tiempo) AS ÚltimoAcceso
FROM azurecp.operations._all
WHERE marca de tiempo > date_add('hora', -24, now())
Y nombre_operación EN ('SecretGet', 'KeyGet', 'CertificateGet')
Y tipo de resultado = 'Éxito'
Y direcciónIPdelllamante ES NO NULO
GRUPO POR calleripaddress, vectra.identity, resourceid, operationname
HAVING CON(*) >= 20 O CONTAR(DISTINCT resourceid) >= 10
ORDER POR SecretAccessCount
LÍMITE 100
Metodología de detección proactiva de amenazas basada en el cumplimiento normativo
La detección basada en el cumplimiento se centra en las infracciones de las políticas de seguridad, los controles de acceso o los límites arquitectónicos definidos por normas reguladoras o internas. Este enfoque pone de manifiesto comportamientos de riesgo que, aunque no sean directamente maliciosos, podrían indicar errores de configuración, amenazas internas o deficiencias en la aplicación de las normas, a menudo antes de que se conviertan en hallazgos de auditoría o vectores de violación de la seguridad.
Qué aspectos relacionados con el cumplimiento normativo están pensados para detectar:
- Protocolos heredados que siguen activos en el entorno (SMBv1, servicios sin cifrar)
- Intentos de tunelización para eludir los controles de seguridad de la red
- El software de cliente sin parches o desactualizado crea una superficie de ataque vulnerable
- La adopción de servicios de IA no autorizados conlleva un riesgo de exposición de datos
1. Uso de SMBv1
Lo que encuentra esta consulta:
- Todos los sistemas que hayan utilizado activamente el protocolo SMBv1 en los últimos 14 días
- Conexiones de clientes, recursos compartidos del servidor y comunicaciones entre sistemas mediante SMBv1
- Aplicaciones heredadas, sistemas Windows antiguos, dispositivos NAS y software de terceros que utilizan este protocolo obsoleto
Lógica de búsqueda: analiza la actividad SMB de la red durante los últimos 14 días y muestra una lista de los hosts de origen distintos que utilizan SMBv1.
Implicaciones de seguridad: el uso de SMBv1 plantea riesgos en tres aspectos:
| Dimensión del riesgo |
Impacto |
| Seguridad |
Permite ataques de movimiento lateral: el mismo protocolo que aprovecharon WannaCry y NotPetya a través de EternalBlue |
| Conformidad |
La mayoría de las normas reguladoras (PCI-DSS, CIS Controls) exigen expresamente que SMBv1 esté desactivado |
| Operativo |
SMBv1 reduce el rendimiento y la fiabilidad de la red |
SELECT DISTINCT id.orig_h, orig_hostname.name
FROM red.smb_mapping._all
WHERE versión = 'SMBv1' Y marca de tiempo > fecha_añadida('día', -14, now())
2. Uso de HTTP CONNECT en puertos TCP poco habituales
Lo que encuentra esta consulta:
- Solicitudes con el método HTTP CONNECT a puertos distintos de 80, 443, 8080 u 8443
- Posibles intentos de tunelización y uso indebido de proxies
- Conexiones salientes no autorizadas en puertos no estándar
- Malware conectarse a servidores externos a través de puertos que eluden los filtros web estándar
Lógica de búsqueda: busca en los registros HTTP métodos CONNECT redirigidos a través de un proxy que no utilicen el protocolo HTTPS estándar (puerto 443). La inspección profunda de paquetes Vectra AI identifica el tráfico HTTP independientemente del número de puerto, lo que hace que esta búsqueda sea eficaz incluso frente a técnicas de evasión de puertos.
Implicaciones de seguridad: el uso de HTTP CONNECT en puertos poco habituales indica:
- Intentos de eludir los controles de seguridad de la red
- Establecimiento de un canal oculto
- Fuga de datos a través de puertos no estándar
- Tráfico Malware camuflado como tráfico web
SELECT marca de tiempo, id.orig_h, orig_hostname, user_agent, id.resp_h, resp_hostname,
id.resp_p, método, host, uri, status_code
FROM red.http
WHERE is_proxied = true Y LOWER(método) = 'conectar' Y uri NO COMO '%:443'
Y marca de tiempo > fecha_añadida('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
3. Detección de navegadores obsoletos
Lo que encuentra esta consulta:
| Navegador |
Patrón de detección |
| Internet Explorer (todas las versiones) |
El agente de usuario contiene %MSIE% |
| Firefox 3-6 |
El agente de usuario contiene %Firefox/[3-6]% |
| Chrome 1-49 |
El agente de usuario contiene %Chrome/[1-9]% o %Chrome/[1-4][0-9]% |
| Safari 10-16 |
El agente de usuario coincide con el patrón de versión 1[0-6] |
Lógica de detección: detecta cadenas de agente de usuario HTTP que indican el uso de navegadores web obsoletos. El uso continuado durante varios días pone de manifiesto la existencia de sistemas sin parches y con un riesgo elevado de sufrir ataques.
Consecuencias para la seguridad: Los navegadores obsoletos suelen ser objeto de ataques a través de:
- Descargas automáticas desde sitios web comprometidos o maliciosos
- Phishing que aprovechan vulnerabilidades conocidas de los navegadores
- Contenido web malicioso que aprovecha vulnerabilidades CVE documentadas y sin parchear
El uso continuado de navegadores obsoletos suele indicar deficiencias más generales en la seguridad de los dispositivos finales y puede constituir un incumplimiento de las políticas de refuerzo de la seguridad de dichos dispositivos.
SELECT id.orig_h, orig_hostname.name COMO nombre_host, agente_de_usuario, CONTAR(*) AS recuento_solicitudes
FROM network.http._all
WHERE marca de tiempo ENTRE date_add('day', -14, now()) Y ahora()
Y ( user_agent COMO '%MSIE%'
O user_agent LIKE '%Firefox/[3-6]%'
O user_agent COMO '%Chrome/[1-9]%'
O user_agent COMO '%Chrome/[1-4][0-9]%'
O user_agent COMO '%Versión/(1[0-6](\.\d+)*)\s+Safari%' )
GRUPO POR id.orig_h, orig_hostname.name, user_agent
ORDENAR POR requeridos DESC
LÍMITE 100
4. Uso de servicios de IA: interacciones con plataformas de IA generativa
Lo que encuentra esta consulta:
| Plataforma |
Patrón de dominio supervisado |
| OpenAI / ChatGPT |
%openai.com, %chat.openai.com |
| Anthropic / Claude |
%anthropic.com, %claude.ai |
| Google Bard |
%bard.google.com |
| Microsoft Copilot |
%bing.com |
| Cohere |
%cohere.ai |
| Cara que da un abrazo |
%huggingface.co |
| Mistral |
%mistral.ai |
| DeepSeek |
%deepseek.com% |
Lógica de búsqueda: analiza los metadatos del DNS en busca de consultas salientes dirigidas a dominios conocidos de plataformas de IA generativa, identificando los servidores, los volúmenes de solicitudes y los patrones de uso.
Consecuencias para la seguridad: La adopción no autorizada de la IA conlleva tres tipos de riesgos:
- Exposición de datos: los usuarios pegan código confidencial, credenciales o documentos internos en los campos de entrada
- Incumplimientos normativos: tratamiento no autorizado de datos en entornos regulados (HIPAA, RGPD, PCI-DSS)
- TI en la sombra: uso de la IA que elude los controles de seguridad establecidos y las políticas de gobernanza de datos
SELECT consulta, CONTA(DISTINCT orig_hostname.name) como recuento_hosts_únicos,
COUNT(*) como total_query_count
FROM network.dns
WHERE ( consulta COMO '%openai.com'
O consulta LIKE '%chat.openai.com'
O consulta COMO '%anthropic.com'
O consulta COMO '%claude.ai'
O consulta COMO '%bard.google.com'
O consulta COMO '%bing.com'
O consulta COMO '%cohere.ai'
O consulta COMO '%huggingface.co'
O consulta COMO '%mistral.ai'
O consulta COMO '%deepseek.com%' )
Y marca de tiempo ENTRE fecha_añadida('día', -14, now()) Y ahora()
GROUP POR consulta
ORDEN POR recuento_de_hosts_únicos DESC, total_query_count DESC
LÍMITE 100
Metodología de detección de amenazas basada en el IOC
La detección de amenazas basada en el IOC permite validar posibles vulnerabilidades, descubrir la reutilización de la infraestructura de los atacantes y detectar amenazas que puedan haber eludido las defensas iniciales. Resulta especialmente eficaz para responder a alertas de inteligencia sobre amenazas o a revelaciones públicas de campañas activas.
¿Qué son los indicadores de compromiso (IOC)?
Los IOC son indicios que, cuando se analizan en su contexto, apuntan a la actividad de un atacante. Por lo general, no generan alertas por sí solos, sino que requieren una investigación activa para confirmar si una coincidencia indica realmente una intrusión.
| Tipo IOC |
Ejemplos |
| Dominios sospechosos |
Infraestructura C2 controlada por los atacantes, páginas phishing |
| Direcciones IP maliciosas |
Infraestructura relacionada con malware o la sustracción de datos |
| Hash de archivos |
Huellas digitales malware conocidas |
| Agentes de usuario y direcciones de correo electrónico |
Patrones utilizados en campañas phishing suplantación de identidad |
| Elementos de autenticación |
Tokens OAuth, claves API y claves de registro utilizadas en los mecanismos de persistencia |
De dónde obtienen los equipos de seguridad los indicadores de compromiso (IOC)
| Tipo de fuente |
Ejemplos |
| Informes de inteligencia sobre amenazas |
Mandiant, Volexity, alertas de la CISA, investigación sobre amenazas de Vectra |
| Noticias y blogs sobre seguridad |
BleepingComputer, KrebsOnSecurity |
| Comunidades de intercambio de información sobre amenazas |
ISAC, repositorios de GitHub, AlienVault OTX |
| Redes sociales |
Publicaciones en X/Twitter de investigadores de amenazas de confianza |
| Plataformas de ingeniería de detección |
Reglas Sigma, repositorios YARA |
Flujo de trabajo de búsqueda de IOC en la Vectra AI
Una vez que se dispone de un IOC o de un conjunto de ellos, el proceso de investigación sigue cuatro pasos:
- Buscar: busca el dominio, la dirección IP o el hash en los metadatos históricos y las detecciones
- Pivot: identifica qué host o usuario interactuó con el IOC
- Investigar la cronología: determinar cuándo se observó por primera vez el IOC y si ha vuelto a aparecer
- Comprueba la actividad en los alrededores: busca comportamientos posteriores, como la escalada de privilegios, el movimiento lateral o patrones inusuales de acceso a los datos
Consejo: Aunque un IOC esté obsoleto o sea genérico, puede servir para detectar amenazas persistentes o confirmar la contención tras un incidente.
Ejemplo de flujo de trabajo: Se publica un aviso de la CISA con indicadores vinculados a una campaña APT conocida. Extraes dos dominios, una dirección IP y un hash de PowerShell. En la Vectra AI , buscas uno de los dominios en los metadatos HTTP y detectas actividad de hace tres semanas. El host de destino es un sistema financiero. Pasas a la sección «Investigar» y ves las detecciones relacionadas: «Actividad anómala de scripts» y «Movimiento lateral sospechoso». Ahora dispone de pruebas de alta fiabilidad para escalar el incidente y contenerlo.
1. Dominios maliciosos: phishing de comando y control / phishing
Lo que encuentra esta consulta:
- Sesiones salientes hacia dominios que se sabe que son maliciosos
- Posibles llamadas de retorno C2, actividad de baliza o interacción del usuario con phishing
Lógica de búsqueda: busca sesiones de red de los últimos 14 días en las que el dominio de destino coincida con una lista de dominios maliciosos conocidos.
Implicaciones de seguridad: Las conexiones a dominios controlados por atacantes pueden indicar:
- Comunicación C2 activa o emisión de señales de localización
- Preparación de la descarga de la carga útil
- Interacción de los usuarios con phishing (algo habitual en el caso de programas de robo de información como LummaC2 o de intermediarios de acceso inicial como Scattered Spider)
SELECT timestamp, uid, id.orig_h como "id_orig_h", orig_hostname, id.resp_h como "id_resp_h",
resp_hostname, id.resp_p como "id_resp_p", proto_name, orig_ip_bytes,
resp_ip_bytes, duración, estado_conexión, uid_sensor
FROM network.isession
WHERE (resp_domain = 'baddomain1.com' O resp_domain = 'baddomain2.com')
Y marca de tiempo > fecha_añadida('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
2. Direcciones IP maliciosas conocidas: reutilización de infraestructura o filtración de datos
Lo que encuentra esta consulta:
- Conexiones hacia o desde direcciones IP incluidas en la lista negra en los últimos 14 días
- Detalles completos de la sesión, incluyendo origen, destino, protocolo y duración de cada conexión coincidente
Lógica de búsqueda: busca todas las sesiones de red en las que participen direcciones IP específicas, ya sea como origen o como destino.
Implicaciones de seguridad: los indicadores de compromiso (IOC) basados en direcciones IP suelen reutilizarse en múltiples campañas de actores maliciosos. Las coincidencias pueden indicar:
- Malware a la infraestructura conocida del atacante
- Se está produciendo una filtración directa de datos
- Compromiso continuo mediante el uso de infraestructura identificada previamente
SELECT timestamp, uid, id.orig_h como "id_orig_h", orig_hostname, id.resp_h como "id_resp_h",
resp_hostname, id.resp_p como "id_resp_p", proto_name, orig_ip_bytes, resp_ip_bytes,
duración, estado_conexión, uid_sensor
FROM network.isession
WHERE (id.resp_h EN ('192.0.2.1', '192.0.2.2') O id.orig_h IN ('192.0.2.1', '192.0.2.2'))
Y marca de tiempo > fecha_añadida('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
3. Nombres de archivos sospechosos: preparación de la carga maliciosa
Lo que encuentra esta consulta:
- Archivos transferidos a través de SMB cuyos nombres de archivo base superan los 50 caracteres
- Patrones relacionados con malware automatizada malware y la ofuscación de datos
Lógica de búsqueda: analiza la actividad de archivos SMB de los últimos 14 días, extrayendo y enumerando los archivos con nombres de archivo base inusualmente largos.
Implicaciones de seguridad: Los nombres de archivo excesivamente largos u ocultos indican:
- malware automatizada de malware o entrega de cargas útiles mediante scripts
- Patrones de propagación del ransomware
- Se están preparando las herramientas de la campaña de Loader para su ejecución
SELECT nombre, REGEXP_EXTRACT(nombre, '([^\\/]+)$') COMO nombre_archivo_base,
LENGTH(REGEXP_EXTRACT(nombre, '([^\\/]+)$')) AS longitud_base
FROM red.archivos_smb
WHERE LENGTH(REGEXP_EXTRACT(nombre, '([^\\/]+)$')) > 50 Y marca de tiempo > date_add('día', -14, now())
ORDER POR longitud_base DESC
LIMIT 50
4. Archivos sin vocales: malware ofuscado o generado automáticamente
Lo que encuentra esta consulta:
- Nombres de archivo SMB que no contienen vocales en el nombre de archivo base
- Patrones asociados a los nombres malware generados mediante programación
Lógica de búsqueda: extrae los nombres de archivo que no contienen vocales (solo consonantes o símbolos) de la actividad de archivos SMB de los últimos 14 días.
Implicaciones de seguridad: los nombres de archivo sin vocales indican una generación automática, una técnica de evasión habitual que utilizan malware para eludir la detección basada en firmas. Si no se detectan, estas cargas útiles aumentan el tiempo de permanencia del atacante y el impacto del ataque.
SELECT nombre, REGEXP_EXTRACT(nombre, r'([^\\/]+)$') COMO nombre_archivo_base
FROM network.smb_files
WHERE REGEXP_LIKE(REGEXP_EXTRACT(nombre, r'([^\\/]+)$'), '^[^aeiouAEIOU]+$') AND
marca de tiempo > fecha_añadida('día', -14, now())
LIMIT 50
5. Rutas de archivos sospechosas: movimiento lateral o preparación
Lo que encuentra esta consulta:
- Archivos a los que se ha accedido o que se han modificado en /
App/Datos/Roaming/ caminos - Operaciones con archivos en directorios que suelen utilizar malware las herramientas de post-explotación como ubicaciones de preparación o de persistencia
Lógica de búsqueda: analiza la actividad de archivos en SMB de los últimos 14 días para detectar archivos a los que se haya accedido en las rutas de AppData/Roaming. La consulta se puede modificar para supervisar cualquier ruta de archivos relevante en su entorno específico.
Implicaciones de seguridad: Los directorios «AppData/Roaming» son un objetivo específico del malware las herramientas de los atacantes porque:
- Se someten a menos controles operativos que los directorios del sistema
- Las cuentas de usuario estándar pueden escribir en ellos sin necesidad de elevar privilegios
- Las herramientas pueden funcionar desde estas ubicaciones de forma indefinida sin activar las reglas habituales de supervisión de la integridad de los archivos
SELECT timestamp, uid, id.orig_h como "id_orig_h", orig_hostname, id.resp_h como "id_resp_h",
resp_hostname, id.resp_p como "id_resp_p", versión, ruta, acción, nombre, sensor_uid
FROM network.smb_files
WHERE ruta COMO '%/App/Data/Roaming/%' Y marca de tiempo > fecha_añadida('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
6. Huella digital JA3: TOR o clientes TLS inusuales
Lo que encuentra esta consulta:
- Conexiones TLS que utilizan la huella digital JA3 vinculada a clientes TOR
- Sistemas que ejecutan navegadores TOR o aplicaciones basadas en TOR en el entorno empresarial
Lógica de búsqueda: extrae los registros de sesión SSL/TLS de los últimos 14 días, filtrándolos en busca de un hash JA3 específico que se sabe que coincide con los clientes de TOR.
Implicaciones de seguridad: el uso de TOR en un entorno empresarial puede indicar:
| Tipo de indicador |
Posible significado |
| Dispositivos de los empleados |
Incumplimiento de las normas, uso de software de anonimización |
| Servidor o estación de trabajo |
Malware que utiliza TOR para comunicarse de forma anónima |
| Marcos automatizados |
Herramientas de ataque que utilizan implementaciones TLS no estándar |
| Cualquier activo |
Fuga de datos a través de canales cifrados y anonimizados |
Para más información: la documentación sobre la metodología JA3 está disponible en https://github.com/salesforce/ja3. Las huellas JA3 recopiladas por la comunidad están disponibles en https://ja3.zone/.
SELECT timestamp, uid, id.orig_h como "id_orig_h", orig_hostname, id.resp_h como "id_resp_h",
resp_hostname, id.resp_p como "id_resp_p", server_name, client_version,
protocolo_siguiente, cifrado, ja3, establecido, uid_sensor
FROM network.ssl
WHERE ja3 = 'e7d705a3286e19ea42f587b344ee6865' Y marca de tiempo > date_add('día', -14, now())
ORDER POR timestamp DESC
LIMIT 100
Creación de un proceso sistemático de detección de amenazas con Vectra AI
La búsqueda de amenazas ofrece el máximo valor cuando se pone en práctica y se integra como una práctica habitual, en lugar de como un ejercicio puntual y reactivo. Las consultas que figuran en esta guía son puntos de partida. El objetivo es adaptarlas a su entorno, conservar las variantes más eficaces e incorporarlas a ciclos de búsqueda estructurados.
Cómo poner en práctica la búsqueda con la Vectra AI :
- Utilice búsquedas de 5 minutos para realizar revisiones rápidas y periódicas de las tácticas, técnicas y procedimientos (TTP) de alto riesgo, así como de los controles de cumplimiento
- Utiliza las búsquedas guardadas para crear una biblioteca de consultas específicas para cada entorno
- Utiliza la búsqueda asistida por IA para agilizar los cambios de rumbo en las investigaciones y obtener recomendaciones sobre los siguientes pasos a seguir, expresadas en un lenguaje sencillo
- Aporta nuevas consultas y entra en contacto con la comunidad a través del repositorio de GitHub Vectra AI Hunting
La experiencia adquirida mediante una búsqueda constante de amenazas actúa como un multiplicador operativo durante la respuesta a incidentes: los equipos que realizan búsquedas con regularidad investigan más rápido, clasifican las amenazas con mayor precisión y las contienen antes de que se agraven.
