Creación de Custom Search Commands en Splunk Parte I: Conceptos básicos y configuración inicial

En esta nueva serie abordaremos la creación de los denominados Custom Search Commands de Splunk. Profundizaremos en su funcionamiento interno, identificando los diferentes tipos disponibles y cómo cada uno de ellos aporta flexibilidad a las búsquedas en Splunk. Además, desde un enfoque práctico, abordaremos el desarrollo de estos comandos de búsqueda en Python en forma de guía, adentrándonos en cuestiones como la configuración necesaria para su puesta en marcha, instalación de librerías y gestión de credenciales cuando se requiere su uso seguro.… Read More

Automatización de la emulación de adversarios con Atomic Red Team (ART), Sysmon y Splunk Parte III: Incident Response

Splunk SOAR Portada artículo

En esta última entrega abordaremos configuración del Splunk SOAR de nuestro laboratorio y la implementación de un playbook. En los playbooks se definen los pasos que se deben seguir para detectar, investigar y responder a incidentes de seguridad de forma eficiente y sistemática. Siguiendo con las comparaciones, podríamos decir que se trata de una receta que detalla qué herramientas usar, en qué órden y cómo para resolver un problema específico… Read More

Automatización de la emulación de adversarios con Atomic Red Team (ART), Sysmon y Splunk Parte II: Detección con Splunk y Simulación con Atomic Red Team

Portada artículo

En esta segunda entrega de la serie, abordaremos la emulación y detección del volcado del credenciales. Para ello, utilizaremos la instancia de Splunk Enterprise a modo de SIEM e implementaremos una regla específica para la identificación de eventos que nos sugieran este tipo de ataque. Posteriormente realizaremos una prueba atómica a través de la utilidad Invoke de Atomic Red Team que nos permitirá emular el acceso a la memoria a través del proceso LSASS para el volcado de credenciales. … Read More

Automatización de la emulación de adversarios con Atomic Red Team (ART), Sysmon y Splunk Parte I: Configuración de la arquitectura

Portada Artículo

La emulación de adversarios es un ejercicio de seguridad ofensiva en el que se busca imitar las técnicas utilizadas por los atacantes. El objetivo principal es evaluar si una organización tiene la visibilidad necesaria para detectar, responder y mitigar un ataque similar al que podría llevar a cabo un adversario real pudiendo evaluar de esta forma la resiliencia ante amenazas cibernéticas… Read More