CheatSheet de Lázaro - Analista SOC
Selección personal de herramientas clave para analistas de SOC, desde la monitorización hasta la respuesta a incidentes.
**EN CONSTRUCCIÓN, AÑADIENDO APUNTES**
📊 SIEM y monitorización de Logs
Splunk
Plataforma líder para la búsqueda, monitorización y análisis de datos de máquinas a gran escala.
ApuntesElastic Stack (ELK)
Conjunto (Elasticsearch, Logstash, Kibana) para la ingesta, análisis y visualización de logs.
Wazuh
Plataforma open source de XDR y SIEM que unifica la seguridad de endpoints y la nube.
IBM QRadar
SIEM de nivel empresarial para la recolección, normalización y correlación de eventos de seguridad.
Sigconverter.io
Herramienta para traducir rápidamente reglas de detección Sigma al lenguaje de consulta de diferentes SIEM.
Wireshark
Analizador de protocolos de red. Esencial para investigar el tráfico de red a nivel de paquete.
Apuntes🌐 Seguridad de red (IDS/IPS)
Snort
Sistema de detección de intrusiones (IDS/IPS) basado en firmas, un estándar de la industria.
Suricata
IDS/IPS moderno y multihilo que utiliza tanto firmas como análisis de comportamiento de red.
Zeek (Bro)
Framework de monitorización de seguridad de red que proporciona logs de transacciones muy detallados.
🍯 Honeypots
🛰️ Monitorización y telemetría de endpoints
Sysmon
Herramienta de Sysinternals que monitoriza y registra la actividad del sistema con gran detalle para su análisis en un SIEM.
Agente Wazuh
Proporciona HIDS, monitorización de integridad de ficheros (FIM) y detección de vulnerabilidades en el endpoint.
🛡️ Endpoint Detection & Response (EDR)
CrowdStrike Falcon
Plataforma EDR/XDR líder basada en la nube, que utiliza IA para detectar y detener brechas de seguridad.
SentinelOne
Plataforma autónoma que unifica EDR, EPP y otras capacidades de seguridad en un solo agente.
Carbon Black
EDR de VMware que proporciona visibilidad avanzada y respuesta a incidentes en endpoints y workloads.
🧰 Gestión de vulnerabilidades
Nessus
Escáner de vulnerabilidades de Tenable. Un estándar de la industria para la evaluación de la seguridad de redes.
OpenVAS
Framework de código abierto para el escaneo y la gestión de vulnerabilidades.
🔬 Análisis forense y de malware
Hybrid-Analisis
Servicio online de análisis y sandbox, función muy interesante de YARA y String search.
VirusTotal
Servicio online que analiza ficheros y URLs con decenas de motores antivirus para detectar malware.
ANY.RUN
Sandbox interactivo online que permite analizar el comportamiento del malware en un entorno seguro.
Cuckoo Sandbox
Sandbox open-source para automatizar el análisis dinámico de ficheros maliciosos en un entorno local.
Volatility
Framework de código abierto para el análisis de artefactos en volcados de memoria RAM.
Velociraptor
Herramienta open-source para la recolección de artefactos forenses a escala en múltiples endpoints.
Autopsy
Plataforma forense digital para analizar imágenes de discos duros y smartphones de forma eficiente.
YARA
Herramienta para crear reglas de identificación de malware basadas en patrones de texto o binarios.
Ghidra
Framework de ingeniería inversa de software (SRE) desarrollado por la NSA.
🧠 Inteligencia de amenazas (Threat Intel)
MISP
Plataforma open source para compartir, almacenar y correlacionar Indicadores de Compromiso (IoCs).
TheHive
Plataforma escalable para la respuesta a incidentes. Se integra con MISP para enriquecer los casos.