De la Inteligencia a la Detección — TTPs, Threat Hunting y Playbooks
De la Inteligencia a la Detección — TTPs, Threat Hunting y Playbooks
Nota importada desde Inbox durante consolidacion bulk.
De la Inteligencia a la Detección — TTPs, Threat Hunting y Playbooks
Resumen
El valor de la CTI se materializa cuando un informe de threat intelligence se convierte en una regla de detección o una hipótesis de hunting activa en el SOC. Este tema traza el flujo completo: perfilado de actores → extracción de TTPs → generación de detecciones → playbooks de respuesta, usando las notas del vault como eslabones operativos.
Flujo Operativo: CTI → SOC
Actor Profile ──→ TTP Extraction ──→ Detection Rules ──→ Playbooks
│ │ │ │
threat-actor-* TTPs Detection Playbooks
campaign-* MITRE ATT&CK SIEM rules Response
Fase 1: Perfilado del Adversario
El punto de partida es el perfil del actor. threat-actor-apt28 ejemplifica la estructura: motivación (espionaje estatal), sectores objetivo, TTPs documentadas en MITRE ATT&CK, y herramientas del arsenal. campaign-solarwinds-2020 muestra el mismo ejercicio a nivel de campaña: supply chain como vector, exfiltración silenciosa, y timeline detallado.
Las fuentes de inteligencia se evalúan con la escala Admiralty (fiabilidad de la fuente × credibilidad de la información), y la información del actor se estructura según threat-actor-search: atribución, motivación, capacidades, infraestructura.
Fase 2: Extracción de TTPs
threat-actor-search establece el framework: las tácticas son el "por qué" (objetivo), las técnicas son el "cómo" (método), y los procedimientos son la implementación específica. threat-actor-search organiza la información operativa del adversario, y threat-actor-search cataloga las herramientas (Cobalt Strike, Mimikatz, custom tooling).
combining-frameworks-incident-reporting demuestra la integración práctica: mapea las fases del Kill Chain → vértices del Diamond Model → tácticas MITRE ATT&CK usando el caso real de Trigona ransomware.
Fase 3: De TTPs a Detecciones
detection-mitigation-common-attacks traduce TTPs en reglas de detección SIEM: correlación de eventos (EventIDs de Windows), firmas de red, y análisis de comportamiento. Para cada tipo de ataque (DoS, MitM, phishing, SQLi, XSS), proporciona indicadores de detección y acciones de mitigación.
threat-intelligence-feeds documenta los IOCs operativos: hashes, IPs, dominios, URLs, patterns de red. El use-case-07-threat-hunting establece el proceso de hunting proactivo: formular hipótesis basadas en TTPs conocidas → buscar evidencia en telemetría → validar o refutar → generar nuevas detecciones.
Fase 4: Playbooks de Respuesta
cyber-security-playbooks proporciona playbooks alineados con CISA para respuesta a incidentes: contención, erradicación, recuperación, y lecciones aprendidas. threat-intelligence-feeds documenta los frameworks de mitigación por tipo de amenaza.
Todo el flujo se enmarca en el ciclo de inteligencia NATO: dirección → obtención → procesamiento → análisis → difusión → retroalimentación.
Patrón Clave
La inteligencia sin detección es un informe que nadie lee. La detección sin inteligencia es un SIEM que dispara falsos positivos. El valor operativo emerge cuando el perfil del adversario se traduce en hipótesis de hunting específicas y reglas de detección validadas contra TTPs reales.
Modelo de Operacionalización
| Input CTI | Transformación | Output SOC |
|---|---|---|
| Threat actor profile | Extracción de TTPs + MITRE ATT&CK mapping | Hunting hypotheses |
| Campaign analysis | IOC extraction + timeline | Detection rules (YARA, Sigma) |
| TTP documentation | Behavioral indicators | SIEM correlation rules |
| Arsenal catalog | Tool signatures | EDR detection policies |
| Intelligence assessment | Admiralty scoring → priority | Alert triage priority |
Notas Vinculadas
| Nota | Dominio | Rol en el tema |
|---|---|---|
| threat-actor-apt28 | CTI | Actor de referencia — perfil completo |
| campaign-solarwinds-2020 | CTI | Campaña — supply chain case study |
| threat-actor-search | CTI | Framework TTP |
| threat-actor-search | CTI | Estructura operativa del adversario |
| threat-actor-search | CTI | Catálogo de herramientas |
| use-case-07-threat-hunting | CTI | Hunting operativo |
| detection-mitigation-common-attacks | CTI/Infosec | Detección SIEM + mitigación |
| cyber-security-playbooks | CTI | Playbooks CISA |
| combining-frameworks-incident-reporting | CTI | Multi-framework: KC + Diamond + ATT&CK |
| threat-intelligence-feeds | CTI | IOCs operativos |
| metodologia-4-pasos-osint | CTI/Intel | Doctrina NATO — ciclo de inteligencia |
| doctrina-minima-viable | CTI | Escala Admiralty |
| threat-intelligence-feeds | CTI | Frameworks de mitigación |