<p><span style="color:rgb(0,0,255);">Puede solicitar gratuitamente las soluciones a todas las actividades </span><span style="color:rgb(0,0,0);">en el email tutor@tutorformacion.es</span><br><br><span style="color:rgb(0,0,0);">Capacidades que se adquieren con este Manual:</span><br><br><span style="color:rgb(0,0,0);">- Planificar e implantar los sistemas de detección de intrusos según las normas de seguridad.</span><br><span style="color:rgb(0,0,0);">- Aplicar los procedimientos de análisis de la información y contención del ataque ante una incidencia detectada.</span><br><span style="color:rgb(0,0,0);">- Analizar el alcance de los daños y determinar los procesos de recuperación ante una incidencia detectada.</span><br><br><span style="color:rgb(0,0,0);">Índice:</span><br><br><span style="color:rgb(0,0,0);">Introducción 6</span><br><br><span style="color:rgb(0,0,0);">Sistemas de detección y prevención de intrusiones (IDS/IPS) 13</span><br><span style="color:rgb(0,0,0);">1. Conceptos generales de gestión de incidentes, detección de intrusiones y su prevención. 14</span><br><span style="color:rgb(0,0,0);">2. Identificación y caracterización de los datos de funcionamiento del sistema. 16</span><br><span style="color:rgb(0,0,0);">3. Arquitecturas más frecuentes de los sistemas de detección de intrusos. 20</span><br><span style="color:rgb(0,0,0);">4. Relación de los distintos tipos de IDS/IPS por ubicación y funcionalidad. 27</span><br><span style="color:rgb(0,0,0);">5. Criterios de seguridad para el establecimiento de la ubicación de los IDS/IPS. 31</span><br><span style="color:rgb(0,0,0);">6. Prueba de autoevaluación. 40</span><br><br><span style="color:rgb(0,0,0);">Implantación y puesta en producción de sistemas IDS/IPS 41</span><br><br><span style="color:rgb(0,0,0);">1. Análisis previo de los servicios, protocolos, zonas y equipos que utiliza la organización para sus procesos de negocio. 42</span><br><span style="color:rgb(0,0,0);">2. Definición de umbrales de corte para intentos de intrusión en los IDS/IPS. 44</span><br><span style="color:rgb(0,0,0);">3. Análisis de los eventos registrados por el IDS/IPS para determinar falsos positivos y caracterizarlos en las políticas de corte del IDS/IPS. 51</span><br><span style="color:rgb(0,0,0);">4. Relación de los registros de auditoría del IDS/IPS necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de intentos de intrusión. 54</span><br><span style="color:rgb(0,0,0);">5. Establecimiento de los niveles requeridos de actualización, monitorización y pruebas del IDS/IPS. 57</span><br><span style="color:rgb(0,0,0);">6. Prueba de autoevaluación. 58</span><br><br><span style="color:rgb(0,0,0);">Control de código malicioso 59</span><br><br><span style="color:rgb(0,0,0);">1. Sistemas de detección y contención de código malicioso 60</span><br><span style="color:rgb(0,0,0);">2. Relación de los distintos tipos de herramientas de control de código malicioso en función de la topología de la instalación y las vías de infección a controlar. 63</span><br><span style="color:rgb(0,0,0);">3. Criterios de seguridad para la configuración de las herramientas de protección frente a código malicioso. 68</span><br><span style="color:rgb(0,0,0);">4. Determinación de los requerimientos y técnicas de actualización de las herramientas de protección frente a código malicioso. 74</span><br><span style="color:rgb(0,0,0);">5. Relación de los registros de auditoría de las herramientas de protección frente a código maliciosos necesarios para monitorizar y supervisar su correcto funcionamiento y los eventos de seguridad. 80</span><br><span style="color:rgb(0,0,0);">6. Establecimiento de la monitorización y pruebas de las herramientas de protección frente a código malicioso. 84</span><br><span style="color:rgb(0,0,0);">7. Análisis de los programas maliciosos mediante desensambladores y entornos de ejecución controlada. 88</span><br><span style="color:rgb(0,0,0);">8. Prueba de autoevaluación. 90</span><br><br><span style="color:rgb(0,0,0);">Respuesta ante incidentes de seguridad 91</span><br><br><span style="color:rgb(0,0,0);">1. Procedimiento de recolección de información relacionada con incidentes de seguridad. 92</span><br><span style="color:rgb(0,0,0);">2. Exposición de las distintas técnicas y herramientas utilizadas para el análisis y correlación de información y eventos de seguridad. 96</span><br><span style="color:rgb(0,0,0);">3. Proceso de verificación de la intrusión. 102</span><br><span style="color:rgb(0,0,0);">4. Naturaleza y funciones de los organismos de gestión de incidentes tipo CERT nacionales e internacionales. 107</span><br><span style="color:rgb(0,0,0);">5. Prueba de autoevaluación. 112</span><br><br><span style="color:rgb(0,0,0);">Proceso de notificación y gestión de intentos de intrusión 113</span><br><br><span style="color:rgb(0,0,0);">1. Establecimiento de las responsabilidades en el proceso de notificación y gestión de intentos de intrusión o infecciones. 114</span><br><span style="color:rgb(0,0,0);">2. Categorización de los incidentes derivados de intentos de intrusión o infecciones en función de su impacto potencial. 116</span><br><span style="color:rgb(0,0,0);">3. Criterios para la determinación de las evidencias objetivas en las que se soportara la gestión del incidente. 120</span><br><span style="color:rgb(0,0,0);">4. Establecimiento del proceso de detección y registro de incidentes derivados de intentos de intrusión o infecciones. 122</span><br><span style="color:rgb(0,0,0);">5. Guía para la clasificación y análisis inicial del intento de intrusión o infección, contemplando el impacto previsible del mismo. 123</span><br><span style="color:rgb(0,0,0);">6. Establecimiento del nivel de intervención requerido en función del impacto previsible. 125</span><br><span style="color:rgb(0,0,0);">7. Guía para la investigación y diagnóstico del incidente de intento de intrusión o infecciones. 127</span><br><span style="color:rgb(0,0,0);">8. Establecimiento del proceso de resolución y recuperación de los sistemas tras un incidente derivado de un intento de intrusión o infección. 129</span><br><span style="color:rgb(0,0,0);">9. Proceso para la comunicación del incidente a terceros, si procede. 134</span><br><span style="color:rgb(0,0,0);">10. Establecimiento del proceso de cierre del incidente y los registros necesarios para documentar el histórico del incidente 136</span><br><span style="color:rgb(0,0,0);">11. Prueba de autoevaluación. 138</span><br><br><span style="color:rgb(0,0,0);">Análisis forense informático 139</span><br><br><span style="color:rgb(0,0,0);">1. Conceptos generales y objetivos del análisis forense. 140</span><br><span style="color:rgb(0,0,0);">2. Exposición del Principio de Lockard. 142</span><br><span style="color:rgb(0,0,0);">3. Guía para la recogida de evidencias electrónicas. 143</span><br><span style="color:rgb(0,0,0);">3.1. Evidencias volátiles y no volátiles. 143</span><br><span style="color:rgb(0,0,0);">3.2. Etiquetado de evidencias. 144</span><br><span style="color:rgb(0,0,0);">3.3. Cadena de custodia. 145</span><br><span style="color:rgb(0,0,0);">3.4. Ficheros y directorios ocultos. 146</span><br><span style="color:rgb(0,0,0);">3.5. Información oculta del sistema. 148</span><br><span style="color:rgb(0,0,0);">3.6. Recuperación de ficheros borrados. 149</span><br><span style="color:rgb(0,0,0);">4. Guía para el análisis de las evidencias electrónicas recogidas, incluyendo el análisis en caliente, para poder recoger evidencias volátiles de la memoria, procesos, conexiones abiertas y servicios entre otros, así como el análisis en frio del estudio de ficheros y directorios ocultos, información oculta del sistema y la recuperación de ficheros borrados. 152</span><br><span style="color:rgb(0,0,0);">5. Guía para la selección de las herramientas de análisis forense. 156</span><br><span style="color:rgb(0,0,0);">6. Prueba de autoevaluación. 158</span><br><br><span style="color:rgb(0,0,0);">Resumen 159</span><br><br><span style="color:rgb(0,0,0);">Prueba de evaluación final 160</span></p>