Módulo 26: Evaluación de

alertas
Materiales del Instructor

CyberOps Associate v1.0

Materiales para el instructor: Guía de planificación del módulo 26
Esta presentación en PowerPoint se divide en dos partes:
• Guía de planificación para el instructor
• Información que le ayudará a familiarizarse con el módulo
• Ayuda didáctica
• Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva 8
Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
Para obtener ayuda y recursos adicionales , diríjase a la Página principal del instructor y a los recursos del curso.
También puede visitar el sitio de desarrollo profesional en [Link], la página oficial de Facebook de Cisco
Networking Academy, o el grupo de Facebook exclusivo para instructores.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 2
¿Qué esperar en este módulo?
Para facilitar el aprendizaje, las siguientes características dentro de la GUI pueden ser incluidas en
este módulo:

Característica Descripción

Laboratorios diseñados para trabajar con equipos físicos.

Laboratorios prácticos
Prueba por tema en línea para ayudar a los alumnos a medir la
Verifique su aprendizaje
comprensión del contenido.
Auto-evaluaciones que integran conceptos y habilidades aprendidas a
Cuestionarios de módulo lo largo de los temas presentados en el módulo.

Resumen del módulo Resumiendo brevemente el contenido del módulo.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 3
Verificar el Aprendizaje
• Las actividades de "Verifique Su Aprendizaje" están diseñadas para permitir que los estudiantes
determinen si están entendiendo el contenido y pueden continuar, o si es necesario un repaso.
• Las actividades de "Verifique su Aprendizaje" no afectan las calificaciones de los alumnos.

• No hay diapositivas separadas para estas actividades en el PPT. Se enumeran en el área de notas
de la diapositiva que aparece antes de estas actividades.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 4
Módulo 26: Actividades
¿Qué actividades están asociadas con este módulo?

N.° de página Tipo de actividad Nombre de la actividad ¿Opcional?

26.1.7 Práctica de laboratorio Reglas de Snort y Firewall Recomendado

26.2.4 Verifique su aprendizaje Identificación de escenarios determinísticos y probabilísticos Recomendado

Recomendado
26.2.5 Verifique su aprendizaje Identificación de clasificaciones de alertas

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 5
Módulo 26: Mejores prácticas
Antes de enseñar el Módulo 26, el instructor debe:
• Revisar las actividades y evaluaciones de este módulo.
• Tratar de incluir la mayor cantidad de preguntas que sean posibles, con el fin de mantener a
los estudiantes concentrados durante la presentación.
Tema 26.1
• Pregunte a la clase qué saben de Security Onion y luego discuta los diversos
componentes de Security Onion.
• Pida a los participantes que compartan su comprensión de las herramientas de análisis de
Security Onion.
• Describa la información de cinco tuplas incluida en las alertas.
• Explicar la generación de alertas y los campos involucrados en eventos de generación de
alertas.
• Explicar la estructura de la regla Snort y sus componentes.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 6
Módulo 26: Mejores prácticas
Tema 26.2
• Discuta la necesidad de una evaluación de alertas con la clase.
• Explique cómo se pueden evaluar y clasificar las alertas.
• Definir el análisis determinista y el análisis probabilístico

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 7
Módulo 26: Evaluar alertas

CyberOps Associate v1.0

Objetivos del módulo
Título del módulo: Evaluación de alertas

Objetivo del módulo: Explicar el proceso de evaluación de alertas

Título del tema Objetivo del tema

Fuentes de alertas Identificar la estructura de alertas.

Descripción general de la
Explicar cómo se clasifican las alertas.
evaluación de alertas

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 9
26.1 Fuentes de alertas

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 10
Evaluación de alertas
Security Onion
• Security Onion es una suite de código abierto de herramientas de Monitoreo de la seguridad
de la red (Network Security Monitoring, NSM) que se ejecuta en una distribución Ubuntu de
Linux.
• Las herramientas de Security Onion ofrecen tres funciones principales para el análisis de
ciberseguridad como la captura completa de paquetes y tipos de datos, sistemas de
detección de intrusión basados en el host y basados en la red, y herramientas de analisis de
alerta.
• Security Onion puede instalarse como una plataforma independiente o como una plataforma
de sensor y servidor.
• Algunos de los componentes de Security Onion son propiedad de corporaciones que los
mantienen, como Cisco y Riverbend Technologies, pero está disponible como una
plataforma de código abierto.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 11
Evaluación de alertas
Herramientas de detección para recopilar datos de alertas
• Security Onion contiene
muchos componentes. Es un
entorno integrado para
simplificar la implementación
de una solución comprensiva
de NSM.
• La figura ejemplifica una
manera en la cual algunos
componentes de Security
Onion trabajan juntos.

Una arquitectura Security Onion

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 12
Evaluación de alertas
Herramienta de detección por recolección de datos de alerta
En la siguiente tabla se enumeran las herramientas de detección de Security Onion:
Componentes Descripción
CapME Es una aplicación web que permite la visualización de transcripciones pcap producidas con las
herramientas tcpflow o Zeek.
Snort Un sistema de detección de intrusiones en la red (NIDS, Network Intrusion Detection System). Es
una fuente importante de los datos de alerta que se indexan en la herramienta de análisis Sguil.
Zeek Anteriormente conocido como Bro. Es un NIDS que utiliza más de un enfoque con base en el
comportamiento para detectar intrusiones.
OSSEC Es un sistema de detección de intrusiones con base en el host (HIDS, Host-based Intrusion
Detection System) que se integra en Security Onion.
Wazuh Es una solución completa que proporciona un amplio espectro de mecanismos de protección de
endpoints, incluyendo análisis de archivos de registro de host, supervisión de la integridad de
archivos, detección de vulnerabilidades, evaluación de configuración y respuesta a incidentes.
Suricata Es un NIDS que utiliza un enfoque basado en firmas. También puede usarse para la prevención de
intrusiones en línea.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 13
Evaluación de alertas
Herramientas de análisis
Security Onion integra estos diferentes tipos de datos y registros del sistema de detección de intrusiones (IDS)
en una única plataforma mediante las siguientes herramientas:

• Sguil: Proporciona una consola de alto nivel para que los investigadores de ciberseguridad puedan
investigar las alertas de seguridad a partir de una amplia variedad de fuentes. Sguil sirve como punto de
partida para la investigación de alertas de seguridad. Muchas fuentes de datos están disponibles girando
directamente desde Sguil a otras herramientas.

• Kibana: Es una interfaz interactiva para los datos de Elastic search. Permite la consulta de datos de NSM y
proporciona visualizaciones flexibles de esos datos. Es posible girar desde Sguil directamente a Kibana
para ver las pantallas contextualizadas.

• Wireshark: Una aplicación de captura de paquetes que está integrada en el conjunto de productos de
Security Onion. Puede abrirse directamente con otras herramientas y permite ver capturas de paquetes
completos relevantes para un análisis.

• Zeek: Este es un analizador de tráfico de red que sirve como monitor de seguridad. Inspecciona todo el
tráfico en un segmento de red y permite un análisis detallado de esos datos. El giro de Sguil a Zeek
proporciona acceso a registros de transacciones muy precisos, contenido de archivos y salida
personalizada.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 14
Evaluación de alertas
Generación de alertas
• Las alertas de seguridad son los mensajes de notificación que generan las herramientas, los
sistemas y los dispositivos de seguridad de NSM. Las alertas pueden adoptar muchas formas
según la fuente.
• En Security Onion, Sguil proporciona una consola que integra alertas de varias fuentes en
una cola con marca de hora.
• Un analista de ciberseguridad puede navegar por la cola de seguridad investigando,
clasificando, derivando o retirando alertas.
• Las alertas suelen incluir información de cinco tuplas, así como marcas de hora y la
información necesaria para identificar qué dispositivo o sistema generó la alerta.
• SrcIP - La dirección IP de origen para el evento.
• SPort - El puerto de la capa 4 de origen (local) para el evento.
• DstIP - La dirección IP de destino para el evento.
• DPort - El puerto de la capa 4 de destino para el evento.
• Pr - El número de protocolo IP para el evento.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 15
Evaluación de alertas
Generación de alertas
En la figura, se ve la ventana de la aplicación Sguil con la cola de alertas que esperan ser investigadas en la
parte superior de la interfaz. Los campos disponibles para los eventos en tiempo real son los siguientes:
• ST - El estado del evento El evento está
codificado por colores por prioridad en función de
la categoría de la alerta. Hay cuatro niveles de
prioridad: muy bajo, bajo, medio y alto y los
colores van desde amarillo claro hasta rojo a
medida que aumenta la prioridad.
• CNT - El recuento de la cantidad de veces que se
detectó este evento para la misma dirección IP de
origen y de destino. El sistema determina que
este conjunto de eventos está correlacionado. 
• Sensor - Es el agente que reporta el evento. Los
sensores disponibles y sus números de
identificación pueden encontrarse en la ficha de
estado del agente del panel que aparece debajo
de la ventana de eventos a la izquierda. Ventana de Sguil

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 16
Evaluación de alertas
Generación de alertas
• ID de alerta - Este número de dos
partes representa el sensor que informa
el problema y el número de evento para
ese sensor.
• Fecha/Hora - Esta es la marca de
tiempo del evento. En el caso de
eventos correlacionados, es la marca
de tiempo del primer evento.
• Mensaje de evento - Este es el texto
de identificación del evento. su está
configurado en la regla que activó la
alerta. La regla asociada puede verse
en el panel derecho, justo encima del
paquete de datos
• Mostrar regla - Debe estar activada la Ventana de Sguil
casilla de verificación para verla.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 17
 Evaluación de alertas
Reglas y alertas
• Las alertas pueden provenir de una serie
de fuentes:
• NIDS - Snort, Zeek, y Suricata
• HIDS - OSSEC, Wazuh
• Administración y monitoreo de
activos - Sistema de detección de
activos pasivos (PADS)
• Transacciones HTTP, DNS y TCP -
registradas por Zeek y pcaps
• Mensajes de syslog - Múltiples fuentes
• La información encontrada en las alertas que están en Sguil diferirá en cuanto al formato del
mensaje, ya que provienen de fuentes diferentes.
• La alerta de Sguil en la figura se activó por una regla configurada en Snort.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 18
Evaluación de alertas
Estructura de la regla de Snort
Las reglas de Snort constan de dos secciones, como se ve en la Figura: el encabezado de la regla y
las opciones de la regla. A veces, Sguil añade la ubicación de la regla.

Componente Ejemplo (acortado...) Explicación

Encabezado alert ip any any -> cualquier Contiene la medida que se debe tomar, las direcciones y los
de regla cualquier puertos de origen y de destino y el sentido del flujo de tráfico
(msg:”GPL Incluye el mensaje que se mostrará en pantalla, detalles del
Opciones de ATTACK_RESPONSE ID contenido de los paquetes, el tipo de alerta, el ID del origen y
regla CHECK RETURNED detalles adicionales, como una referencia correspondiente a la
ROOT”;…) regla o a la vulnerabilidad
Lo agrega Sguil para indicar la ubicación de la regla en la
Ubicación de /nsm/server_data/
estructura de archivos de Security Onion y en el archivo de la
regla securityonion/rules/...
regla especificada
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 19
Evaluación de alertas
Estructuras de las reglas Snort
El encabezado de las reglas
El encabezado de la regla contiene la acción, el protocolo, las direcciones y el puerto, como se muestra en la
figura. La estructura de la parte del encabezado es la misma entre las reglas de alerta de Snort. Snort puede
configurarse para utilizar variables a fin de representar direcciones IP internas y externas. 

Componente Explicación
la medida que se debe tomar es emitir una alerta, otras son log (registrar) y pass
alert
(pasar)
ip el protocolo
cualquiera
el origen especificado es cualquier dirección IP y cualquier puerto de Capa 4
cualquiera
-> la dirección del flujo es desde el origen hacia el destino
cualquiera
el destino especificado es cualquier dirección IP y cualquier puerto de Capa 4
cualquiera
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 20
Evaluación de alertas
Estructuras de las reglas Snort
Las opciones de las reglas
• La estructura de la sección de opciones de la regla es variable. Es la parte de la regla que está
entre paréntesis, como se ve en la Figura. Contiene el mensaje de texto que identifica la alerta.
También contiene metadatos sobre la alerta, como una dirección URL.
• Los mensajes de reglas de Snort pueden incluir la fuente de la regla. Tres fuentes comunes de
reglas de Snort son las siguientes:
• GPL - reglas de Snort anteriores que fueron creadas por Sourcefire y distribuidas mediante
GPLv2. El conjunto de reglas GLP no cuenta con certificación de Cisco Talos. El conjunto de
reglas de la GPL se puede descargar desde el sitio web de Snort, y se incluye en Security
Onion.
• ET - Las amenazas nuevas son un punto de recopilación para las reglas de Snort desde
múltiples fuentes. El conjunto de reglas de ET contiene reglas de múltiples categorías. Un
conjunto de reglas de ET se incluye con Security Onion. Las amenazas emergentes es una
división de Proofpoint, Inc.
• VRT - Estas reglas están inmediatamente disponibles para los suscriptores y se publican para
los usuarios registrados 30 días después de que se crean, con algunas limitaciones. Ahora las
crea y mantiene Cisco Talos. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 21
Evaluación de alertas
Estructuras de las reglas Snort

Componente Explicación
msg: Texto que describe la alerta.
Se refiere al contenido del paquete. En este caso, se enviará una alerta si el texto literal “uid=0(root)”
content: aparece en cualquier lugar de los datos del paquete. Se pueden proporcionar valores que especifican
la ubicación del texto.
Esto no se muestra en la figura. A menudo es el enlace a una URL que proporciona más información
reference:
sobre la regla. En este caso, el sid tiene un hipervínculo al origen de la regla en Internet.
Una categoría correspondiente al ataque. Snort tiene un conjunto de categorías predeterminadas con
ClassType:
uno de cuatro valores de prioridad.
SID: Un identificador numérico único para la regla.
rev: La revisión de la regla que está representada por el sid.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 22
Evaluación de alertas
Práctica de laboratorio: Reglas de Snort y de firewalls
En esta práctica de laboratorio se cumplirán los siguientes objetivos:
• Monitorear IDS y eventos en vivo.

• Configurarán su propia regla de firewall personalizada para impedir que los hosts se
comuniquen con un servidor que aloja malware.
• Crearán un paquete malicioso y lo lanzarán con un objetivo interno.

• Crearán una regla de IDS personalizada para detectar el ataque personalizado y emitir una
alerta.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 23
26.2 Descripción general de la
evaluación de alertas

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 24
Descripción general de la evaluación de las alertas
La necesidad de evaluar las alertas
• El panorama de amenazas cambia constantemente con la detección de nuevas vulnerabilidades y la
evolución de nuevas amenazas. A medida que las necesidades de usuarios y organizaciones
cambian, también lo hace la superficie de ataque.
• Los agentes de amenaza han aprendido a cambiar rápidamente las características de sus ataques
para evadir la detección.
• Es mejor que se generen alertas ocasionales por
tráfico inocente que tener reglas que no detecten
tráfico malicioso.
• Por eso es necesario tener analistas de
ciberseguridad calificados que investiguen las alertas
para determinar si, de hecho, se ha producido un
ataque.
• Analistas de ciberseguridad de categoría 1,
analizarán colas de alertas en una herramienta como
Sguil, alternando a herramientas como Zeek,
Principales herramientas para el analista de
Wireshark y Kibana para verificar que una sea
ciberseguridad de nivel 1
realmente un ataque.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 25
Descripción general de la evaluación de las alertas
Evaluación de las alertas
• Los incidentes de seguridad se clasifican con un esquema adoptado del ámbito de los
diagnósticos médicos. Este esquema de clasificación se utiliza para guiar acciones y evaluar los
procedimientos de diagnóstico. Entonces, la inquietud radica en que el diagnóstico sea exacto
(verdadero) o inexacto (falso).
• Durante el análisis de seguridad de la red, el analista de ciberseguridad recibe una alerta. El
analista de ciberseguridad, debe determinar si este diagnóstico es cierto. 
• Las alertas pueden clasificarse de la siguiente manera:

• Positivo verdadero: se ha comprobado que la alerta es un incidente real de seguridad.

• Positivo falso: La alerta no indica que el incidente de seguridad haya sido real. La actividad
benigna que resulta en un falso positivo a veces se conoce como un desencadenante benigno.
• Otra situación puede ser que no se haya generado una alerta. La ausencia de una alerta puede
clasificarse del siguiente modo:
• Negativo verdadero: No se han producido incidentes de seguridad. La actividad es benigna.
• Falso negativo: se ha producido un incidente no detectado.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 26
Visión general de la evaluación de alertas
Evaluación de alertas
Cuando se emita una alerta, recibirá una de cuatro clasificaciones posibles:

Verdadero Falso
Positivo (la alerta existe) El incidente ocurrió No ocurrió ningún incidente
Negativo (no existe alerta) No ocurrió ningún incidente El incidente ocurrió
• Los positivos verdaderos  son el tipo de alerta deseado. Si ocurren, significa que las reglas que generan
alertas funcionan correctamente.
• Los falsos positivos  no son deseables. Aunque no indican que se ha producido un ataque no detectado,
son costosos porque los analistas de ciberseguridad deben investigar las falsas alarmas.
• Los negativos verdaderos  también son deseables. Indican que el tráfico benigno normal se ignora
correctamente y que no se emiten alertas erróneas.
• Los falsos negativos son peligrosos. Indican que los sistemas de seguridad implementados no detectan
ataques.
Nota: Los eventos «Verdaderos» son deseables. Los eventos «falsos» son indeseables y potencialmente peligrosos.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 27
Visión general de la evaluación de alertas
Evaluación de alertas
• Los eventos benignos son aquellos que no deben desencadenar alertas. Los eventos benignos
excesivos indican que es necesario mejorar o eliminar algunas reglas u otros detectores.
• Cuando se sospecha que hay positivos verdaderos, un analista de ciberseguridad es requerido
para escalar la alerta a un nivel mayor de investigación. El investigador avanzará con la
investigación para confirmar el incidente e identificar cualquier daño que podría haber ocurrido.
• Es posible que un analista de ciberseguridad también sea deba informar al personal de seguridad
que se producen falsos positivos si estos le están quitando demasiado tiempo.
• Los falsos negativos pueden detectarse mucho después de que se produzca un ataque. Esto se
puede lograr mediante el análisis retrospectivo de seguridad (RSA, Retrospective Security
Analysis). El RSA puede tener lugar cuando se aplican reglas recién obtenidas u otra inteligencia
de amenazas a datos de seguridad de la red archivados.
• Por este motivo, es importante monitorear la inteligencia de amenazas para conocer
vulnerabilidades y ataques nuevos y para evaluar la probabilidad de que la red fuera vulnerable.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 28
Descripción general de la evaluación de las alertas
Análisis determinante y análisis probabilístico
• El análisis determinista evalúa el riesgo según lo que se conoce acerca de una vulnerabilidad.
Este tipo de análisis de riesgo solamente puede describir el peor de los casos.
• El análisis probabilístico evalúa el éxito potencial de un ataque calculando la probabilidad de
que, si un paso de un ataque concluye con éxito, el siguiente paso también lo hará.
• En un análisis determinista, se da por sabida toda la información para llevar a cabo un ataque.
• En el análisis probabilístico, se da por sentado que los números de puerto que se utilizarán
solamente pueden predecirse con un cierto grado de seguridad.
• Los dos enfoques se resumen a continuación.
• Análisis determinístico - para que un ataque tenga éxito, todos los pasos anteriores del
ataque también deben tener éxito. El analista especializado en ciberseguridad conoce los
pasos de un ataque exitoso.
• Análisis probabilístico - Hay técnicas estadísticas que predicen la probabilidad de que se
concrete un ataque a partir de las posibilidades de que cada paso del ataque tenga éxito.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 29
26.3 Resumen de evaluación de
alertas

© 2020 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 30
Resumen de evaluación de alertas
¿Qué aprendí en este módulo?
• Security Onion es una suite de código abierto de herramientas de Monitoreo de la seguridad de la
red (Network Security Monitoring, NSM) que se ejecuta en una distribución Ubuntu de Linux.
• Las herramientas de Security Onion ofrecen tres funciones principales para el análisis de
ciberseguridad como la captura completa de paquetes y tipos de datos, sistemas de detección de
intrusión basados en el host y basados en la red, y herramientas de análisis de alerta. 
• Security Onion integra estos diferentes tipos de datos y registros del sistema de detección de
intrusiones (IDS) en una única plataforma mediante las siguientes herramientas:
• Sguil - sirve como punto de partida para la investigación de alertas de seguridad.

• Kibana - Es una interfaz interactiva para datos de Elastic search.

• La aplicación “capturadora” de paquetes Wireshark está integrada en el conjunto de Security

Onion.
• Zeek es un analizador de tráfico de red que sirve como monitor de seguridad. 

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 31
Resumen de evaluación de alertas
¿Qué aprendí en este módulo?
• Snort es un sistema de detección de intrusiones en la red (NIDS, Network Intrusion Detection
System). Es una fuente importante de los datos de alerta que se indexan en la herramienta
de análisis Sguil.
• Las alertas se pueden clasificar como Verdadero Positivo (se ha verificado que la alerta es
un incidente de seguridad real) o Falso Positivo (La alerta no indica un incidente de
seguridad real).
• Otra situación puede ser que no se haya generado una alerta. La ausencia de una alerta se
puede clasificar como: Verdadero negativo (no se ha producido ningún incidente de
seguridad. La actividad es benigna.) y falso negativo (Un incidente no detectado que ha
ocurrido)
• El análisis determinista evalúa el riesgo según lo que se conoce acerca de una
vulnerabilidad.
• El análisis probabilístico evalúa el éxito potencial de un ataque calculando la probabilidad de
que, si un paso de un ataque concluye con éxito, el siguiente paso también lo hará.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 32