Buscar

18 agosto 2025

Playbook técnico: Blue Team – Detección y Threat Hunting con Sigma, YARA y Velociraptor

  agosto 18, 2025 akil3s   No comments   Edit

 

1️⃣ Introducción

Este playbook está orientado a profesionales técnicos del Blue Team y SOC que buscan detectar comportamientos sospechosos, crear reglas de correlación personalizadas y realizar hunting proactivo. Vamos a enfocarnos en tres herramientas clave:

  • Sigma (detección basada en logs)
  • YARA (detección basada en patrones de binarios o memoria)
  • Velociraptor (hunting y respuesta en tiempo real)

Con ellas puedes cubrir desde ataques fileless hasta malware persistente y movimiento lateral en entornos Windows y Linux.

2️⃣ Sigma: Reglas universales para logs

🔹 ¿Qué es Sigma?

Es un formato estándar de reglas para analizar logs como Sysmon, Windows Event Logs, Zeek, Apache, etc. Se usa para convertir comportamiento ofensivo en alertas normalizadas que puedes adaptar a tu SIEM.

🔹 Ejemplo de uso

Detectar ejecución de PowerShell con parámetros sospechosos:

YAML:

detection:
  selection:
    EventID: 4104
    ScriptBlockText|contains:
      - 'IEX'
      - 'Net.WebClient'
  condition: selection

Convierte esta regla a tu SIEM con sigmac (herramienta oficial):

sigma/tools/sigmac -t splunk -c sigma_config.yml powershell_suspicious.yml

🔹 Buenas prácticas

  • Usa logs de Sysmon, EDR o eventos de seguridad de Windows.
  • Empieza con reglas de MITRE ATT&CK ya existentes (repo oficial de Sigma).
  • Agrupa reglas por táctica (Execution, Persistence, Lateral Movement...).

3️⃣ YARA: Detección basada en patrones binarios o en memoria

🔹 ¿Qué es?

YARA detecta archivos maliciosos o procesos vivos en memoria a través de firmas definidas por ti. Es ideal para detectar malware personalizado o herramientas ofensivas encubiertas.

🔹 Ejemplo de regla

Detectar presencia de mimikatz en disco o memoria:

YARA:

rule Mimikatz_Detection
{
  strings:
    $mz = "mimikatz"
    $crypto = "System.Security.Cryptography"
  condition:
    any of them
}
yara -r Mimikatz_Detection.yar C:\

🔹 Casos de uso comunes

  • Detectar herramientas de C2 (Cobalt Strike, Sliver, Empire)
  • Firmar variantes de malware basado en familias conocidas
  • Combinar con Velociraptor para escaneo remoto en endpoints

4️⃣ Velociraptor: Hunting y respuesta live

🔹 ¿Qué es?

Velociraptor es un agente de respuesta forense y hunting que permite lanzar queries en vivo, recolectar artefactos (logs, procesos, memoria, etc.) y automatizar análisis en cientos de endpoints.

🔹 Ejemplo de queries útiles

🔸 Buscar ejecución reciente de PowerShell con obfuscación:

SELECT * FROM pslist() WHERE name = "powershell.exe" AND command_line CONTAINS "FromBase64String"

🔸 Ver tareas programadas creadas en los últimos días:

SELECT * FROM windows.tasks WHERE created_time > now() - 3*24*60*60

🔸 Recolectar historial de ejecución desde SRUM y Prefetch:

SELECT * FROM windows.forensics.prefetch

🔹 Casos prácticos

  • Detectar persistencia (scheduled tasks, run keys)
  • Ver ejecución de binarios ofuscados en memoria
  • Captura rápida de memoria RAM o disco sin impacto
  • Correlación de sesiones sospechosas en AD

5️⃣ Flujo de trabajo sugerido Blue Team

  1. Recolección de logs y datos forenses:

  • Sysmon, Event Logs, EDR, Firewall, DNS logs

2. Creación de reglas Sigma/YARA personalizadas

  • Basadas en TTPs observadas, campañas, análisis de malware

3. Hunting proactivo con Velociraptor

  • Detectar endpoints con IOC similares
  • Aislar máquinas o usuarios en fase inicial

4. Respuesta y análisis

  • Dump de procesos
  • Recolección de memoria y artefactos de interés
  • Envío a sandbox o análisis en herramientas como Intezer, Any.run, VirusTotal

5. Documentación e iteración

  • Guardar los resultados, adaptar las reglas, compartir lecciones aprendidas

6️⃣ Repositorios recomendados y plantillas

1. Sigma: https://github.com/SigmaHQ/sigma

2. YARA Rules (recolectores confiables):

3. Velociraptor artefacts:

7️⃣ Tip final

No esperes a que el SIEM te avise. Un Blue Team maduro no reacciona, huntea. Con Sigma entiendes el comportamiento. Con YARA firmas la amenaza. Y con Velociraptor la cazas antes de que explote.

Un equipo que domina estas tres herramientas tiene ventaja real: visibilidad, agilidad y capacidad de respuesta a nivel técnico y operativo.

Suscribirse a: Comentarios (Atom)