Recopilar Registros de Flujo de Tráfico de Red
Descripción
Recopilar registros de flujo de tráfico de red y/o tráfico de red para revisión y alertas desde dispositivos de red.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma SIEM con gestión de registros, detección de amenazas, investigación e informes de cumplimiento en fuentes de datos empresariales
Cisco (Splunk) · Basado en ingesta o basado en carga de trabajo
SIEM y SOAR nativos en la nube con analítica impulsada por IA, respuesta automatizada a amenazas e integración nativa con Azure/M365
Microsoft · Pago por uso (por GB procesado)
Detección y respuesta de red impulsada por IA con análisis de amenazas de autoaprendizaje y respuesta autónoma
Darktrace · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Exfiltración Encubierta de Datos mediante Patrones de Tráfico Inusuales
ConfidencialidadUn atacante exfiltra lentamente datos sensibles usando técnicas de bajo perfil sobre puertos legítimos, y el volumen anómalo de tráfico pasa desapercibido porque los registros de flujo de red no se recopilan ni analizan.
Escaneo de Reconocimiento No Detectado de Red Interna
ConfidencialidadUn atacante realiza escaneos de puertos y enumeración de servicios en la red interna después del compromiso inicial, y la actividad de escaneo es invisible porque no existe registro de flujo de tráfico de red.
Comunicación No Autorizada con Infraestructura Maliciosa Conocida
IntegridadUn sistema comprometido se comunica con infraestructura conocida de actores de amenazas, pero las conexiones salientes nunca se señalan porque los datos de flujo de red no se capturan para correlación de inteligencia de amenazas.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Visibilidad de Flujo de Red
Sin recopilar registros de flujo de tráfico NetFlow o equivalentes, los equipos de seguridad no pueden identificar patrones de comunicación anormales, volúmenes de tráfico o conexiones no autorizadas entre sistemas internos y externos.
Incapacidad para Realizar Análisis Retrospectivo de Red
La ausencia de datos históricos de flujo de tráfico de red impide la investigación forense de cuándo comenzó el compromiso, qué sistemas se comunicaron con infraestructura del atacante y qué datos pueden haber sido exfiltrados.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |