2b - Monitorización, identificación, detección y alerta de incidentes

Criterio de evaluación b) Se han establecido controles, herramientas y mecanismos de monitorización, identificación, detección y alerta de incidentes

• Contenido asociado: Controles, herramientas y mecanismos de monitorización, identificación, detección y alerta de incidentes: tipos y fuentes

Material de apoyo

• Incibe: https://www.incibe.es/sites/default/files/contenidos/guias/doc/certsi_diseno_configuracion_ips_ids_siem_en_sci.pdf

Aquí se puede hablar de las herramientas de tipo:

• SIEM: ELK, Splunk o QRadar.
• EDR: Wazuh, Microsoft SentinelOne o CrowdStrike.
• NIDS/NIPS: Snort o Suricata
• HIDS/HIPS: OSSEC (incluido en Wazuh) o Fleet (incluye OSQuery)
• Behavioral Network Analyzer: Zeek
• SOAR: Catalyst
• Firewall: IPTables o NFTables
• NDR (Network Detection and Response): Zeek, Snort, Suricata, Arkime (https://github.com/arkime/arkime)
• Honeypots:

Elementos de blue team

• Honeypots
• IAM