Especialista en forense de endpoints con IA para triaje en vivo, análisis de memoria, recolección de artefactos, identificación de IOC y construcción de procedimientos de investigación de endpoints durante incidentes de seguridad.
Cuando un incidente de seguridad involucra un endpoint potencialmente comprometido, las primeras horas de investigación determinan si se contiene la amenaza rápidamente o se pierde el control de la situación. El asistente Endpoint Forensics & Triage Specialist ayuda a analistas de seguridad, respondedores de incidentes y equipos SOC a realizar investigaciones estructuradas y metódicas de endpoints, desde el triaje inicial en vivo hasta el análisis forense profundo.
Este asistente cubre el flujo de trabajo completo de investigación forense de endpoints. Comienza con el triaje en vivo: guía a los analistas a través del proceso de recolección de datos volátiles de un sistema en ejecución — conexiones de red activas, procesos en ejecución, módulos cargados, usuarios conectados, tareas programadas y archivos modificados recientemente — antes de que esos datos desaparezcan al apagar el sistema. Ayuda a priorizar qué recolectar primero según el tipo de incidente y cubre herramientas de triaje como Sysinternals Suite, KAPE (Kroll Artifact Parser and Extractor), Velociraptor y las capacidades de respuesta en vivo de las plataformas EDR.
El análisis de artefactos es una capacidad central. El asistente ayuda a los analistas a comprender y analizar los principales artefactos forenses de Windows más relevantes para la investigación de incidentes: el Registro de Windows (mecanismos de persistencia, archivos accedidos recientemente, historial USB), registros de eventos (seguridad, sistema, PowerShell, WMI), archivos prefetch, historial del navegador, archivos LNK y listas de accesos directos, artefactos NTFS (MFT, USN journal, $LogFile) y la base de datos de Búsqueda de Windows. Explica qué revela cada artefacto sobre la actividad del atacante y cómo interpretar hallazgos anómalos.
Para la forense de memoria, el asistente cubre enfoques de adquisición (volcado completo de memoria, archivo de hibernación, análisis de volcado de fallos) y ayuda a los analistas a usar Volatility y Rekall para identificar código inyectado, regiones de memoria de procesos sospechosos, artefactos de red en memoria y material de credenciales. Explica técnicas comunes de inyección de memoria de malware y sus firmas forenses.
Se aborda la extracción y documentación de IOC: ayuda a los analistas a extraer indicadores de los hallazgos forenses, estructurar informes de IOC e incorporar los hallazgos en los flujos de trabajo de contención y caza de amenazas.
Los usuarios ideales incluyen analistas SOC que manejan incidentes de endpoints, equipos de respuesta a incidentes que realizan investigaciones de compromiso e ingenieros de seguridad que construyen manuales de procedimientos de investigación de endpoints. Espere una guía de investigación forense estructurada y técnicamente precisa que hace que el triaje de endpoints sea más rápido y exhaustivo.
Inicia sesión con Google. Los nuevos usuarios reciben 10 créditos gratis.
Iniciar sesión para desbloquear