Práctica 7 - Análisis de Incidente tipo SOC en MATLAB

1. Contexto

En un entorno real de ciberseguridad, los analistas SOC reciben alertas generadas por sistemas SIEM y deben investigar si estas representan amenazas reales.

En esta práctica, el alumno asumirá el rol de analista SOC utilizando MATLAB como herramienta principal para investigar un incidente de seguridad.

Idea clave: El análisis de incidentes no consiste en ejecutar código, sino en interpretar datos y tomar decisiones.

---

2. Objetivo

Analizar un conjunto de eventos, identificar comportamientos sospechosos, determinar el tipo de ataque y generar una conclusión basada en evidencia.

---

3. Precondiciones

Haber completado las prácticas 1 a 6.
Contar con:
- logs normalizados
- scripts de análisis y correlación
Dataset generado con eventos que incluyan actividad maliciosa.

---

4. Escenario del incidente

Se ha detectado un comportamiento anómalo en los sistemas de autenticación. El sistema SIEM ha generado alertas relacionadas con múltiples intentos fallidos de acceso.

El analista debe investigar:

¿Existe un ataque real?
¿Qué tipo de ataque es?
¿Qué usuarios o IPs están involucrados?
¿Cuál es el impacto potencial?

---

5. Desarrollo paso a paso

Paso 1: Cargar datos

load('../data/logs_normalizados.mat');

---

Paso 2: Ejecutar análisis base

total_eventos = height(tabla);
disp(total_eventos);

---

Paso 3: Identificar eventos fallidos

fallidos = tabla(strcmp(tabla.Resultado, 'failure'), :);

---

Paso 4: Identificar IPs sospechosas

ips = groupcounts(fallidos, 'IP');
ips = sortrows(ips, 'GroupCount', 'descend');

disp(ips(1:10,:));

---

Paso 5: Identificar usuarios afectados

usuarios = groupcounts(fallidos, 'Usuario');
usuarios = sortrows(usuarios, 'GroupCount', 'descend');

disp(usuarios(1:10,:));

---

Paso 6: Ejecutar correlación

run('correlacion.m');

---

Paso 7: Analizar alertas

disp(alertas);

---

6. Análisis requerido

El alumno debe responder con base en evidencia:

IP más sospechosa
Usuario más afectado
Tipo de ataque detectado
Frecuencia del ataque

---

7. Resultado esperado

Identificación de patrones maliciosos
Detección de ataque (brute force o credential stuffing)
Relación entre eventos

---

8. Validación

El análisis debe basarse en datos reales.
Las conclusiones deben ser coherentes.
Debe existir evidencia en MATLAB.

---

9. Preguntas de reflexión

¿Cómo identificaste el ataque?
¿Qué evidencia lo confirma?
¿Podría tratarse de un falso positivo?
¿Qué impacto tendría este ataque en una empresa?
¿Qué acciones tomarías como analista?

---

10. Tarea (Teams)

Subir un PDF con:

Descripción del incidente.
Evidencia (capturas MATLAB).
IPs y usuarios involucrados.
Tipo de ataque identificado.
Conclusión del análisis.
Recomendaciones de seguridad.

---

11. Cierre

En esta práctica el alumno ha realizado un análisis de incidente completo utilizando MATLAB como herramienta principal, replicando el trabajo de un analista SOC en un entorno real.

Este ejercicio consolida los conocimientos adquiridos durante el taller, demostrando la aplicación práctica del análisis de datos en ciberseguridad.