# 26. Operaciones de seguridad: detección y respuesta

Propósito del apartado
Introducir prácticas de monitorización de seguridad, IDS/IPS, gestión de incidentes y respuesta (SOC básicas) aplicadas a infraestructuras de red.

Detección de intrusiones
- IDS/IPS: diferencias entre detección pasiva y bloqueo activo; despliegue en inline o SPAN.
- Firmas vs detección basada en anomalías.

Gestión de incidentes
- Fases: identificación, contención, erradicación, recuperación y lecciones aprendidas.
- Importancia de playbooks y runbooks para respuestas repetibles.

Fluxos y herramientas
- SIEM para correlación de eventos, alertas y almacenamiento de logs; integración con sistemas de ticketing.

Puntos de estudio
- Familiarizarse con conceptos de SOC, reglas de correlación básicas y procedimientos de escalado.

Lecturas internas recomendadas
- Guías de buenas prácticas de detección y respuesta a incidentes.