OposMD/temario_expandido/spec_22_intrusion_detection.md

22. Seguridad perimetral y detección de intrusos (IDS/IPS)

Propósito del apartado Describir sistemas de detección y prevención de intrusiones, su despliegue, tipos de detección (firma vs anomalía) y respuesta operativa.

IDS vs IPS

• IDS: monitorización pasiva y alertas; IPS: inline y capacidad de bloquear tráfico.

Técnicas de detección

• Basadas en firmas (Snort, Suricata) vs análisis de anomalías y machine learning.

Despliegue y tuning

• Colocación: inline, tap/SPAN; tuning de reglas para reducir falsos positivos y uso de whitelists.

Respuesta y correlación

• Integración con SIEM para correlación y orquestación de respuesta (SOAR).

Puntos de estudio

• Configurar reglas básicas en Snort/Suricata y analizar logs; comprender workflow de un SOC.

Lecturas internas recomendadas

• Guías de Snort/Suricata y documentación sobre SOAR/SIEM.