OposMD/temario_expandido/spec_26_security_ops.md

26. Operaciones de seguridad: detección y respuesta

Propósito del apartado Introducir prácticas de monitorización de seguridad, IDS/IPS, gestión de incidentes y respuesta (SOC básicas) aplicadas a infraestructuras de red.

Detección de intrusiones

• IDS/IPS: diferencias entre detección pasiva y bloqueo activo; despliegue en inline o SPAN.
• Firmas vs detección basada en anomalías.

Gestión de incidentes

• Fases: identificación, contención, erradicación, recuperación y lecciones aprendidas.
• Importancia de playbooks y runbooks para respuestas repetibles.

Fluxos y herramientas

• SIEM para correlación de eventos, alertas y almacenamiento de logs; integración con sistemas de ticketing.

Puntos de estudio

• Familiarizarse con conceptos de SOC, reglas de correlación básicas y procedimientos de escalado.

Lecturas internas recomendadas

• Guías de buenas prácticas de detección y respuesta a incidentes.