SOC Analyst Path (HTB) I

馃洝️ Progreso en el SOC Analyst Path (HTB) – Analizando la Cyber Kill Chain

Estoy siguiendo la ruta formativa SOC Analyst Path de Hack The Box Academy, dise帽ada para aprender las bases del trabajo en un Centro de Operaciones de Seguridad (SOC). Esta ruta combina teor铆a, an谩lisis de incidentes, uso de SIEM, investigaci贸n con Splunk/Elastic, detecci贸n de ataques y t茅cnicas de respuesta.

Uno de los primeros m贸dulos es Incident Handling Process, donde se estudia c贸mo se organiza y gestiona un incidente dentro de una organizaci贸n. Para entenderlo, se empieza revisando la Cyber Kill Chain, un modelo que explica c贸mo progresa un ataque desde el exterior hasta comprometer el entorno.

A continuaci贸n, mis avances en las dos primeras fases:

馃攷 1. Recon (Reconnaissance)

El atacante selecciona el objetivo y recopila informaci贸n relevante para identificar puntos d茅biles.

Reconocimiento pasivo

  • Redes sociales (LinkedIn, Instagram)
  • Web de la empresa
  • Partners y proveedores
  • Documentaci贸n p煤blica
  • Ofertas de empleo que revelan tecnolog铆a interna

Reconocimiento activo

  • Escaneos
  • Enumeraci贸n de servicios
  • Fingerprinting de aplicaciones web

El objetivo es identificar la superficie de ataque y decidir el vector m谩s eficaz para fases posteriores.

馃拤 2. Weaponize

En esta fase, el atacante construye el payload inicial que usar谩 para entrar en la red.

  • Malware ligero y dif铆cil de detectar
  • Evasi贸n de antivirus y EDR
  • Persistencia tras reinicios
  • Capacidad de descargar m谩s herramientas dentro del sistema

Es la etapa previa a que comience cualquier actividad visible para un SOC.

**¿Por qu茅 es importante para un analista SOC?

Aunque estas fases anteriores no generan alertas directas en un SIEM, comprenderlas permite:

  • Anticipar la actividad del atacante.
  • Interpretar mejor artefactos e IOCs durante una investigaci贸n.
  • Entender el origen de ciertos comportamientos sospechosos.
  • Contextualizar adecuadamente un incidente real.

馃搶 Pr贸ximos pasos

Continuar茅 con las siguientes fases: Deliver, Exploit, Install, Command & Control (C2) y Action. Ir茅 documentando el progreso conforme avance el m贸dulo.

Puedes seguir todo el proceso en: