Detection Engineering: De IOCs a Detecciones Accionables

Sobre esta serie

Detection Engineering es la disciplina que transforma inteligencia de amenazas en detecciones que funcionan en entornos reales. No basta con tener IOCs: necesitas reglas Sigma que disparen en tu SIEM, reglas YARA que detecten variantes en tu EDR, y un pipeline que valide que tus detecciones realmente funcionan.

Para quién es

• Analistas SOC que quieren ir más allá del triaje de alertas genéricas
• Detection Engineers que construyen y mantienen reglas de detección
• Threat Hunters que necesitan convertir hipótesis en detecciones persistentes
• Equipos CTI que quieren operacionalizar su inteligencia

Estructura

Bloque 1: Fundamentos (artículos 1-3) Qué es Detection Engineering, por qué importa, y el pipeline completo de detección.

Bloque 2: Sigma Rules (artículos 4-7) Sintaxis, estructura, backends, y casos prácticos por familia de malware.

Bloque 3: YARA Rules (artículos 8-11) Anatomía de una regla, patrones, módulos avanzados, y hunting con YARA.

Bloque 4: Operacionalización (artículos 12-15) Testing con Atomic Red Team, métricas de cobertura, CI/CD para detecciones, y Detection-as-Code.

Formato de cada artículo

1. Concepto explicado con contexto de amenaza real
2. Sintaxis y estructura con ejemplos ejecutables
3. Casos prácticos contra familias de malware reales
4. Reglas descargables y testeadas
5. Mapeo a MITRE ATT&CK

Nivel

La serie empieza en nivel intermedio y progresa a avanzado. Se asume conocimiento básico de SIEM, logs y ATT&CK.