¿Qué es DeTT&CT y para qué sirve?

DeTT&CT (Detect Tactics, Techniques & Combat Threats) es un framework open source que permite documentar, puntuar y visualizar la cobertura de detecciones y visibilidad de data sources sobre la matriz MITRE ATT&CK. Genera heatmaps en ATT&CK Navigator que muestran dónde tienes detecciones efectivas y dónde hay gaps críticos.

¿Cómo se prioriza qué técnicas ATT&CK detectar primero?

Se cruzan tres factores: la frecuencia con la que los threat actors relevantes para tu sector usan esa técnica, la calidad de los data sources que ya tienes para detectarla, y el impacto potencial si esa técnica se ejecuta sin detección. Las técnicas con alta frecuencia de uso, buena visibilidad de datos y alto impacto se priorizan primero.

¿Cuál es la diferencia entre visibilidad y detección en DeTT&CT?

La visibilidad mide si tienes los data sources necesarios para observar una técnica (logs de proceso, tráfico de red, registros de autenticación). La detección mide si tienes reglas activas que generan alertas cuando esa técnica se ejecuta. Puedes tener visibilidad alta pero detección baja si recoges los logs pero no has escrito reglas para analizarlos.

IntermedioDeTT&CTATT&CKcoberturagap analysisDetection Engineering

Cobertura ATT&CK: DeTT&CT, Gap Analysis y Priorización de Detecciones

Cómo medir la cobertura de detecciones sobre MITRE ATT&CK con DeTT&CT, ejecutar gap analysis sistemático, priorizar técnicas por riesgo real y construir un roadmap de cobertura alineado con threat intelligence.

MalwareIntel Research·5 de junio de 2026·12 min lectura

Serie: Detection Engineering — Parte 11

El problema: no sabes lo que no detectas

La mayoría de equipos SOC opera con una certeza falsa. Tienen cientos de reglas en el SIEM, decenas de alertas del EDR y feeds de inteligencia actualizados. Pero cuando alguien pregunta "¿qué porcentaje de las técnicas que usa APT29 podemos detectar?", la respuesta suele ser silencio.

El problema no es falta de herramientas. Es falta de medición. Sin un inventario estructurado de qué técnicas ATT&CK cubren tus detecciones actuales, no puedes saber dónde están los gaps. Y sin saber dónde están los gaps, las decisiones sobre qué detecciones construir se basan en intuición, en el último incidente o en lo que el vendor del mes promociona.

MITRE ATT&CK define más de 200 técnicas y 600 subtécnicas. Ningún equipo tiene cobertura completa. La clave no es cubrir todo, sino cubrir lo que importa para las amenazas reales contra tu organización.

ATT&CK Navigator: la base visual

ATT&CK Navigator es la herramienta oficial de MITRE para visualizar la matriz como un heatmap interactivo. Cada celda representa una técnica, y puedes asignar colores y puntuaciones para representar distintas dimensiones.

Lo que Navigator hace bien:

Capas (layers): ficheros JSON que representan una vista de la matriz con scores, colores y comentarios por técnica.
Superposición: puedes cargar múltiples capas y combinarlas. Una capa de "detecciones actuales" superpuesta con una capa de "técnicas del adversario" muestra los gaps de forma visual e inmediata.
Export: genera SVG, PNG o JSON para compartir con equipos y dirección.

Lo que Navigator no hace:

No gestiona data sources ni visibilidad de logs.
No tiene concepto de calidad de detección (una regla que dispara 90% de falsos positivos y una regla afinada durante meses se ven igual).
No conecta con threat intelligence de forma estructurada.

Navigator es el lienzo. Necesitas un framework que lo alimente con datos reales de tu entorno. Ahí entra DeTT&CT.

DeTT&CT: el framework de cobertura

DeTT&CT (Detect Tactics, Techniques & Combat Threats) es un framework open source creado por Marcus Bakker que estructura la medición de cobertura ATT&CK en tres dimensiones: data sources, detección y visibilidad.

Arquitectura del framework

DeTT&CT trabaja con ficheros YAML que documentan el estado de tu entorno. Genera capas JSON para ATT&CK Navigator como output visual. El flujo es:

Documentar data sources: qué fuentes de telemetría tienes activas (Sysmon, EDR, proxy logs, DNS, autenticación).
Mapear visibilidad: qué técnicas ATT&CK puedes observar con esos data sources.
Puntuar detecciones: qué técnicas tienes cubiertas con reglas activas y con qué calidad.
Modelar amenazas: qué grupos de threat actors son relevantes para tu organización.
Generar heatmaps: cruzar todo lo anterior en capas de Navigator.

Data sources: el fundamento

El primer paso con DeTT&CT es inventariar tus data sources. Cada fuente se documenta en un fichero YAML con estos campos:

data_sources:
  - data_source_name: Process Creation
    date_registered: 2026-01-15
    date_connected: 2026-01-20
    available_for_data_analytics: true
    products:
      - Sysmon (Event ID 1)
      - CrowdStrike Falcon
    data_quality:
      device_completeness: 4   # 0-5: ¿en cuántos endpoints?
      data_field_completeness: 5  # 0-5: ¿todos los campos relevantes?
      timeliness: 4             # 0-5: ¿latencia aceptable?
      consistency: 5            # 0-5: ¿formato estable?
      retention: 3              # 0-5: ¿cuánto tiempo guardas?

La puntuación de calidad del data source (0 a 5 en cinco dimensiones) es lo que diferencia a DeTT&CT de un simple checklist. No basta con "tengo logs de proceso". La pregunta es: ¿los tengo en todos los endpoints? ¿Con todos los campos? ¿Con retención suficiente para investigar?

Scoring de visibilidad

Con los data sources documentados, DeTT&CT calcula la visibilidad por técnica. Cada técnica ATT&CK tiene data sources asociados (definidos por MITRE). Si tienes Process Creation con calidad 4/5, las técnicas que dependen de ese data source heredan esa puntuación.

La escala de visibilidad va de 0 a 4:

Score	Significado
0	Sin visibilidad. No tienes el data source.
1	Mínima. Tienes el data source pero con calidad baja o parcial.
2	Media. Data source disponible pero no en todos los sistemas o con gaps de campos.
3	Buena. Data source completo en la mayoría de sistemas con calidad aceptable.
4	Excelente. Cobertura total con calidad alta en todas las dimensiones.

Scoring de detección

Independiente de la visibilidad, DeTT&CT puntúa las detecciones activas. Una técnica puede tener visibilidad 4 (recoges todos los logs) pero detección 0 (no has escrito reglas).

La escala de detección:

Score	Significado
0	Sin detección. No hay regla para esta técnica.
1	Básica. Regla genérica con alta tasa de falsos positivos.
2	Aceptable. Regla funcional con tuning parcial.
3	Buena. Regla testeada, con bajo FP y documentación.
4	Excelente. Regla validada con emulación, tuning continuo y métricas.
5	Referencia. Detección multi-source, correlación, validada por red team.

Cada detección se documenta con metadatos:

techniques:
  - technique_id: T1059.001
    technique_name: PowerShell
    detection:
      - applicable_to: all
        location: Splunk
        score_logbook:
          - date: 2026-03-10
            score: 3
            comment: >
              Regla Sigma detecta encoded commands,
              download cradles y bypass patterns.
              Testeada con Atomic Red Team T1059.001.
              FP rate: 2% tras tuning con whitelist.

El score_logbook es clave: mantiene un historial de cómo ha evolucionado la calidad de la detección. Una detección que empezó en score 1 y llegó a 3 tras tres rondas de tuning cuenta una historia diferente a una que siempre fue 1.

Gap analysis: encontrar los huecos

Con visibilidad y detección documentadas, el gap analysis se ejecuta cruzando tres capas en Navigator:

Capa de amenazas: técnicas usadas por los threat actors relevantes para tu sector. DeTT&CT puede importar datos de threat actors directamente desde ATT&CK STIX/TAXII.
Capa de visibilidad: lo que puedes observar con tus data sources actuales.
Capa de detección: lo que detectas activamente con reglas.

Cómo ejecutar el cruce

DeTT&CT genera la superposición automáticamente. El resultado es un heatmap donde cada técnica muestra uno de estos estados:

Rojo: el adversario la usa, no tienes visibilidad ni detección. Gap crítico.
Naranja: el adversario la usa, tienes visibilidad parcial pero sin detección. Gap alto.
Amarillo: el adversario la usa, tienes detección básica (score 1-2). Necesita mejora.
Verde: el adversario la usa y la detectas bien (score 3+). Cubierta.
Gris: el adversario no la usa. Prioridad baja (pero no ignorar si otros adversarios relevantes la usan).

Ejemplo práctico: gap analysis contra Lazarus Group

Supongamos que tu organización opera en el sector financiero y Lazarus Group (G0032) es un threat actor relevante. MITRE documenta que Lazarus usa, entre otras:

T1566.001 (Spearphishing Attachment)
T1055.012 (Process Hollowing)
T1059.001 (PowerShell)
T1071.001 (Web Protocols para C2)
T1486 (Data Encrypted for Impact)
T1003.001 (LSASS Memory)
T1574.002 (DLL Side-Loading)

Tras ejecutar el gap analysis con DeTT&CT:

Técnica	Visibilidad	Detección	Gap
T1566.001	4 (email gateway logs)	3 (regla en email + sandbox)	Cubierta
T1055.012	3 (Sysmon + EDR)	1 (regla genérica, muchos FP)	Mejorar
T1059.001	4 (ScriptBlock logging)	3 (Sigma rules tuneadas)	Cubierta
T1071.001	2 (proxy logs parcial)	0 (sin regla de C2 beacon)	Crítico
T1486	3 (file system audit)	2 (regla de volume shadow delete)	Mejorar
T1003.001	4 (Sysmon + credential guard)	3 (regla LSASS access)	Cubierta
T1574.002	1 (sin module load logging)	0 (sin regla)	Crítico

Los gaps críticos son T1071.001 y T1574.002. Ahí es donde debes invertir primero.

Framework de priorización

No todos los gaps merecen la misma urgencia. Un framework de priorización cruza tres variables para generar una puntuación:

1. Frecuencia de uso por adversarios relevantes

Consulta el informe de Red Canary (Threat Detection Report), los datos de MITRE ATT&CK Evaluations y tu propia threat intelligence. Las técnicas que aparecen en múltiples grupos relevantes para tu sector tienen prioridad.

2. Factibilidad de detección

Algunas técnicas son detectables con data sources comunes (Process Creation, Network Connection). Otras requieren telemetría especializada (firmware monitoring, UEFI inspection). Prioriza las que puedes detectar con lo que ya tienes o con inversión mínima.

3. Impacto sin detección

¿Qué pasa si esta técnica se ejecuta sin que la detectes? T1486 (ransomware) tiene un impacto catastrófico. T1082 (System Information Discovery) tiene impacto bajo por sí sola. El impacto modifica la prioridad incluso si la frecuencia es menor.

Fórmula de priorización

Prioridad = (Frecuencia × 0.4) + (Factibilidad × 0.35) + (Impacto × 0.25)

Cada variable se puntúa de 1 a 5. El resultado es un score de 1 a 5 que ordena la cola de trabajo del Detection Engineering.

Las 10 técnicas que deberías detectar primero

Basado en datos de Red Canary 2025, MITRE ATT&CK Evaluations y frecuencia en campañas reales, estas son las técnicas con mayor retorno de inversión en detección:

T1059.001 (PowerShell): presente en el 40%+ de intrusiones. ScriptBlock logging + Sigma rules cubren el 80% de los casos.
T1053.005 (Scheduled Task): persistencia universal. Event ID 4698 + Sysmon Event ID 1.
T1055 (Process Injection): técnica core de la mayoría de implants. Sysmon Event ID 8, 10 + EDR.
T1003.001 (LSASS Memory): credential access directo. Sysmon Event ID 10 + Credential Guard alerts.
T1021.001 (RDP): movimiento lateral omnipresente. Event ID 4624 Type 10 + network logs.
T1071.001 (Web Protocols C2): beaconing sobre HTTPS. Proxy logs + análisis de frecuencia y JA3.
T1566.001 (Spearphishing Attachment): initial access dominante. Email gateway + sandbox detonation.
T1027 (Obfuscated Files): evasión básica. YARA rules + entropy analysis + ScriptBlock logging.
T1547.001 (Registry Run Keys): persistencia clásica. Sysmon Event ID 12, 13 + EDR.
T1486 (Data Encrypted for Impact): ransomware. Volume shadow delete + mass file modification alerts.

Construir un roadmap de cobertura

Un roadmap de cobertura traduce el gap analysis en un plan de trabajo trimestral. La estructura:

Q1: Fundamentos (data sources + top 10)

Auditar y documentar todos los data sources activos con DeTT&CT.
Asegurar calidad >= 3 en Process Creation, Network Connection, Authentication, File Creation.
Escribir o mejorar detecciones para las 10 técnicas prioritarias.
Establecer métricas base: cobertura inicial, FP rate por regla, MTTD.

Q2: Expansión por threat actor

Seleccionar 3 threat actors relevantes para el sector.
Ejecutar gap analysis completo con DeTT&CT.
Cerrar gaps críticos (rojo) y altos (naranja).
Validar con Atomic Red Team o CALDERA.

Q3: Profundización y subtécnicas

Bajar de nivel: de técnicas a subtécnicas.
Implementar detecciones multi-source (correlación de 2+ data sources).
Automatizar testing continuo con Atomic Red Team + CI/CD.
Reducir score 1-2 a score 3+ en todas las detecciones activas.

Q4: Revisión y consolidación

Deprecar reglas con FP > 15% que no se han podido afinar.
Re-ejecutar gap analysis con threat intelligence actualizada.
Documentar lecciones aprendidas y actualizar el roadmap para el año siguiente.

Integración con Threat Intelligence

DeTT&CT se alimenta de threat intelligence para que el gap analysis refleje amenazas reales, no teóricas. Las integraciones clave:

Desde MITRE ATT&CK

DeTT&CT importa los datos de grupos de amenaza directamente desde el feed STIX/TAXII de MITRE. Cada grupo tiene un perfil de técnicas documentado que se convierte automáticamente en una capa de amenaza.

Desde plataformas CTI

Si usas MISP, OpenCTI o una plataforma CTI interna, puedes exportar los mappings ATT&CK de tus informes y convertirlos en capas de Navigator. El flujo:

Analistas CTI mapean técnicas en cada informe de amenazas.
Se exportan los mappings agregados (últimos 12 meses).
DeTT&CT los importa como capa de amenaza personalizada.
El gap analysis refleja lo que ves en tu propio entorno, no solo lo que MITRE documenta.

Desde incidentes propios

Cada incidente investigado genera un mapping ATT&CK. Estos mappings alimentan una capa de "técnicas observadas en nuestro entorno" que tiene más peso que la inteligencia externa. Si has visto T1574.002 en un incidente real, esa técnica sube automáticamente de prioridad en tu roadmap.

Reporting a dirección

Los heatmaps de Navigator son efectivos para equipos técnicos, pero la dirección necesita métricas ejecutivas. Los KPIs que DeTT&CT permite extraer:

Cobertura global: porcentaje de técnicas del adversario relevante con detección >= 3. Ejemplo: "Cubrimos el 68% de las técnicas de Lazarus Group con detección buena o superior."

Gap trend: evolución trimestral de gaps críticos. "En Q1 teníamos 12 gaps críticos contra nuestros 3 threat actors principales. En Q2, quedan 4."

Inversión requerida: los gaps que requieren nuevos data sources (comprar telemetría) vs. los que solo requieren escribir reglas (inversión en tiempo de ingeniería).

Riesgo residual: técnicas que no puedes detectar con tu stack actual y que requieren controles compensatorios (segmentación de red, MFA, hardening).

Un informe trimestral de cobertura para el CISO debería incluir estos cuatro KPIs con tendencia y plan de acción concreto para el trimestre siguiente.

Recursos y referencias

Herramientas

DeTT&CT: github.com/rabobank-cdc/DeTTECT. Framework principal.
ATT&CK Navigator: mitre-attack.github.io/attack-navigator. Visualización de capas.
ATT&CK Workbench: para personalizar la matriz con técnicas internas.
Atomic Red Team: validación de detecciones por técnica individual.
CALDERA: emulación de adversario completa para validar cobertura end-to-end.

Informes de referencia

Red Canary Threat Detection Report (anual): frecuencia real de técnicas observadas en miles de endpoints.
MITRE ATT&CK Evaluations: rendimiento de productos de seguridad contra emulaciones de threat actors específicos.
MITRE Top ATT&CK Techniques: metodología oficial para priorizar técnicas.

Lecturas recomendadas

Marcus Bakker, "Mapping your Blue Team to ATT&CK" (presentación original de DeTT&CT).
Palantir, "Alerting and Detection Strategy Framework" (el paper que formalizó Detection Engineering).
Florian Roth, "How to Build Sigma Rules" (para implementar detecciones una vez priorizadas).

DeTT&CT no es una herramienta que configuras una vez y olvidas. Es un proceso continuo que conecta threat intelligence con la realidad operativa de tu SOC. Cada trimestre, la inteligencia cambia, tus data sources evolucionan y tus detecciones maduran. El framework te da la estructura para que esa evolución sea medible en lugar de anecdótica.