Blue Team Handbook: la referencia de campo para IR

Sinopsis

Blue Team Handbook: Incident Response Edition (Don Murdoch, 2014, actualizaciones regulares) es un manual de campo compacto para incident response. No es un libro para leer de principio a fin: es una referencia de bolsillo con checklists, comandos, ubicaciones de artefactos y procedimientos para usar durante una investigación real.

Público objetivo

Analistas SOC e IR que necesitan una referencia rápida durante incidentes. El libro que llevas en la mochila cuando respondes a un incidente en cliente.

Lo que encontrarás

Checklists de IR: pasos de respuesta por tipo de incidente (ransomware, compromiso de cuentas, exfiltración, malware). Comandos por SO: comandos Windows y Linux para recolección de artefactos, análisis de procesos, networking, logs. Artefactos forenses: ubicación de cada artefacto relevante en Windows (registry hives, event logs, prefetch, MFT, Amcache) y Linux (auth.log, wtmp, crontab, /proc). Herramientas: referencia rápida de Volatility, KAPE, Sysmon, Wireshark con los comandos más usados.

Puntos fuertes

Formato de referencia. No pierdes tiempo leyendo prosa. Vas directamente al comando o checklist que necesitas. Compacto y práctico. Cabe en una mochila. Diseñado para uso en campo. Actualizado regularmente. Murdoch publica ediciones actualizadas con nuevos artefactos y herramientas.

Puntos débiles

No enseña los fundamentos. Si no sabes qué es un registry hive o cómo funciona Volatility, este libro no te lo va a enseñar. Es referencia, no formación. La profundidad técnica es limitada intencionalmente.

Veredicto

No reemplaza libros como Art of Memory Forensics o PMA. Los complementa como referencia de campo. Todo analista IR debería tener este manual accesible durante investigaciones. Es el libro que consultas a las 3am cuando estás respondiendo a un incidente y no recuerdas el path exacto de un artefacto.