← CrowdStrike Glosario Modulos Quiz Flashcards Simulador Examen Escenarios Shield

CrowdStrike Falcon Administrator

Glosario de Ciberseguridad - Curso de Certificacion

No se encontraron resultados

Intenta con otro termino de busqueda

Ver modulos del curso Ir a Modulos ▶

Consulta el resumen, vocabulario y progreso de cada modulo en la pagina de Modulos.

Concepto clave del curso

CrowdStrike se diferencia por enfocarse en IOAs (Indicators of Attack) en lugar de solo IOCs (Indicators of Compromise). Esto significa que detecta ataques por su comportamiento en tiempo real, no solo comparando con firmas conocidas. Este concepto aparece constantemente en todos los modulos.

Usa las pestanas de arriba o el buscador para explorar los terminos

Amenazas y Ataques

Malware
Software malicioso
Cualquier programa disenado para hacer dano: virus, troyanos, ransomware, spyware, etc. Es el termino paraguas para todo lo "malo".
Basico
Ransomware
Secuestro de datos
Cifra tus archivos y pide un rescate (generalmente en criptomonedas) para devolvertelos. Es una de las amenazas mas comunes y daninas actualmente. Grupos como WIZARD SPIDER son conocidos por esto.
Muy importante
Phishing
Suplantacion / Pesca
Correos o webs falsas que imitan ser legitimas para robarte credenciales o datos. Es el vector de ataque mas comun. El "spear phishing" es phishing dirigido a una persona concreta.
Basico
Exploit
Explotacion
Codigo o tecnica que aprovecha una vulnerabilidad conocida en un software para ejecutar acciones no autorizadas.
Basico
Zero-day
Dia cero
Vulnerabilidad que nadie conocia hasta ahora. No tiene parche todavia. Es la mas peligrosa porque no hay defensa preparada. Se llama "dia cero" porque los defensores han tenido cero dias para prepararse.
Muy importante
Lateral Movement
Movimiento lateral
Cuando un atacante ya entro a un equipo y se mueve a otros dentro de la red. Usa credenciales robadas, vulnerabilidades de red, etc. CrowdStrike es muy bueno detectando esto.
Clave en CrowdStrike
Privilege Escalation
Escalada de privilegios
El atacante consigue permisos de administrador partiendo de un usuario normal. Es un paso critico en casi todos los ataques avanzados.
Basico
Brute Force
Fuerza bruta
Probar miles de combinaciones de contrasenas hasta dar con la correcta. Herramientas como Hydra automatizan esto.
Basico
Social Engineering
Ingenieria social
Manipular a personas (no maquinas) para que revelen informacion o hagan algo peligroso. El phishing es un tipo de ingenieria social.
Basico
Supply Chain Attack
Ataque a la cadena de suministro
Atacar un proveedor de software para infectar a todos sus clientes de golpe. Ejemplo famoso: el ataque a SolarWinds en 2020.
Muy importante
Fileless Attack
Ataque sin archivos
Ataque que no deja archivos en disco, se ejecuta directamente en memoria. Los antivirus clasicos no lo detectan. CrowdStrike si, gracias a su enfoque en IOAs (comportamiento).
Clave en CrowdStrike

Indicadores y Deteccion

IOC vs IOA - La diferencia clave

IOC = "Ya me robaron" (miras las huellas que dejo el ladron). IOA = "Me estan robando ahora" (ves al ladron en accion). CrowdStrike apuesta por IOA porque detecta ataques nuevos que no tienen IOCs conocidos.

IOC - Indicator of Compromise
Indicador de compromiso
Evidencia de que ya ocurrio un ataque: un hash de archivo malicioso, una IP sospechosa, un dominio conocido como malicioso. Es reactivo (mira el pasado). Como las huellas que deja un ladron despues de robar.
Muy importante
IOA - Indicator of Attack
Indicador de ataque
Patron de comportamiento que indica que un ataque esta ocurriendo AHORA, sin importar que herramienta use el atacante. Es proactivo (mira el presente). CrowdStrike se enfoca mucho en IOAs.
Clave en CrowdStrike
TTP - Tactics, Techniques, Procedures
Tacticas, Tecnicas y Procedimientos
La forma en que un atacante opera. Tactica = el "que" quiere lograr. Tecnica = el "como" lo hace. Procedimiento = los pasos concretos. MITRE ATT&CK los cataloga todos.
Muy importante
MITRE ATT&CK
Framework MITRE ATT&CK
Base de datos publica que clasifica TODAS las tecnicas conocidas de ataque. CrowdStrike mapea sus detecciones a este framework. Es el "diccionario universal" de ciberataques.
Clave en CrowdStrike
Threat Intelligence
Inteligencia de amenazas
Informacion recopilada sobre atacantes: quienes son, que buscan, como operan. CrowdStrike tiene un equipo dedicado y es lider en esto.
Clave en CrowdStrike
Threat Actor
Actor de amenaza
Grupo o individuo que realiza ciberataques. CrowdStrike les pone nombres de animales segun su pais de origen (BEAR = Rusia, PANDA = China, etc.).
Clave en CrowdStrike
False Positive
Falso positivo
Alerta que dice que algo es malicioso cuando en realidad es legitimo. Hay que minimizarlos para no perder tiempo investigando cosas que no son amenazas reales.
Basico
True Positive
Verdadero positivo
Alerta correcta: realmente habia algo malicioso. Es lo que quieres que tus herramientas detecten.
Basico

Herramientas y Tecnologias de Seguridad

EDR
Endpoint Detection & Response Deteccion y respuesta en endpoints
Software que monitoriza lo que pasa en cada equipo, detecta amenazas y permite responder. CrowdStrike Falcon ES un EDR (y mucho mas).
CrowdStrike es esto
XDR
Extended Detection & Response Deteccion y respuesta extendida
Como EDR pero ampliado: no solo mira endpoints sino tambien red, cloud, email, identidad... todo junto y correlacionado.
Basico
SIEM
Security Information & Event Management Gestion de eventos de seguridad
Herramienta que recopila logs de muchas fuentes y los correlaciona para detectar amenazas. Ejemplos: Splunk, QRadar, Microsoft Sentinel.
Basico
SOAR
Security Orchestration, Automation & Response Orquestacion y automatizacion
Herramienta que automatiza respuestas ante incidentes. Ej: si detecta malware, automaticamente aisla el equipo. CrowdStrike tiene Falcon Fusion SOAR.
Clave en CrowdStrike
Firewall
Cortafuegos
Filtra el trafico de red, permite o bloquea conexiones segun reglas definidas. Puede ser de red (hardware) o de host (software en el equipo).
Basico
Antivirus (AV)
Antivirus clasico
Software clasico que detecta malware comparando con una base de datos de firmas conocidas. Es mas limitado que un EDR porque solo detecta lo que ya conoce.
Basico
NGAV
Next-Gen Antivirus Antivirus de nueva generacion
Antivirus moderno que usa machine learning y analisis de comportamiento, no solo firmas. Detecta amenazas desconocidas. CrowdStrike Falcon Prevent es un NGAV.
CrowdStrike incluye esto
Sandbox
Caja de arena
Entorno aislado donde se ejecuta un archivo sospechoso para ver que hace sin riesgo para el sistema real. CrowdStrike tiene Falcon Sandbox.
Basico
DLP
Data Loss Prevention Prevencion de perdida de datos
Herramientas que evitan que datos sensibles salgan de la organizacion por email, USB, cloud, etc.
Basico

Conceptos Generales

Endpoint
Punto final / Equipo
Cualquier dispositivo que se conecta a la red: PC, portatil, servidor, movil. Es lo que CrowdStrike protege. Cada endpoint tiene un sensor instalado.
Concepto fundamental
Cloud-native
Nativo en la nube
Disenado para funcionar en la nube desde el principio (no adaptado despues). CrowdStrike Falcon es cloud-native, no necesitas servidores propios.
Clave en CrowdStrike
On-premises
En local / En las instalaciones
Software que se instala en tus propios servidores, no en la nube. CrowdStrike NO es on-premises (es cloud).
Basico
Vulnerability
Vulnerabilidad
Debilidad en un sistema que un atacante podria aprovechar. Se clasifican con puntuacion CVSS (0-10, siendo 10 la mas critica).
Basico
Patch
Parche
Actualizacion que corrige una vulnerabilidad o bug. Aplicar parches a tiempo es una de las defensas mas basicas e importantes.
Basico
Compliance
Cumplimiento normativo
Cumplir con regulaciones de seguridad como GDPR (datos personales en Europa), PCI-DSS (datos de tarjetas), HIPAA (datos medicos), etc.
Basico
Remediation
Remediacion
Las acciones que tomas para solucionar un problema de seguridad: parchear, aislar, eliminar malware, cambiar credenciales, etc.
Basico
Quarantine
Cuarentena
Aislar un archivo sospechoso para que no pueda ejecutarse ni hacer dano. CrowdStrike puede poner archivos en cuarentena automaticamente.
Funcion de CrowdStrike

CrowdStrike Falcon - La Plataforma

CrowdStrike Falcon
La plataforma completa de ciberseguridad de CrowdStrike. Es cloud-native: todo se gestiona desde la nube, el sensor es ligero y no necesita servidores locales.
La plataforma
Falcon Console
La interfaz web donde gestionas todo: ves alertas, configuras politicas, gestionas equipos, investigas incidentes. Es tu panel de control diario como administrador.
Tu herramienta diaria
Falcon Sensor
El agente ligero que se instala en cada endpoint (PC, servidor). Recopila datos de todo lo que pasa en el equipo y los envia a la nube de CrowdStrike. No necesita actualizaciones de firmas porque la inteligencia esta en la nube.
Componente fundamental
CID - Customer ID
Tu identificador unico como cliente de CrowdStrike. Lo necesitas para instalar sensores - es como la "llave" que conecta tus equipos con tu cuenta de CrowdStrike.
Necesario para instalar
Falcon Cloud
La infraestructura en la nube de CrowdStrike donde se procesan todos los datos y se ejecuta la IA de deteccion. Tu sensor envia datos aqui.
Infraestructura
Threat Graph
La base de datos masiva de CrowdStrike que correlaciona eventos de TODOS sus clientes en tiempo real. Procesa billones de eventos por semana. Si un ataque se ve en un cliente, todos los demas se protegen automaticamente.
Ventaja competitiva

Modulos de Falcon

Falcon Prevent
Modulo de NGAV (antivirus de nueva generacion). Bloquea malware y ataques conocidos y desconocidos usando machine learning e IOAs. Es la primera linea de defensa.
NGAV
Falcon Insight
Modulo de EDR. Proporciona visibilidad completa de lo que pasa en cada endpoint. Permite investigar y responder a incidentes con detalle: ver procesos, conexiones, archivos modificados, etc.
EDR
Falcon OverWatch
Equipo humano de CrowdStrike que hace threat hunting 24/7. Son analistas expertos que buscan amenazas activamente que las maquinas podrian no detectar. Es un servicio premium.
Servicio humano
Falcon Discover
Modulo de higiene de TI. Te muestra que aplicaciones, cuentas de usuario y activos tienes en tu red. Ayuda a mantener un inventario actualizado y detectar shadow IT.
Visibilidad
Falcon Spotlight
Gestion de vulnerabilidades sin necesidad de escaneos. Usa los datos que el sensor ya recopila para identificar vulnerabilidades en el software instalado. Sin escaneos extra = sin impacto en rendimiento.
Vulnerabilidades
Falcon Fusion (SOAR)
Motor de automatizacion. Permite crear flujos de trabajo automaticos: "si pasa X, haz Y". Ejemplo: si se detecta ransomware, aislar el equipo y notificar al equipo de seguridad automaticamente.
Automatizacion
Falcon Identity Protection
Proteccion de identidades y credenciales. Detecta ataques a Active Directory, uso de credenciales robadas, movimiento lateral basado en identidad, etc.
Identidad
Falcon for Mobile
Proteccion para dispositivos moviles (iOS y Android). Extiende la visibilidad y proteccion de Falcon a smartphones y tablets corporativos.
Movil
Falcon Firewall Management
Gestion del firewall del host (Windows Firewall) desde la consola de Falcon. Permite crear y gestionar reglas de firewall de forma centralizada.
Firewall
Falcon Device Control
Control de dispositivos USB y perifericos. Puedes definir politicas para permitir, bloquear o limitar el uso de USBs, discos externos, etc.
USB

Gestion y Configuracion de Falcon

Host / Endpoint
Un equipo donde esta instalado el sensor de CrowdStrike. Cada host aparece en la consola con su nombre, IP, sistema operativo, ultimo check-in, etc.
Gestion
Host Group
Agrupacion de equipos. Sirve para aplicar diferentes politicas a diferentes grupos. Pueden ser estaticos (anadir equipos manualmente) o dinamicos (se llenan automaticamente segun reglas como SO, dominio, etc.).
Gestion
Prevention Policy
Politica que define que amenazas bloquea automaticamente Falcon y como responde. Puedes tener politicas agresivas para servidores criticos y mas permisivas para equipos de desarrollo.
Configuracion clave
Detection Policy
Politica que define que comportamientos debe detectar y alertar (sin necesariamente bloquear). Controla la sensibilidad de las detecciones.
Configuracion
Response Policy
Politica que define que acciones de respuesta estan disponibles: si se puede aislar un equipo remotamente, si se pueden ejecutar scripts, etc.
Configuracion
Sensor Update Policy
Politica que controla como y cuando se actualizan los sensores en los endpoints. Puedes definir ventanas de mantenimiento, versiones especificas, etc.
Configuracion
Exclusion
Regla para que Falcon ignore ciertos archivos, carpetas o procesos. Se usa cuando hay falsos positivos con software legitimo. Cuidado: no abuses o crearas puntos ciegos.
Configuracion
Network Containment
Aislar un equipo de la red para que no pueda comunicarse con nada excepto con la nube de CrowdStrike. Se usa cuando un equipo esta comprometido. Es como ponerle una burbuja al equipo infectado.
Respuesta a incidentes
Real Time Response (RTR)
Acceso remoto al equipo desde la consola. Permite ejecutar comandos, recopilar archivos, matar procesos, ver registros... Como un SSH/RDP pero a traves de CrowdStrike. Muy potente para investigar incidentes.
Herramienta potente

Alertas y Detecciones en Falcon

Detection
Alerta que Falcon genera cuando detecta actividad sospechosa o maliciosa en un endpoint. Cada deteccion tiene severidad, detalle del proceso, y mapeo a MITRE ATT&CK.
Trabajo diario
Severity
Nivel de gravedad: Informational (info) → Low (baja) → Medium (media) → High (alta) → Critical (critica). Prioriza siempre Critical y High.
Priorizacion
Tactic / Technique
Referencia al framework MITRE ATT&CK dentro de la deteccion. Te dice QUE tipo de ataque se detecto (ej: "Execution" = se ejecuto algo, "Persistence" = intento de persistir).
Investigacion
Process Tree
Vista que muestra la cadena de procesos: que proceso lanzo que otro. Ej: el usuario abrio Word → Word lanzo PowerShell → PowerShell descargo malware. Muy util para investigar.
Investigacion
Detection Status
Estado de la deteccion: New (nueva, sin revisar) → In Progress (investigando) → True/False Positive (confirmada o descartada) → Closed (cerrada).
Flujo de trabajo

Red y Sistemas

IP Address
Direccion IP
Numero que identifica a un dispositivo en la red (ej: 192.168.1.100 para red local, 8.8.8.8 para internet). Cada equipo en Falcon muestra su IP.
Basico
DNS
Domain Name System Sistema de nombres de dominio
Traduce nombres (google.com) a direcciones IP. Los atacantes a menudo usan DNS para comunicarse con sus servidores de comando y control (C2).
Basico
Port
Puerto
Numero que identifica un servicio: 80 = web, 443 = web segura (HTTPS), 22 = SSH, 3389 = RDP (escritorio remoto), 445 = SMB (compartir archivos Windows).
Basico
Active Directory (AD)
Directorio Activo
Sistema de Microsoft que gestiona usuarios, equipos y permisos en una red empresarial. Es el objetivo #1 de los atacantes porque quien controla el AD controla todo.
Muy importante
Domain Controller (DC)
Controlador de dominio
Servidor que gestiona el Active Directory. Si un atacante lo compromete, tiene control total de la red. Protegerlo es prioridad maxima.
Muy importante
Hash
Huella digital
Huella digital unica de un archivo. Si cambias un solo byte, el hash cambia completamente. Se usa para identificar malware. Tipos: MD5, SHA-1, SHA-256. CrowdStrike los usa como IOCs.
Basico
C2 / C&C
Command and Control Comando y control
Servidor del atacante que envia instrucciones al malware instalado en tus equipos. El malware "llama a casa" para recibir ordenes. CrowdStrike detecta estas comunicaciones.
Muy importante
PowerShell
Lenguaje de scripting de Windows. Muy potente y por eso muy usado tanto por administradores como por atacantes. CrowdStrike monitoriza la actividad de PowerShell de cerca.
Monitorizado por CrowdStrike
API
Application Programming Interface
Forma de que dos programas se comuniquen entre si. CrowdStrike tiene APIs para integrarse con SIEM, SOAR, y otras herramientas de seguridad.
Basico
Registry
Registro de Windows
Base de datos de configuracion de Windows. El malware a menudo modifica el registro para persistir (sobrevivir a reinicios). CrowdStrike vigila cambios sospechosos en el registro.
Basico

Threat Actors - Nombres de CrowdStrike

CrowdStrike nombra a los grupos de atacantes con animales segun su pais de origen:

🐻
BEAR
Rusia
Ej: FANCY BEAR, COZY BEAR
🐼
PANDA
China
Ej: WICKED PANDA, GOBLIN PANDA
🐱
KITTEN
Iran
Ej: CHARMING KITTEN
🐎
CHOLLIMA
Corea del Norte
Ej: LABYRINTH CHOLLIMA
🕷️
SPIDER
Cibercrimen (motivacion economica)
Ej: WIZARD SPIDER (Ryuk/Conti)
🐺
JACKAL
Hacktivismo
Motivacion ideologica/politica
🦅
HAWK
Otros paises
Actores de otros origenes
Glosario de estudio para CrowdStrike Falcon Administrator | Se actualiza conforme avanzas en el curso