🔍 Análisis técnico y defensa

Proyectos orientados al análisis de eventos, detección de actividad sospechosa, investigación técnica y respuesta defensiva ante incidentes en entornos de laboratorio y escenarios simulados.

⬅ Volver al portfolio · Análisis, detección y respuesta

Esta sección reúne trabajos enfocados en observar, detectar, interpretar y responder ante comportamientos anómalos o incidentes de seguridad desde un enfoque defensivo.

El valor de estos proyectos está en demostrar capacidad de análisis, criterio técnico, priorización, trazabilidad y documentación útil: competencias muy relevantes para puestos de Security Analyst, SOC junior, Blue Team, IT Security o respuesta a incidentes.

Análisis de logs y correlación de eventos Windows Linux Event Viewer Syslog

Revisión de registros en Windows y Linux para identificar actividad sospechosa, accesos anómalos, errores relevantes, intentos de intrusión y eventos que puedan tener valor para la investigación técnica.

Objetivo

Aprender a extraer señales útiles de grandes volúmenes de eventos y construir hipótesis razonables a partir de evidencias técnicas.

Qué se trabaja

Event Viewer, syslog, autenticación, errores críticos, logs de seguridad, trazas de actividad administrativa, correlación básica y lectura contextual de eventos.

Evidencias / entregables

Informe de análisis, timeline resumida, eventos relevantes, interpretación del hallazgo y posibles medidas de contención o revisión adicional.

Valor en entrevista

Muy potente para explicar pensamiento analítico, lectura de evidencias y capacidad para separar ruido de señales relevantes.

Muy útil para entrevistas: prepara cómo explicarías qué eventos mirarías primero si sospecharas de un acceso no autorizado o de una ejecución anómala.
Detección con IDS / IPS Snort Suricata Reglas Alertas

Implementación y ajuste de reglas en sistemas IDS/IPS para detectar tráfico anómalo, patrones de ataque y comportamientos que requieran análisis adicional o respuesta.

Objetivo

Comprender cómo traducir comportamientos sospechosos de red en reglas de detección útiles y cómo ajustar señales para reducir falsos positivos.

Qué se trabaja

Reglas Snort/Suricata, firmas, patrones de tráfico, tuning básico, validación de alertas, ruido frente a detección útil y revisión de tráfico sospechoso.

Evidencias / entregables

Guía de configuración, reglas de ejemplo, capturas de alertas, notas de ajuste y explicación de por qué una regla aporta valor defensivo.

Valor en entrevista

Refuerza tu perfil defensivo y te permite explicar conceptos muy útiles como tuning, falsos positivos y priorización de alertas.

Muy útil para entrevistas: queda muy bien explicar por qué una alerta por sí sola no basta y cómo validarías si se trata de un falso positivo o de una señal real.
Simulación de incidente y respuesta Blue Team Incident Response Contención Playbooks

Laboratorios donde se simula un ataque o evento sospechoso y se documentan las fases de detección, análisis, contención, erradicación, recuperación y lecciones aprendidas.

Objetivo

Practicar una respuesta ordenada y razonada ante incidentes, entendiendo no solo qué ha pasado, sino qué hacer, en qué orden y con qué evidencias.

Qué se trabaja

Clasificación inicial, triage, validación del incidente, contención, erradicación, recuperación, comunicación interna y aprendizaje posterior.

Evidencias / entregables

Informe de simulación, timeline de actuación, decisiones tomadas, impacto estimado, playbook y puntos de mejora detectados.

Valor en entrevista

Este bloque te ayuda mucho a demostrar criterio, orden, calma y enfoque práctico, que son cualidades muy valoradas en respuesta a incidentes.

Muy útil para entrevistas: este apartado es ideal para explicar cómo priorizarías entre investigar, contener y recuperar, y por qué el orden importa.
Monitorización y casos de uso en SIEM SIEM Alertas Dashboards Use Cases

Creación de casos de uso, reglas de correlación, dashboards y alertas para centralizar eventos y mejorar la visibilidad sobre comportamientos anómalos en un entorno monitorizado.

Objetivo

Diseñar una monitorización que no solo recoja eventos, sino que ayude de verdad a detectar actividad relevante y a priorizar revisión.

Qué se trabaja

Casos de uso, reglas de correlación, dashboards, severidad, fuentes de datos, alertas accionables y seguimiento de señales relevantes.

Evidencias / entregables

Caso práctico, capturas de dashboards, reglas de alerta, descripción de lógica de detección y criterios de priorización.

Valor en entrevista

Muy interesante para demostrar que entiendes la diferencia entre “tener logs” y “tener detección útil”, algo muy importante en entornos reales.

Muy útil para entrevistas: si explicas bien tus casos de uso, esta sección puede ser de las más potentes del portfolio.
Análisis de phishing y revisión de evidencias Email Security Headers URLs Triage

Revisión de correos sospechosos, cabeceras, enlaces, adjuntos y señales de suplantación para clasificar el riesgo, documentar el análisis y proponer acciones de contención.

Objetivo

Aprender a analizar correos sospechosos con criterio técnico y a separar campañas reales, ruido, errores de configuración y falsos positivos.

Qué se trabaja

Headers, remitentes, SPF/DKIM/DMARC a nivel interpretativo, URLs, adjuntos, indicadores de phishing y documentación del triage inicial.

Evidencias / entregables

Informe de análisis, cabeceras revisadas, URLs extraídas, clasificación del correo, recomendaciones y decisión de escalado o cierre.

Valor en entrevista

Esta parte encaja muy bien con tu experiencia real y demuestra capacidad de análisis aplicada a un caso frecuente y muy reconocible en empresas.

Muy útil para entrevistas: este apartado conecta muy bien con experiencia real y te permite enseñar análisis técnico sin necesidad de irte a escenarios demasiado complejos.