Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
4115
Visitas
0
ÚTIL
0
Comentarios

Doc - Amenazas con Cisco XDR: Estrategias Avanzadas de Threat Hunting

Cisco Moderador
Community Manager
Community Manager

‎04-10-2025 08:17 AM - editado ‎04-10-2025 05:55 PM

Presentación del webinar Community Live

Desenmascarando Amenazas con Cisco XDR: Estrategias Avanzadas de Threat Hunting

Con la colaboración de Nayeli Calva, Uriel Zamora y Uriel Tadeo Montero.

Threat Hunting es la práctica de buscar y mitigar amenazas cibernéticas utilizando plataformas de detección y respuesta extendida. Permite correlacionar datos de múltiples fuentes para identificar actividades maliciosas, mejorando la seguridad al detectar amenazas avanzadas y reducir el tiempo de respuesta.

Descargue la Presentación Ver el Video

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!, 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

Pregunta: ¿Cómo podríamos integrar los eventos de un Fortigate en el XDR? Tengo entendido que con la licencia Advantage o Premier se puede realizar, ¿podría mostrar cómo se realiza la integración? - Iván R. (min.37)

Respuesta (Yeraldin S.M.): Hola Iván, La integración de Fortinet FW existe, pero está limitada únicamente a los componentes de automatización (flujos de trabajo que se pueden importar desde el git Cisco Security_Workflows en la interfaz de usuario de automatización). Se planean integraciones más amplias en el futuro, pero el sitio web en https://www.cisco.com/c/en/us/products/security/xdr/integrations.html#~cisco-xdr-integrations

Pregunta: ¿Cuál es el tiempo que se cuenta para la resolución de un evento de seguridad tomando en cuenta la Cyber Kill Chain? - Jorge Andrés P. (min.37)

Respuesta (Yeraldin S.M.): Hola Jorge, el tiempo va a depender del evento en sí, Cisco XDR aprovecha la analítica avanzada y las integraciones en múltiples capas de seguridad para reducir el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) ante incidentes de seguridad. Su diseño optimiza las operaciones de seguridad al proporcionar capacidades de detección y respuesta ante amenazas más rápidas. Este enfoque se alinea con el marco Cyber Kill Chain, utilizado para comprender y responder eficazmente a las ciberamenazas.

Pregunta: Cuando indica que una credencial fue usada en una actividad que detectó como sospechosa ¿nos indica qué credencial fue usada? - Diana F. (min.47)

Respuesta (TBC.): (en espera)

Pregunta: ¿Cómo calculan el score sobre el incidente para asignar la puntuación - Antonio P. (min.48)

Respuesta (Yeraldin S.M.): Hola, Antonio, se calcula en base a la detección del riesgo y el valor del endpoint

Respuesta (Yeraldin S.M.): Te comparto documentación al respecto para más información https://www.cisco.com/c/en/us/products/collateral/security/xdr/xdr-ds.html

Pregunta: ¿El XDR trabaja de alguna forma con Splunk? ¿o son dos herramientas que trabajan por separado? - Pato J. (min.55) 

Respuesta (Yeraldin S.M.): Hola Pato, sí, trabaja con tres integraciones, CESA Splunk Cloud y Splunk Relay Module. La plataforma Splunk Cloud le permite investigar, monitorear, analizar y actuar sobre sus datos con información sin precedentes, todo desde la nube. La integración de CESA funciona con el complemento técnico CESA Splunk que consulta los registros de fuentes de datos CESA/NVM dentro de Splunk.

Respuesta (Yeraldin S.M.): Relay Module es un complemento técnico de Splunk que consulta los registros de fuentes de datos dentro de Splunk.

Respuesta (Uriel Tadeo M.C.): Hola Pato, Splunk Cloud y XDR pueden integrarse para poder usar la telemetría que obtenemos de Splunk como observaciones para las investigaciones o bien para tareas de automatización, más información puede verse aquí: https://docs.xdr.security.cisco.com/Content/Integrations/splunk-cloud-integration.htm 

Pregunta: El licenciamiento de la cantidad de datos está colectando XDR como funciona - Leidy J.C. (min.67)

Respuesta (Yeraldin S.M.): El licenciamiento se basa en las diferentes funcionalidades que se va a poder hacer uso en XDR, te comparto documentación para darte más detalles al respecto https://www.cisco.com/site/us/en/products/security/xdr/licenses.html 

Pregunta: ¿Cuáles son los elementos iniciales para implementar XDR? - Dago L. (min.68)

Respuesta (Uriel Tadeo M.C.): Hola Dago, realmente se ocupa la licencia, con eso tendrás acceso al portal de XDR y XDR Analytics, si tú ya cuentas con alguno de los productos que se integran con XDR puedes comenzar a realizar las integraciones para empezar a recibir la telemetría de las mismas.

Pregunta: ¿Cómo sería la implementación de CISCO XDR en una institución educativa donde la red tiene equipos de diferentes marcas y cómo implementaríamos la IA/ML en la red de datos para automatizar los incidentes? - Fred H.A. (min.68)

Respuesta (Uriel Tadeo M.C.): Hola Fred, una de las ventajas de XDR es que no depende de las marcas de los equipos, si tú tienes un EDR que puedes integrar con XDR, puedes comenzar a recibir la información de los mismos, no solo eso, también en el panel de Assets podrás visualizar más información de los mismos en tu portal.

Pregunta: ¿XDR se puede integrar con ThousandEyes? - Benjamin L. (min.69)

Respuesta (Uriel Tadeo M.C.): Que tal Benjamin, por el momento no se puede integrar.

Pregunta: ¿XDR tiene una Knowledge Base para ir alimentándola con los hallazgos? - Miguel Angel M. (min.69)

Respuesta (Nayeli C.C.): Hola Miguel Angel, XDR con base a ML/IA se irá nutriendo con la información que se recopila durante la detección, proceso e inclusive conclusión del análisis, de igual forma personalizar la inteligencia de amenazas que hará uso tu organización.

Pregunta: ¿Cuáles son los tipos de licenciamiento y funcionalidades / vigencias disponibles de XDR? - José Alejandro B. (min.69)

Respuesta (Uriel Tadeo M.C.): Hola José, para más información puedes referirte a la siguiente documentación https://www.cisco.com/site/us/en/products/security/xdr/licenses.html y https://www.cisco.com/c/en/us/products/collateral/security/security-cloud/security-suites-aag.html 

Pregunta: ¿Los reportes generados por IA se obtienen graficados, o solo son los datos generales de la información? - Luis G. (min.69)

Respuesta (Uriel Tadeo M.C.): Hola Luis, son datos generales de la información.

Respuesta (Nayeli C.C.): Hola Luis, los reportes son datos generales del incidente, como la línea de tiempo de actividad del incidente, de momento proporcionar información visual como graficas no están incluidas.

Pregunta: ¿Se pueden customizar dichos reportes de IA? - Luis G. (min.70)

Respuesta (Nayeli C.C.): En el sentido de personalizar, claro, sí se puede personalizar el contenido. Esta función es un complemento y puede editarse con base a lo que se desee como objetivo en el reporte dentro de tu organización. Para más información, puedes ingresar aquí: https://docs.xdr.security.cisco.com/Content/Incidents/incident-report.htm?Highlight=reports 

Pregunta: ¿Se requiere una licencia para integrar Secure Endpoint, Secure Client (Module Umbrella) a XDR? - Ricardo H. (min.74)

Respuesta (Uriel Tadeo M.C.): Hola Ricardo, del lado de XDR desde la licencia Essentials puedes integrar con productos Cisco

Pregunta: ¿Qué información se puede obtener a partir de la integración de datos de seguridad de terceros como Crowdstrike o Fortinet en Cisco XDR? - Juan Sebastian V. (min.76)

Respuesta (Nayeli C.C.): Hola Juan, esa es una buena pregunta, y esto depende mucho del producto a integrar, aquí puedes encontrar más detalle de las integraciones y que información se visualizará: https://docs.xdr.security.cisco.com/Content/Administration/cisco-third-party-integrations-and-capabilities.htm 

Pregunta: Entonces si tengo instalado Cisco endpoint ¿lo relaciono con el XDR para gestionar las detecciones y los incidentes? - Leidy J. C. (min.76)

Respuesta (Uriel Tadeo M.C.): Hola Leidy, efectivamente, en unos momentos daremos un demo de esto.

Pregunta: ¿Se integra algún elemento en la parte Legal que garantice un proceso adecuado durante un incidente? ¿Algún tipo de "abogado"? - Rafael Q. (min.77)

Respuesta (Uriel Tadeo M.C.): Hola Rafael, no, eso sería parte del proceso interno de cada organización.

Pregunta: Por favor ¿me comparten el link de grabación de la sesión? - Gonzalo O. (min.78)

Respuesta (Uriel Tadeo M.C.): Que hay Gonzalo, la grabación estará disponible aquí https://community.cisco.com/t5/videos-seguridad/video-amenazas-con-cisco-xdr-estrategias-avanzadas-de-threat/ba-p/5280200 

Pregunta: Según lo que explicaban de las cadenas de ataque aprende automáticamente y la asocia a las nuevas alertas que se generan. Además, ¿existe alguna exclusión? - Leidy J.C. (min.79)

Respuesta (TBC.): (en espera)

Pregunta: ¿Se podría complementar el XDR con ThousandEyes? - Luis G. (min.82)

Respuesta (Uriel Tadeo M.C.): Hola Luis, por el momento no hay una integración entre estos 2 productos.

Pregunta: ¿Cómo se realizan exclusiones? - Leidy J.C. (min.83)

Respuesta (Yeraldin S.M.): Las exclusiones se pueden realizar por medio de un automation workflow donde configuras qué es lo que deseas excluir desde XDR, esto es mediante automate.

Pregunta: ¿Cuánto tiempo le toma al XDR reportar un incidente? ¿Tira o muestra alguna alerta? - Álvaro V. (min.84)

Respuesta (Yeraldin S.M.): Es prácticamente después de que se genera el evento en el producto fuente donde se reportó la alerta si estos están integrados, y puedes hacer configuración un workflow para que este te alerte por correo o por Webex por ejemplo cada que se genere un incidente.

Pregunta: ¿Es posible tener una cadena de afectación a nivel de infraestructura relacionada a un incidente de manera gráfica? - Dago L. (min.84)

Respuesta (Nayeli C.C.): XDR ofrece diversas funcionalidades, entre ellas, reportes, gráficas de ataque que incluyen los bienes comprometidos así como reportes generados por IA, esto con base a los clientes que son desplegados en la consola de XDR, complementado y dando información del impacto de la organización.

Pregunta: ¿Qué diferencia a las cadenas de ataque de Cisco XDR de otras formas de detección de amenazas? - Juan Sebastian V. (min.85)

Respuesta (Yeraldin S.M.): Las Cadenas de Ataque (attack chains) son una nueva capa de detección que se crea mediante la correlación de alertas que podrían formar parte de una amenaza mayor. Esta correlación te ayuda a relacionar diferentes observaciones junto con el marco de Mitre que ayudan a una detección mucho más eficiente.

Pregunta: Buenos días! ¿Desde la Consola nos podemos conectar remoto al equipo que estamos investigando? - Jesús M. (min.86)

Respuesta (Nayeli C.C.): Hola Jesús, no se puede. En este caso, para poder conectarse de manera remota se requiere usar distintas herramientas, las consolas de XDR y XDR-A ofrecen la información que cada equipo ha reflejado con respecto a la actividad en red y procesos.

Pregunta: Para generar workflows ¿se necesita otra licencia? - Leidy J.C. (min.87)

Respuesta (Yeraldin S.M.): Puedes realizar workflows desde una licencia XDR Essentials.

Pregunta: ¿Qué parámetro tiene para generar una alerta? - Leidy J.C. (min.92)

Respuesta (Yeraldin S.M.): Como Uriel Montero lo mencionó, no todas las integraciones van a generar un incidente, pero van a proporcionar información valiosa sobre el observable. Te comparto más información de las integraciones que interfieren con Threat Hunting and Investigation y Dashboard https://docs.xdr.security.cisco.com/Content/Administration/cisco-third-party-integrations-and-capabilities.htm

Pregunta: ¿Cuáles son las mejores prácticas para configurar y optimizar un entorno de Threat Hunting en Cisco XDR? - Juan Sebastian V. (min.94)

Respuesta (Nayeli C.C.): Esto depende de las herramientas usadas de seguridad y lo que ofrecen, ya que estos solicitan requerimientos específicos y buenas prácticas de implementación, sin embargo XDR ofrece una vasta variedad de herramientas sofisticadas como integrar información, configurar/personalizar alertas, automatización, trabajo en equipo, capacitación y revisión continua.

Pregunta: Si integro el módulo de Identity de crowdstrike ¿él asocia los usuarios a alguna detección, digamos de Cisco endpoint o de la red? - Leidy J.C. (min.99)

Respuesta (Nayeli C.C.): Hola, Leidy. Integrar el módulo de identidad de CrowdStrike con Cisco XDR puede mejorar la visibilidad y correlación de eventos relacionados con usuarios. Al hacerlo, las detecciones de amenazas pueden asociarse con identidades de usuarios específicos, lo que facilita la identificación de comportamientos sospechosos vinculados a cuentas de usuario.

Pregunta: Tengo Security Cloud & Umbrella, ¿cómo puedo implementar el XDR? - Michel S. (min.104)

Respuesta (Nayeli C.C.): Hola Michel. En este caso necesitas adquirir la licencia de XDR o una suite de seguridad de Cisco para poder realizar las integraciones que deseas.

Pregunta:¿ Cuáles son los beneficios de usar la inteligencia de amenazas privada sobre la pública en Cisco XDR? - Juan Sebastian V. (min.109)

Respuesta (Yeraldin S.M.): Hola, Juan. Uno de los beneficios es la detección de amenazas sofisticadas: La inteligencia de amenazas privada, como la proporcionada por Cisco Talos, enriquece los incidentes con contexto adicional y perspectivas de activos, lo que permite detectar y responder a amenazas sofisticadas.

Pregunta: La operación de un SOC con el uso de XDR como SIEM se agiliza y se potencia, ¿existe alguna otra herramienta de Cisco que complemente XDR para un SOC? - Miguel Angel M. (min.112)

Respuesta (Nayeli C.C.): Hola Miguel Angel. Sí, Cisco ofrece varias herramientas que pueden complementar Cisco XDR para optimizar la operación de un Centro de Operaciones de Seguridad (SOC). Aquí te menciono algunas que pueden integrarse para mejorar la seguridad y la eficiencia: Cisco Umbrella, Cisco Secure Network Analytics, Secure Endpoint, Secure Firewall, Duo, integrando estas herramientas nos ayudara a potenciar significativamente las capacidades de un SOC.

Respuesta (Yeraldin S.M.): Adicional a mi compañera Nayeli te comparto la documentación con más información sobre nuestros productos https://www.cisco.com/site/us/en/products/security/index.html 

Pregunta: Tengo otra consulta que me gustaría aclarar. Actualmente, contamos con un antivirus instalado en todos nuestros endpoints finales. ¿Es necesario desinstalarlo para poder instalar el agente Cisco XDR, o es posible que ambos coexistan en el mismo equipo? Además, me gustaría saber si la instalación del agente podría causar alguna lentitud en los equipos. Agradezco de antemano tu ayuda y orientación. - Fred H.A. (min.120)

Respuesta (TBC.): (en espera)

Pregunta: Se pueden configurar notificaciones por correo por alertas o incidentes que se generan en el XDR? - Marcos P.M. (min.124)

Respuesta (Uriel Tadeo M.C.): Hola Marcos, sí. Al igual que puedes tener un workflow para notificarte de un incidente por Webex, puedes generar uno para alertarte por correo, en el Webinar de Automate damos un poco más de información del mismo.

Pregunta: ¿Cómo puedo conseguir una demo de Cisco XDR? - Freddy M.B. (min.126)

Respuesta (TBC.): (en espera)

Pregunta: ¿Es necesario licencias a todos los usuarios de la organización? - Víctor B. (min.127)

Respuesta (Uriel Tadeo M.C.): Hola Víctor. La licencia se aplica a la organización, lo que varía es el rol de cada usuario, mismo que le asignan los administradores.

Pregunta PQ#1: Colecta y obtiene telemetría de múltiples herramientas de seguridad con el propósito de detectar amenazas y responder a estas​

Opciones de respuesta: a) XDR-A b) XDR c) Cisco Secure Endpoint // Respuesta Correcta: b) XDR

Pregunta PQ#2: ¿En qué sección de Cisco XDR podemos profundizar en la detección y respuesta durante el proceso de threat hunting?​

Opciones de respuesta: a) Automate b) Incidents c) Administration // Respuesta Correcta: b) Incidents

Pregunta PQ#3: Es una técnica de ciberseguridad que busca amenazas avanzadas en redes, sistemas y dispositivos, con ayuda de herramientas automatizadas de seguridad y telemetría.​

Opciones de respuesta: a) Threat Hunting b) Aislar dispositivos c) Formatear dispositivos finales // Respuesta Correcta: a) Threat Hunting

Nuestros expertos

ncalvaca.pngNayeli Calva - Es Ingeniera en Sistemas y se unió a Cisco en 2019. Desde entonces, ha pertenecido al gran equipo de Advanced Threat Solutions (ATS), brindando soporte en diversas tecnologías y colaborando con diferentes equipos. Ella posee varias certificaciones como ITIL fundamentals, Red Hat Specialist y Quantum computing por parte del Instituto de Tecnología de Massachusetts (MIT).

uzamora.jpgUriel Zamora - Con más de siete años de experiencia laboral en el sector, se ha desempeñado principalmente en empresas prestadoras de servicios en telecomunicaciones. Él se integró al equipo de Cisco en 2022, donde actualmente brinda soporte técnico en tecnologías de seguridad en la nube. Uriel es ingeniero en Telecomunicaciones de la Universidad Nacional Autónoma de México y actualmente se encuentra estudiando la maestría en Ciberseguridad en el TEC de Monterrey.

umontero.jpgUriel Tadeo Montero - Actualmente Uriel es Escalation Engineer del equipo de Advanced Threat Solutions (ATS), el cual da soporte a distintas tecnologías tanto Cloud como On-Prem, incluyendo XDR. ​Uriel se unió a Cisco en 2018 donde ha trabajado por casi seis años. Además, él posee distintas certificaciones entre las que se encuentran Cloud Practitioner de AWS y Generative AI White Belt.

 

Próximos Eventos

Eventos Anteriores
Para obtener más información, visite los contenidos de la sección de Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vista previa de archivo
6759 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents