Blue Team Training: Prácticas en vivo de SOC Analyst - Blue Team Training: Ejecución sospechosa de Invoke-WebRequest (Con Emanuel Lovecchio) | Ep.39

En este video analizamos una alerta realista de SOC: SOC289 - suspicious invoke-webrequest execution with directIP. A partir de esa detección, reconstruimos el comportamiento del equipo comprometido, revisamos la ejecución de PowerShell, validamos indicadores y entendemos por qué una conexión a una IP directa mediante Invoke-WebRequest puede ser una señal clara de actividad maliciosa. Durante la investigación vemos cómo abordar la alerta paso a paso, cómo correlacionarla con otros eventos relevantes del sistema y cómo determinar si estamos frente a un true positive. También repasamos conceptos clave de análisis en endpoint, telemetría, PowerShell ofuscado, descarga de payloads y documentación del incidente. Vas a aprender a investigar una alerta basada en Invoke-WebRequest, a entender por qué el uso de una direct IP es tan sospechoso en un contexto SOC y a reconstruir la secuencia completa de eventos para tomar una decisión técnica bien fundada. Si queres ver las conclusiones de las alarmas que analizamos visita nuestro Notion: https://chip-cold-7af.notion.site/Let-s-Defend-2ec5c6280d3f80ef978ff1d6e55ad050 Unite a nuestra comunidad para seguir aprendiendo mas: https://discord.gg/uyJ6XXj24P Conectá con Emanuel: https://www.linkedin.com/in/ema-lovecchio/ Temas clave: Qué significa la alerta SOC289 - suspicious invoke-webrequest execution with directIP Por qué Invoke-WebRequest puede ser peligroso en PowerShell Riesgos de conexiones a IP directa en vez de dominios Cómo correlacionar la alerta con otros eventos del sistema Identificación de actividad maliciosa en endpoint Análisis de telemetría y línea temporal Validación de IOCs Cómo determinar si el caso es true positive 00:00 - Introducción al caso y alerta SOC289 00:28 - Qué significa suspicious Invoke-WebRequest with directIP 01:20 - Por qué una IP directa es sospechosa 02:10 - Primeras hipótesis de investigación 04:00 - Revisión de IOCs y contexto del incidente 08:10 - Correlación con eventos previos del host 10:20 - Validación de actividad sospechosa 12:15 - Telemetría del endpoint y procesos involucrados 13:10 - Comandos PowerShell observados 14:05 - Descarga o intento de conexión a IP directa 16:00 - Análisis de la cadena de ejecución 18:20 - Parent process y child process 23:00 - Reconstrucción cronológica del ataque 26:00 - PowerShell ofuscado y comportamiento malicioso 30:50 - Confirmación del true positive 34:20 - Conclusión del caso y lecciones aprendidas SOC289, suspicious invoke-webrequest execution with directIP, Invoke-WebRequest, direct IP PowerShell, PowerShell malicioso, PowerShell suspicious activity, análisis SOC, investigación SOC, alert triage, Blue Team, DFIR, incident response, malware delivery, PowerShell download cradle, IOC analysis, endpoint telemetry, true positive SOC, ciberseguridad, seguridad informática, malware analysis, threat hunting, Windows forensics, PowerShell obfuscation, SOC analyst, SOC training