Defensive Security Intro – Tryhackme
danny
Task 3 – Practical Example of Defensive Security
Me parece bastante interesante este escenario de simulación como práctica inicial de un analista de ciberseguridad y analista SOC.
Básicamente te plantea un escenario el cual tuviste una alerta por múltiples intentos de logueo, el cual puedes observar también que después de ese evento, te genera otro donde podes ver que tuvo acceso.
Recomendaciones prácticas y lógicas que podemos hacer en este tipo de situaciones:
🟠 1. Bloquear la IP atacante
✔ ¿Por qué?
Porque el log muestra que una misma IP externa realizó:
- Un intento no autorizado
- Intentos fallidos repetidos
- Y finalmente un acceso exitoso vía SSH
Esto indica actividad claramente maliciosa o no deseada.
✔ Acción recomendada (introductoria)
🔵 2. Desactivar temporalmente la cuenta del usuario afectado (“John Doe”)
✔ ¿Por qué?
En el log se observan:
- Múltiples intentos fallidos
- Un login exitoso
- Y un mensaje de expiración de contraseña
Esto genera duda inmediata:
👉 ¿El acceso exitoso fue legítimo o alguien logró adivinar la contraseña?
Por eso, ante la duda, una acción introductoria pero esencial es:
✔ Acción recomendada
Desactivar temporalmente la cuenta hasta verificar: