Este artículo presenta Security Insights, un complemento de LiveWire accesible desde LiveNX que ofrece análisis a nivel de paquete en el perímetro de la red para transformar la telemetría de flujos y paquetes en inteligencia de seguridad escalable y utilizable. Resuelve el problema de la visibilidad fragmentada entre equipos de red y seguridad y las limitaciones del NDR tradicional —como costes, latencia y puntos ciegos— mediante detección en tiempo real, forense local y correlación multitelemétrica que acelera la investigación y la respuesta. Los resultados incluyen detección y respuesta en minutos, reducción de la complejidad operativa, integración con SIEM/SOAR/XDR y preservación de datos forenses sin mover grandes volúmenes a la nube.
¿Cómo mejora Security Insights la detección frente a las soluciones NDR tradicionales?
Security Insights mejora la detección al realizar análisis a nivel de paquete y telemetría en el perímetro (Edge-first), evitando la transferencia masiva de datos a la nube que introduce latencia y costes en los NDR tradicionales. Aprovecha datos completos de NetFlow, IPFIX, sFlow y registros unificados de Cisco, además de las capturas forenses de LiveWire (LiveFlow), para ofrecer una visibilidad unificada en LAN, WAN, SD-WAN, centros de datos y nube. Este enfoque distribuido y multitelemétrico permite detectar anomalías en tiempo real, correlacionar hallazgos entre entornos y reducir los puntos ciegos que dejan los sistemas NDR centralizados.
¿Qué flujo de trabajo siguen LiveNX y LiveWire cuando Security Insights detecta una amenaza?
Cuando Security Insights detecta una anomalía, el flujo comienza con Detection en Security Insights, que clasifica el hallazgo y lo asocia a marcos como MITRE ATT&CK y OWASP; a continuación LiveNX realiza Analysis agregando y enriqueciendo telemetría de flujos (NetFlow, IPFIX, sFlow y registros de alta velocidad) para localizar subredes, endpoints y patrones de comunicación; finalmente LiveWire efectúa Forensics mediante captura y análisis a nivel de paquete (LiveFlow) para confirmar cargas útiles, reconstruir sesiones y extraer evidencias. Los resultados se integran con SIEM, SOAR y XDR para respuesta automatizada y remediación coordinada.
¿Qué beneficios concretos han mostrado los casos de uso descritos por Security Insights?
Los casos de uso muestran beneficios claros: en el ejemplo de tráfico TLS en puerto no estándar Security Insights detectó y permitió aislar una pasarela IoT, evitando persistencia C2 y reduciendo el tiempo de detección de horas a minutos; en la búsqueda proactiva contra dominios maliciosos se identificaron endpoints comunicándose con infraestructura C2, se capturaron cargas útiles y se bloquearon dominios mediante SOAR antes de pérdidas significativas; y en el caso de certificados TLS abusados se confirmó uso de certificados autofirmados por malware, se revocaron certificados y se preservaron pruebas forenses a nivel de paquetes, mejorando cumplimiento y preparación de auditorías.
Apéndice: Conclusiones sobre seguridad
Este apéndice ofrece una lista de hallazgos de seguridad generados por LiveNX y LiveWire. Estos hallazgos ponen de relieve anomalías, comportamientos sospechosos e incumplimientos de políticas detectados mediante el análisis de flujos y paquetes. Aunque no se trata de un catálogo exhaustivo de NDR, representan información de gran valor que acelera la detección, la investigación y la respuesta. A medida que LiveNX y LiveWire evolucionan, esta biblioteca de hallazgos sigue ampliándose, lo que garantiza que los equipos de red y de seguridad se beneficien de una mayor visibilidad y de resultados más sólidos con el paso del tiempo.
| Security finding | MITRE ATT&CK ID (if applicable) |
|---|---|
| Encryption On IANA Reserved Port | T1571 |
| Kerberos Detected | |
| Kerberos RC4 Detected | |
| Malicious IP or Domain Detected | |
| Microsoft IP Detected | |
| NTLM Protocol Detected | |
| RDP On Non-Standard Port | T1571 |
| Threat Intel Indicator | T1102 |
| TLS Certificate Anomalies Detected | TLS |
| TLS Client Excessive Handshakes | TLS |
| TLS Forbidden Version | T1071.002 |
| TLS Long Lived Connection | TLS |
| TLS Missing SNI | T1587.003 |
| TLS Self-Signed Certificate | T1587.003 |
| TLS Unusual Certificate | T1587.003 |
| Unassigned Encryption | |
| Unauthorized Application Use | T1071.002 |
| Unexpected Encryption | T1571 |
| TLS Unexpected Plaintext | T1571 |
| TLS Weak Cipher Suite | |
| RDP Connection After Brute Force Attempt | T1021 |
| SSH Connection After SSH Brute Force Attempt | T1021 |
| Unauthorized Application Use | |
| RDP Brute Force Attempt Detected | T1110 |
| SSH Brute Force Attempt Detected | T1110 |
| New Encryption Protocol | T1571 |
| Found RDP On Non-Standard Port | T1571 |
| New Encryption User | T1573 |
| New Encryption Service | T1573 |
| New SSH Client Version Found | T1573 |
| New SSH Server Version Found | T1573 |
| New TLS Version Found | T1573 |
| Insecure/weak cipher | T1587.003 |
| New TLS SHA1 Found | T1588 |
| New TLS JA3C Found | T1588.004 |
| New TLS JA3S Found | T1588.004 |
| Lateral Movement Anomaly <application> | |
| Clique Expansion | |
| Interface Volumetric Anomaly | |
| Application Interface Volumetric Anomaly | |
| DSCP Interface Volumetric Anomaly | |
| Application Site Volumetric Anomaly | |
| Site Volumetric Anomaly |



