Net Defenders AcademyNet Defenders Academy
Volver a cursos
SOCIntermedio

Active Directory Security

Active Directory es el objetivo número uno de cualquier atacante en una red corporativa. Quien controla el dominio controla todo: emails, archivos, endpoints, identidad. Este curso te lleva desde los fundamentos del modelo de identidad de Microsoft (AD on-prem y Entra ID) hasta los ataques modernos que se ven en incidentes reales (Kerberoasting, Golden Tickets, AD CS abuse, lateral movement) y, sobre todo, las defensas concretas: Tier model, LAPS, Protected Users, Conditional Access, detection rules con Event IDs específicos. Pensado para SOC analysts, blue teamers y administradores que necesitan entender al enemigo para construir una defensa sólida.

0 0 estudiantes 28 lecciones 12h aprox.
Iniciar sesión para empezar
  • 28 lecciones (372 min total)
  • Certificado al completar
  • Acceso al foro del curso
  • Acceso desde cualquier dispositivo

Lo que aprenderás

Entender la arquitectura de Active Directory y Entra ID, on-prem, cloud e híbrido
Comprender el handshake de Kerberos paso a paso y dónde lo atacan
Identificar y detectar Kerberoasting, AS-REP roasting, NTLM relay y password spraying
Reconocer técnicas de lateral movement: PsExec, WMI, pass-the-hash, pass-the-ticket
Investigar Golden Ticket, Silver Ticket y otras técnicas de persistencia
Detectar y mitigar abuses de AD Certificate Services (ESC1-15)
Aplicar el Tier model, LAPS, Protected Users y JIT admin
Configurar Conditional Access, PIM e Identity Protection en Entra ID
Construir reglas de detección con Event IDs y Sysmon
Responder a un compromiso de dominio: contención, erradicación y recovery

Contenido del curso28 lecciones · 12h

Fundamentos de AD y Modelo de Identidad4 lecciones
¿Qué es Active Directory? Forest, Domain, OU y la geografía lógica14m
Active Directory vs Entra ID: on-prem, cloud y la realidad híbrida14m
GPO, sites, replication y trust relationships: los engranajes invisibles14m
Quiz: Fundamentos de Active Directory10m
Autenticación: Kerberos y NTLM en profundidad4 lecciones
El handshake de Kerberos: AS-REQ, AS-REP, TGS-REQ, TGS-REP paso a paso16m
Tickets, encriptación y service principal names: la mecánica interna14m
NTLM legacy: cómo funciona, por qué sigue activo y qué pasa al deshabilitarlo12m
Quiz: Autenticación en Active Directory10m
Ataques a Credenciales: Kerberoasting, Spraying y Relay4 lecciones
Kerberoasting y AS-REP roasting: ataques al protocolo desde dentro16m
NTLM relay y password spraying: vectores que rompen el perímetro14m
Enumeración con BloodHound: viendo el dominio como lo ve el atacante14m
Quiz: Ataques a Credenciales10m
Lateral Movement, Tickets y Persistencia4 lecciones
Pass-the-Hash y Pass-the-Ticket: el arsenal de movimiento lateral14m
PsExec, WMI y WinRM: vectores de ejecución remota legítima abusada14m
Golden Ticket, Silver Ticket, DCSync y DCShadow: persistencia profunda16m
Quiz: Lateral Movement y Persistencia10m
AD Certificate Services Abuse (ESC1-15)4 lecciones
¿Qué es AD Certificate Services y por qué es un vector crítico?14m
ESC1, ESC4 y ESC8: las tres misconfigs más comunes en producción16m
Detectar y mitigar abuses de AD CS: Certify, Certipy, eventos y hardening14m
Quiz: AD Certificate Services Abuse10m
Hardening AD on-prem y Entra ID4 lecciones
Tier model: separación T0/T1/T2 y por qué es la decisión más importante14m
LAPS, Protected Users y Just-in-Time admin: los controles que sí mueven la aguja14m
Conditional Access, PIM e Identity Protection en Entra ID14m
Quiz: Hardening AD y Entra ID10m
Detection, Monitoring y Respuesta a Incidentes4 lecciones
Event IDs críticos para AD: la lista corta que sí debes alertar14m
Sysmon, Defender for Identity y reglas de detección custom (KQL/SPL)14m
Respuesta a compromiso de dominio: contención, erradicación, recovery16m
Quiz: Detection y Respuesta10m

Al completar obtienes

  • 🛡️Insignia de completación del curso
  • 📜Certificado verificable
  • Puntos en el ranking global