# Descripción general
> **Estimación de costo de SCU**
>
> Este agente normalmente consume **0,2-3 SCU** por análisis de incidentes, dependiendo de la complejidad del incidente, el número de entidades involucradas y la profundidad del enriquecimiento de inteligencia de amenazas.
### Introducción
Forensic Agent Core es tu analista automatizado de incidentes. Si alguna vez has revisado un incidente de Microsoft Defender XDR y has pensado "necesito la historia completa, no solo alertas dispersas", este agente es para ti. Toma un ID de incidente, reúne todo lo relacionado, lo enriquece con inteligencia de amenazas, construye una cronología minuto a minuto y entrega un informe forense completo que normalmente llevaría horas de investigación manual.
### Qué hace
* **Reconstruye las cronologías de los incidentes** minuto a minuto a partir de alertas y eventos dispersos
* **Extrae y mapea entidades** (dispositivos, usuarios, IP, dominios, archivos, hashes) y sus relaciones
* **Enriquece con inteligencia de amenazas** usando múltiples fuentes (Shodan, certificados SSL, WHOIS, CIRCL, servicios de reputación)
* **Analiza la postura de seguridad del dispositivo** mostrando vulnerabilidades, software y configuración
* **Rastrea la actividad de identidad** con eventos de riesgo y patrones de autenticación
* **Correlaciona los comentarios del analista** para proporcionar contexto de investigación
* **Clasifica los incidentes** como positivo verdadero, falso positivo o requiere escalación, con puntuación de intención maliciosa
* **Recomienda remediación** con pasos priorizados y accionables
* **Genera informes estandarizados** listos para traspasos, auditorías o escalación
### Casos de uso
#### 1. Triage del incidente y evaluación inicial
Tienes un nuevo incidente de alta gravedad y necesitas entender rápidamente qué ocurrió. Forensic Agent Core analiza el incidente, construye una cronología, identifica entidades clave y proporciona una clasificación (positivo verdadero/falso) con puntuación de confianza. En lugar de dedicar 30-60 minutos a recopilar contexto, obtienes una visión completa en minutos.
#### 2. Preparación de informes de incidentes para la dirección
La dirección quiere una explicación clara de un incidente de seguridad. El agente genera un informe forense completo con un resumen ejecutivo, cronología, mapa de entidades, hallazgos de inteligencia de amenazas y recomendaciones de remediación. Todo está estandarizado y listo para presentar; no es necesario redactar el informe manualmente.
#### 3. Enriquecimiento de inteligencia de amenazas
Un incidente involucra IP y dominios externos, pero no sabes si son maliciosos. Forensic Agent Core enriquece todos los indicadores con inteligencia de amenazas de código abierto y comercial (escaneos de puertos de Shodan, análisis de certificados SSL, datos de WHOIS, asociaciones con malware, puntuaciones de reputación). Obtienes inteligencia seleccionada que resalta lo que realmente importa.
#### 4. Análisis forense en profundidad
Un incidente crítico requiere una investigación detallada antes de responder. El agente realiza consultas avanzadas de hunting, extrae todas las entidades relacionadas, analiza la postura del dispositivo y de la identidad, correlaciona eventos en una cronología precisa y proporciona detalles forenses sobre qué ocurrió, cuándo y cómo. Ahorra horas de trabajo manual de correlación.
#### 5. Traspasos y escalaciones del equipo SOC
Necesitas escalar un incidente a Tier 2 o a un equipo externo de forense. El informe estandarizado del agente proporciona contexto completo, cronología, relaciones entre entidades, inteligencia de amenazas y análisis inicial. El equipo receptor puede empezar de inmediato sin pedir aclaraciones ni repetir la investigación.
### ¿Por qué Forensic Agent Core?
| El problema al que te enfrentas | Cómo ayuda esto |
| ---------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------ |
| **Alertas fragmentadas por todas partes**: El incidente tiene docenas de alertas; no está claro cómo se relacionan | **Cronología completa**: Reconstrucción minuto a minuto que muestra cómo se conectan los eventos |
| **Falta de contexto**: Las alertas muestran qué ocurrió, pero no por qué ni qué significa | **Mapeo de entidades**: Vista completa de dispositivos, usuarios, IP, dominios y sus relaciones |
| **Consultas manuales de inteligencia de amenazas**: Copiar indicadores a múltiples herramientas lleva una eternidad | **Enriquecimiento automatizado**: Todos los indicadores se enriquecen con inteligencia seleccionada de múltiples fuentes |
| **Datos de dispositivo e identidad desconectados**: No se puede ver cómo la actividad del usuario se relaciona con los eventos del dispositivo | **Análisis integrado**: La postura del dispositivo y la actividad de identidad correlacionadas en una sola vista |
| **Presión de tiempo para los informes**: La dirección quiere un análisis detallado, pero solo tienes 30 minutos | **Informes prediseñados**: Informe forense completo generado automáticamente |
| **Flujos de inteligencia ruidosos**: Demasiada información; no está claro qué es realmente importante | **Hallazgos seleccionados**: El agente destaca lo que importa y filtra el ruido |
### Cómo funciona
**Qué se introduce:**
* ID del incidente de Microsoft Defender XDR
* Alertas, entidades y evidencias asociadas
* Comentarios del analista y notas de investigación
* Datos de actividad del dispositivo y del usuario
* Flujos de inteligencia de amenazas (Shodan, CIRCL, servicios de reputación)
**Qué hace:**
* Recupera los datos completos del incidente, incluidas todas las alertas y entidades
* Realiza consultas avanzadas de hunting para encontrar actividad relacionada
* Extrae todas las entidades (dispositivos, usuarios, IP, dominios, archivos, hashes)
* Construye un mapa de relaciones entre entidades
* Reconstruye la cronología minuto a minuto a partir de los eventos
* Enriquece los indicadores externos con inteligencia de amenazas
* Analiza la postura de seguridad del dispositivo (vulnerabilidades, software, configuración)
* Rastrea la actividad de identidad y los eventos de riesgo
* Correlaciona los comentarios del analista con la cronología
* Clasifica el incidente con puntuación de intención maliciosa
* Genera recomendaciones de remediación priorizadas
**Qué obtienes:**
* Resumen ejecutivo con hallazgos clave y clasificación
* Cronología minuto a minuto de la evolución del incidente
* Inventario de entidades con relaciones (quién, qué, dónde, cuándo)
* Resumen de la postura de seguridad del dispositivo (vulnerabilidades, software, controles de seguridad)
* Resumen de la actividad de identidad (autenticación, eventos de riesgo, comportamiento)
* Hallazgos de inteligencia de amenazas:
* Puertos/servicios/vulnerabilidades abiertos (Shodan)
* Metadatos y validación de certificados SSL
* Datos de registro WHOIS
* Asociaciones con malware y reputación de archivos (CIRCL)
* Puntuaciones de reputación de IP/dominio
* Clasificación del incidente (Verdadero Positivo, Falso Positivo, Escalar)
* Puntuación de confianza de intención maliciosa
* Recomendaciones de remediación priorizadas con acciones específicas
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://agents.glueckkanja.com/es/agents/forensic-agent-core/overview.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.