Del cable al hallazgo en 25 minutos.
Triage forense empresarial sobre una VLAN aislada y arranque por red. Convierte cualquier laptop o desktop sospechoso en un caso parseado, correlacionado y revisable en el navegador —sin escribir un byte al disco del cliente, sin agentes, sin levantar Windows.
~25 min por disco · VLAN forense aislada · disco en solo lectura · multi-host en paralelo
El problema que resolvemos
Cuando una organización detecta un posible compromiso, la primera pregunta es siempre la misma: ¿qué hizo ese host, cuándo y qué tan grave es? Responderla con métodos tradicionales toma horas o días, y cada hora es ventaja para el atacante, exposición para el negocio y deterioro de la evidencia volátil.
Copia bit a bit lenta
Apagar el equipo e imaginar el disco toma de 4 a 8 horas antes de siquiera empezar a analizar.
Herramientas dispersas
Montar, parsear y cruzar a mano logs, registro, journals y artefactos del sistema operativo con utilidades separadas.
Informe que no llega a tiempo
Producir algo legible por gerencia, legal o un perito se vuelve un cuello de botella más.
La arquitectura: VLAN forense + arranque por red
El cliente investigado arranca desde el servidor en una VLAN dedicada, sin internet ni visibilidad de la red corporativa. Windows nunca arranca; el disco se abre solo en modo lectura.
Aislamiento total
El host arranca en una VLAN sin salida a internet ni acceso a la red corporativa. Si estaba comprometido, el atacante queda ciego desde el primer segundo: no hay C2, no hay exfiltración.
Cadena de custodia preservada
El disco Windows nunca se monta en escritura. El análisis corre en memoria y abre el disco con bloqueos de solo lectura: imposible contaminar la evidencia.
Servidor blindado
El servidor forense es el único sistema autorizado en la VLAN: entorno limpio, reproducible y auditado, sin políticas corporativas que un atacante pudo tocar.
Alineado a estándares
Respeta el espíritu de NIST 800-86, ISO/IEC 27037 y RFC 3227: preservar antes de analizar, aislar antes de inspeccionar, no alterar lo investigado.
Escala horizontalmente
Varios clientes trabajan a la vez sobre la VLAN; el servidor maneja N triajes en paralelo. Habilita triage de flota: 30, 50 o más endpoints en una tarde.
Cero impacto físico
No hay que extraer el disco ni romper sellos: solo conectar un cable de red y arrancar desde red (F12).
El workflow operativo
Cinco pasos, ~30 minutos desde «conecto el cable» hasta «tengo el informe».
Conectar a la VLAN forense
El analista enchufa el equipo sospechoso al puerto del switch dedicado.
Arrancar desde red (F12)
El equipo carga el sistema de análisis desde el servidor. Windows nunca arranca; el disco queda visible solo como evidencia, en modo lectura.
El triage corre automáticamente
Decenas de analizadores forenses en paralelo sobre el disco. Cada hallazgo se transmite al servidor por la VLAN en tiempo real. ~25 minutos para un disco típico.
El motor de reglas correla
Más de 130 reglas se ejecutan sobre los artefactos: severidad (crítico / advertencia / informativo), técnicas MITRE ATT&CK y descripción en español o inglés. La lista de exclusión cross-caso suprime falsos positivos conocidos.
El analista revisa en navegador
Dashboard ejecutivo con KPIs, gráficos de severidad, heatmap MITRE y hallazgos priorizados. Drill-down a cada artefacto, etiquetas, supresión de falsos positivos y cierre de caso.
Capacidades del producto
Captura forense exhaustiva
Cobertura de los principales artefactos de Windows: MFT, journals, hives del registro, logs de eventos (seguridad, sistema, PowerShell, RDP, defensa, tareas), prefetch, jump lists, navegadores, USB, dispositivos, red, sesiones, persistencias y ejecución reciente.
Custodia estructural
Disco del cliente nunca escrito; cuenta de inserción exclusiva en el servidor (el cliente no lee ni altera evidencia de otros casos); auditoría completa de cada supresión, etiqueta y anotación con usuario, motivo y timestamp.
Motor de correlación con +130 reglas
Reglas alineadas a MITRE ATT&CK Enterprise (persistencia, ejecución, movimiento lateral, exfiltración, evasión, credenciales). Reglas de máxima señal Tier-0 y lista de exclusión persistente: la herramienta aprende del analista.
Interfaz revisable por cualquier nivel
Dashboard ejecutivo, reporte por caso con heatmap MITRE y drill-down crudo, búsqueda global sub-segundo, control de roles (admin / analista / observador) y bilingüe español/inglés nativo.
Manual del analista incorporado
Más de 50 documentos por tipo de artefacto: qué es, dónde vive, qué contiene, cómo investigarlo y falsos positivos comunes. Bilingüe y enlazado desde la interfaz.
Diferenciadores frente a alternativas
Velocidad de triage tradicional, custodia de evidencia y cobertura, en una sola plataforma.
| Prisma Pro DFIR | Imagen + análisis tradicional | EDR (CrowdStrike, etc.) | Triage clásico (KAPE) | |
|---|---|---|---|---|
| Tiempo a primer hallazgo | 25–30 min | 4–8 h + horas | minutos (solo telemetría) | 1–2 h + parse |
| Disco del cliente intocado | ✓ bloqueo estructural | ~ depende del operador | ✗ corre en el SO vivo | ~ depende |
| Aislamiento de red | ✓ VLAN dedicada | ✓ post-imagen | ✗ requiere nube | ~ depende |
| Funciona en máquina apagada | ✓ | ✓ post-imagen | ✗ requiere agente vivo | ✓ post-imagen |
| Sin agente preinstalado | ✓ | ✓ | ✗ | ✓ |
| Multi-host en paralelo | ✓ N simultáneos | ✗ uno a la vez | ✓ atado al EDR | ✗ |
| Correlación MITRE incluida | ✓ +130 reglas | ~ manual | ✓ propietaria | ✗ |
| Exclusiones persistentes cross-caso | ✓ | ✗ | ~ depende | ✗ |
| UI ejecutiva en navegador | ✓ | ✗ cliente pesado | ✓ portal propietario | ✗ línea de comandos |
| Bilingüe español/inglés | ✓ nativo | ✗ solo inglés | ~ depende | ✗ solo inglés |
¿Para quién es?
Prisma Pro DFIR convierte cualquier sala con un switch en un laboratorio forense de campo: 25 minutos del cable al hallazgo, en una VLAN que no deja al atacante mover un solo paquete, con la evidencia intacta y revisable en un navegador.
Trae el laboratorio forense al incidente.
¿Quieres ver una demo en vivo o discutir el despliegue en tu organización? Coordinemos.
Solicitar demo