Para hacer seguimiento de un incidente en ciberseguridad (siguiendo NIST/IR o SANS), aquí va un caso tipo estructurado en formato Markdown/CSV.

Úsalo en Autopsy (nuevo Case → “INCIDENTE_EXFILTRACION_v1”) o Jira/Excel para CSIRT UBU. Incluye timeline correlacionada de tus preguntas previas.

Resumen Incidente

Campo	Detalle
ID Caso	INC-2026-001
Fecha Detección	2026-02-15 07:00 CET
Tipo	Exfiltración datos confidenciales (ZIP robado)
Alcance	Laptop Windows + Servidor Linux DB
Estado	En Análisis (Prioridad Alta)
Responsables	Analista: Tú (Forense UBU); SOC: INCIBE ref

Timeline Eventos (Correlacionada)

text2026-01-15 14:30: ZIP confidencial creado (MFT metadata).[Pregunta 8]
2026-02-08 16:45: ZIP abierto (Prefetch/Amcache).[Pregunta 1]
2026-02-10 09:20: USB conectado (MountedDevices).[Pregunta 8]
2026-02-12 22:15: Acceso root Linux DB (auth.log).[Pregunta 6/7]
2026-02-14 03:00: Modif DB correlacionada (query logs).[Pregunta 6]
2026-02-15 07:55: RAM capturada (Volatility: claves BitLocker).[Pregunta 3]

Evidencias Recopiladas

• RAM dump (.raw): Procesos sospechosos, claves cifrado.
• Imagen SSD (1TB): Write-blocker → ddrescue.
• Logs: auth.log Linux, Event Logs Windows (4663 file access).
• Artefactos: Prefetch app portable, MFT ZIP, USB serials.

Pasos Seguimiento (Checklist)

1. Contención: Aislar red, write-blocker SSD.
2. Análisis: Autopsy timeline + Volatility netscan.
3. Correlación: auth.log vs DB logs (Pregunta 6).
4. Atribución: IP geoloc, hashes malware VirusTotal.
5. Reporte: Autopsy HTML + Chain of Custody.
6. Lecciones: SIEM rules para USB/DB access.

Plantilla CSV para Seguimiento (Copia a Excel)

textID,Evidencia,Fecha,Artefacto,Herramienta,Estado,Notas
1,ZIP_confidencial.dd,2026-01-15,MFT Autopsy,Analizado,Exfil via USB?
2,RAM_laptop.raw,2026-02-15,Volatility pslist,Pendiente,Buscar C2
3,auth.log,2026-02-12,Grep Linux,Analizado,IP 185.XX.XX.XX

Guarda como “INCIDENTE_PLANTILLA.md” y abre en Autopsy para ingest. Adáptalo a tu SC-200 o OSCP labs; incluye hashsums para integridad (SHA256).