
La caza de IOC directamente en los backups: hashes, YARA y patrones maliciosos buscados en la historia de tus datos — para encontrar el punto de recuperación realmente limpio.
Tras un ataque la pregunta es una: ¿cuál es la última copia limpia? Threat Hunting busca indicadores de compromiso — hashes de archivos, reglas YARA, rutas y patrones — directamente en las snapshots, hacia atrás en el tiempo, sin tocar producción. Threat Monitoring lo hace en automático y en continuo, con feeds de inteligencia actualizados: el malware durmiente se encuentra antes del restore, no después.

Threat Monitoring usa inteligencia curada: las firmas nuevas buscadas también en las copias viejas.
El equipo IR trae los IOC del incidente: la plataforma dice dónde y desde cuándo existen.
Primera aparición, difusión, sistemas tocados: la historia del ataque escrita en los backups.
Los archivos maliciosos marcados: el restore los salta — la reinfección evitada by design.
Los backups son la fotografía histórica completa del entorno: buscar allí los IOC responde a '¿desde cuándo estamos comprometidos?' sin retenciones de logs infinitas; los escaneos corren sobre el clúster/plataforma sin carga en producción y sin avisar al atacante; los resultados marcan las snapshots infectadas y ponen en cuarentena archivos individuales; el restore orquestado excluye los objetos marcados: se reparte limpio, con evidencias para el post-incident y el seguro.
¿Desde cuándo estamos comprometidos? Respuesta con fecha.
Encontrado en las copias antes de que vuelva a golpear.
Las evidencias del punto limpio, documentadas.