Desarrollas el resumen de alerta mostrado en Elastic Stack para que el alumnado disponga de más contexto operativo sin entrar en investigación técnica.

ALERTA 1
Datos generales

Hora: 08:12:44

Host afectado: srv-web-ayto

Origen alerta: Suricata

Tipo: SSH Scan detected

Severidad asignada por regla: Media

IP externa implicada: 185.234.217.55

Puerto destino interno: 22/TCP

Interpretación operativa

El IDS detecta múltiples intentos de conexión SSH en un intervalo corto de tiempo.
El tráfico es saliente desde el servidor web hacia una IP externa.

Significado técnico básico:

Actividad anómala en servicio SSH.

Posible escaneo automatizado o comportamiento no habitual.

Impacto potencial (sin investigar):

Riesgo de acceso no autorizado.

Posible exposición del servidor en DMZ.

ALERTA 2
Datos generales

Hora: 08:17:02

Host afectado: srv-web-ayto

Origen alerta: Suricata

Tipo: Possible SSH data exfiltration

Severidad asignada por regla: Alta

IP externa implicada: 185.234.217.55

Puerto destino interno: 22/TCP

Interpretación operativa

Cinco minutos después del escaneo, se detecta tráfico SSH establecido con volumen o patrón compatible con transferencia de datos.

Significado técnico básico:

Conexión SSH activa.

Patrón compatible con envío de información hacia el exterior.

Impacto potencial (sin investigar):

Posible fuga de información.

Posible compromiso del servidor web.

Riesgo para datos alojados o credenciales almacenadas.

Relación temporal

08:12 ? Actividad de escaneo o conexiones repetidas.

08:17 ? Tráfico persistente compatible con transferencia.

Existe continuidad temporal y coincidencia de IP externa.