🛡️ SECURITY OPERATIONS CENTER

Investigación SOC

Un SOC (Security Operations Center) es el equipo y la infraestructura dedicados a monitorear, detectar y responder a amenazas de ciberseguridad en tiempo real, 24/7. Es el corazón defensivo de cualquier organización moderna.

⚙️ Las 3 Funciones Principales

Todo lo que hace un SOC se organiza en tres pilares fundamentales

📡

1. Monitoreo Continuo

Vigilancia 24/7 de logs, tráfico de red, endpoints y sistemas. Recopilación centralizada en el SIEM para correlacionar eventos de múltiples fuentes y detectar patrones anómalos.

🔍

2. Detección de Amenazas

Análisis de alertas generadas por SIEM, EDR e IDS. Reducción de falsos positivos mediante triaje. Threat hunting proactivo para encontrar amenazas que evadieron las defensas automáticas.

⚡

3. Respuesta a Incidentes

Contención rápida, erradicación del threat actor y recuperación del sistema según el playbook NIST 800-61. Documentación forense y lecciones aprendidas post-incidente.

👥 Niveles del Analista SOC

La jerarquía define la profundidad de investigación y la complejidad de los casos asignados

Nivel 1 — Triaje

Analista Junior

Primera línea de defensa. Monitorea el dashboard, clasifica alertas del SIEM por severidad, descarta falsos positivos y escala los incidentes confirmados a L2. Típicamente maneja 50-100 alertas por turno.

Nivel 2 — Investigación

Analista SOC

Investiga los incidentes escalados por L1 con mayor profundidad. Realiza correlación de eventos, análisis de logs, OSINT de IPs/dominios, y coordina la respuesta y contención inicial.

Nivel 3 — Threat Hunting

Senior / Threat Hunter

Investiga APTs, desarrolla nuevas reglas de detección, realiza análisis forense profundo y threat hunting proactivo. Generalmente tiene certificaciones como OSCP, CEH o GCIH.

🚨 Tipos de Alertas que Maneja un SOC

Las alertas se clasifican por severidad y origen de la fuente

Intrusión Activa / Acceso No Autorizado

Inicio de sesión exitoso desde IP maliciosa, movimiento lateral detectado, elevación de privilegios no autorizada.

Ransomware / Malware Activo

EDR detecta cifrado masivo de archivos, ejecución de proceso malicioso, persistencia en registry o tareas programadas.

Brute Force / Credential Stuffing

Múltiples intentos de autenticación fallidos en SSH, RDP, VPN o aplicaciones web desde la misma IP en corto tiempo.

Exfiltración de Datos

Transferencia inusualmente grande de datos hacia IP externa, conexión a servicio de almacenamiento no aprobado (Mega, Dropbox personal).

Phishing / Email Malicioso

Email con adjunto o enlace malicioso detectado por la gateway de correo, reporte manual de empleado, clic en URL de phishing registrado en proxy.

Escaneo de Puertos / Reconocimiento

Barrido de puertos o detección de herramientas como nmap desde internet o red interna. Fase de reconocimiento en la Kill Chain.

🔧 Herramientas del Ecosistema SOC

El stack tecnológico estándar de un SOC moderno

SIEM

Log Correlation

Splunk · Elastic SIEM · IBM QRadar · Microsoft Sentinel

EDR

Endpoint Detection

CrowdStrike · SentinelOne · MS Defender · Cortex XDR

Firewall

Perimeter Defense

Palo Alto · Fortinet · Check Point · Cisco ASA

IDS / IPS

Intrusion Detection

Snort · Suricata · Zeek · Cisco IDS

SOAR

Automation & Response

Splunk SOAR · Cortex XSOAR · IBM Resilient

Threat Intel

Threat Intelligence

AbuseIPDB · VirusTotal · MISP · AlienVault OTX

🎮 Incidente Activo Simulado — Práctica de Triaje

Responde como un analista L1. Tienes 3 decisiones críticas que tomar.

INCIDENTE ACTIVO ID: INC-2026-0514 · Severidad: CRÍTICA

Puntuación: 0/3

← Volver al Dashboard 🎓 Ir a Entrenar →