Saltar al contenido
Breachfolio
CIBERSEGURIDAD · SOC

Herramientas SOC: SIEM, SOAR, EDR y más.

El stack del SOC por categorías: SIEM, EDR/XDR, SOAR, NDR, inteligencia de amenazas, sandboxes y enriquecimiento, con herramientas OSS y comerciales reales.

17 de julio, 202614 min de lectura

Entra en cualquier Security Operations Center y no encontrarás una sola herramienta haciendo el trabajo. Encontrarás un stack: una docena de productos que ingieren, detectan, enriquecen, deciden y contienen, cada uno dueño de una porción del trabajo y pasando el testigo al siguiente. Los analistas nuevos se pierden porque los fabricantes venden cada caja como si sustituyera a todas las demás. No es así. Un SIEM no es un EDR, un EDR no es un SOAR, y ninguno de ellos es una plataforma de inteligencia de amenazas. La forma más rápida de entender un SOC es aprender primero las categorías y luego encajar las herramientas reales en cada una.

Este es el mapa de referencia. De cada categoría obtienes lo que hace de verdad, seguido de las herramientas que la gente usa de verdad —marcadas con claridad como open source (OSS) o comercial—, cada una enlazada a su propio sitio. Si aún no tienes claro qué es un SOC de entrada, empieza por qué es un SOC y vuelve.

Fuentes de logSIEM (correlación)Reglas de detecciónSOAR (automatización)EDR (contención)
Cómo encaja el stack de un SOC, del log a la respuesta.

Cómo encajan las piezas

Antes de la lista de herramientas, ten el pipeline en la cabeza. La telemetría fluye en una dirección y las decisiones fluyen de vuelta. Todo lo de abajo es una variación de esta forma:

  FUENTES DE LOG / TELEMETRÍA         SIEM                 DETECCIÓN
  endpoints, cortafuegos, ─────▶   recopila,    ─────▶  reglas sobre los datos
  cloud, DNS, IDS, apps            normaliza,           (Sigma, consultas nativas)
                                   almacena, busca            │
                                                             ▼
       CONTENCIÓN            GESTIÓN DE CASOS         ALERTA / SOAR
   aislar host, matar    ◀──  TheHive / Jira   ◀──   triaje + automatización
   proceso vía EDR             seguir el caso        (enriquecer, correlacionar)
        ▲                                                    │
        │                                                    ▼
        └──────────  ENRIQUECIMIENTO: VirusTotal, GreyNoise, AbuseIPDB, MISP  ◀─┘

Léelo como una frase: las fuentes de logs alimentan un SIEM; las detecciones (a menudo escritas como reglas Sigma) disparan alertas; un SOAR o un analista enriquece esas alertas contra inteligencia de amenazas y servicios de reputación; los incidentes confirmados se convierten en casos en un gestor como TheHive; y la contención ocurre de vuelta en el endpoint a través de un EDR. Ten ese bucle en mente y cada categoría de abajo tiene un sitio evidente.

SIEM: el sistema de registro

El SIEM (Security Information and Event Management, gestión de información y eventos de seguridad) es el sistema nervioso central del SOC. Recoge logs de todas partes —endpoints, cortafuegos, cloud, proveedores de identidad, aplicaciones—, los normaliza a una forma común, los almacena y te deja buscar y alertar sobre el conjunto. Es donde ocurre la correlación: un login fallido aquí, más una cuenta de administrador nueva allá, más datos saliendo de la red, se convierten en una sola historia. Si un SOC tiene un único núcleo, es este.

  • Splunk (comercial): el referente del mercado; enorme ecosistema de apps y el lenguaje de búsqueda SPL, tarificado principalmente por volumen de ingesta diaria.
  • Microsoft Sentinel (comercial): SIEM nativo de cloud sobre Azure, consultado con KQL, potente si ya vives en el ecosistema de Microsoft.
  • IBM QRadar (comercial): SIEM empresarial de largo recorrido con correlación madura y gestión de ofensas.
  • Elastic Security / ELK (open core): el Elastic Stack más una capa de seguridad; gratis para autoalojar, con funciones de detección avanzadas en los niveles de pago.
  • Wazuh (OSS): gratis a cualquier escala, combina análisis de logs estilo SIEM con detección de intrusiones en host en un solo agente.
  • Graylog (open core): plataforma ligera centrada primero en la gestión de logs, con una interfaz de búsqueda amable y una edición open source.
  • Google SecOps (Chronicle) (comercial): SIEM en cloud construido para volúmenes de log muy grandes, con inteligencia de amenazas de Google integrada.

Elegir entre las tres grandes opciones open y comercial merece su propio artículo; escribimos uno: Splunk vs Wazuh vs ELK. La versión corta es una tabla.

SIEM¿OSS?Fuerte enOjo con
SplunkNoPotencia de búsqueda, ecosistema de apps, soporte del fabricanteLa tarifa por ingesta se puede disparar
Microsoft SentinelNoNativo de cloud, integración estrecha con Microsoft/EntraEl coste y el lock-in van con Azure
IBM QRadarNoCorrelación madura, despliegues empresarialesPesado, UX anticuada, licenciamiento caro
Elastic Security / ELKOpen coreIngesta flexible, escala si se afinaRequiere destreza real de operación de Elasticsearch
WazuhGratis a escala, HIDS integradoEcosistema más pequeño, más hazlo tú mismo
GraylogOpen coreGestión de logs simple, arranque fácilMenos funciones específicas de seguridad
Google SecOpsNoVolúmenes enormes, inteligencia de amenazas de GoogleSolo cloud, precios opacos

EDR / XDR: ojos en el endpoint

El Endpoint Detection and Response pone un sensor en cada portátil y servidor. A diferencia del antivirus de antaño, no se limita a cotejar archivos conocidos como maliciosos: registra árboles de procesos, líneas de comandos, conexiones de red y cambios de registro, luego marca comportamientos sospechosos y te deja responder en remoto: aislar el host, matar un proceso, extraer un archivo. XDR (Extended Detection and Response) es la misma idea ampliada para correlacionar señales de endpoint, identidad, correo y cloud en una sola consola.

  • CrowdStrike Falcon (comercial): agente cloud ligero, muy bien considerado por su calidad de detección y su threat hunting.
  • Microsoft Defender for Endpoint (comercial): profundamente integrado en Windows y en el stack de seguridad de Microsoft.
  • SentinelOne (comercial): IA de comportamiento en el propio agente, con rollback automático de los cambios del ransomware.
  • Elastic Defend (open core): el propio agente de endpoint de Elastic, que alimenta las detecciones directamente en Elastic Security.
  • LimaCharlie (comercial, por uso): un "motor EDR como servicio" sobre el que construir, popular entre MSSP y quienes montan a medida.
  • Wazuh agent (OSS): la opción gratuita; monitorización de integridad de archivos, recolección de logs y acciones de respuesta, aunque más ligera en EDR de comportamiento en tiempo real que los nombres comerciales.

SOAR: automatizar lo aburrido

Security Orchestration, Automation and Response es el pegamento y el robot. Un SOAR ejecuta playbooks: cuando llega una alerta, enriquece automáticamente los indicadores, consulta servicios de reputación, abre o actualiza un caso, avisa al analista y —donde confíes en él— toma acciones como bloquear una IP. El objetivo es eliminar el clicar repetitivo de nivel 1 para que las personas dediquen el tiempo al criterio, no a copiar y pegar.

  • Palo Alto Cortex XSOAR (comercial): una de las plataformas SOAR más consolidadas, con un gran marketplace de integraciones.
  • Splunk SOAR (comercial): automatización que encaja de forma natural en un SOC centrado en Splunk.
  • Tines (comercial, con nivel community gratuito): automatización no-code/low-code, adorada por lo rápido que se construye un flujo.
  • Shuffle (OSS): SOAR de código abierto que casa de maravilla con TheHive y MISP en un stack gratuito.
  • Swimlane (comercial): automatización con énfasis en la gestión de casos y el reporte a escala.

IDS / IPS / NDR: vigilar el cable

Donde el EDR vigila los hosts, esta categoría vigila el tráfico de red. Un IDS (Intrusion Detection System, sistema de detección de intrusiones) inspecciona los paquetes en busca de patrones conocidos como maliciosos y alerta; un IPS además puede bloquear en línea. El NDR (Network Detection and Response) se apoya en el comportamiento y los metadatos más que en las firmas puras. Estos sensores alimentan al SIEM con la parte de la historia del tráfico que tus endpoints no pueden ver.

  • Suricata (OSS): IDS/IPS multihilo de alto rendimiento, con rico logging de protocolos y extracción de archivos.
  • Snort (OSS): el IDS/IPS original basado en firmas, respaldado por un enorme ruleset comunitario.
  • Zeek (OSS): no es un motor de firmas sino un marco de análisis de red que convierte el tráfico en logs ricos y estructurados; el favorito de los hunters.
  • Security Onion (OSS): toda una distro gratuita que empaqueta Suricata, Zeek, el Elastic Stack y herramientas de casos en una sola plataforma desplegable.

Los motores de firmas son primos cercanos con una división de diseño real: mira Snort vs Suricata para saber cuándo elegir cuál.

Plataformas de inteligencia de amenazas (TIP)

Una TIP es donde un SOC recopila, deduplica y operativiza lo que sabe sobre los atacantes: indicadores de compromiso (IOC), campañas y actores de amenaza. Su trabajo es convertir feeds dispersos en inteligencia estructurada que puedas empujar a las detecciones y traer al enriquecimiento. Es la memoria del SOC.

  • MISP (OSS): el estándar de facto de código abierto para compartir IOC, con comunidades de intercambio y exportación fácil a tu SIEM.
  • OpenCTI (OSS): un grafo de conocimiento que modela actores, técnicas y relaciones sobre los indicadores en bruto.
  • AlienVault OTX (gratis): un intercambio abierto de amenazas con "pulses" comunitarios a los que puedes suscribirte.
  • Recorded Future (comercial): inteligencia a gran escala y en tiempo real con analítica potente.
  • Anomali (comercial): gestión de inteligencia de amenazas y cotejo contra tu telemetría.
  • ThreatConnect (comercial): TIP con flujo de trabajo y automatización integrados.
  • SOCRadar (comercial): inteligencia de superficie de ataque externa y de riesgo digital, incluida la monitorización de la dark web.

Gestión de casos y ticketing

Las alertas son ruido hasta que alguien se hace dueño de ellas. La gestión de casos es donde una alerta se convierte en una investigación con línea temporal, asignados, evidencias y un veredicto. Sin ella, el trabajo se cuela por las grietas y no puedes demostrar qué hiciste.

  • TheHive (OSS): gestión de casos de respuesta a incidentes hecha a propósito, diseñada para emparejarse con MISP y los analizadores de Cortex.
  • Jira (comercial): no es específica de seguridad, pero muchos SOC llevan aquí sus tickets de incidentes para que estén junto al trabajo de ingeniería.

Sandboxes de malware

Cuando cae un archivo sospechoso, necesitas saber qué hace sin detonarlo en una máquina real. Una sandbox ejecuta la muestra en un entorno instrumentado y desechable e informa de su comportamiento: archivos soltados, procesos lanzados, dominios contactados. Es clave para triar adjuntos de phishing y binarios desconocidos.

  • ANY.RUN (comercial, con nivel community gratuito): sandbox interactiva donde observas y clicas a través de la detonación en vivo.
  • Joe Sandbox (comercial): análisis profundo y detallado en Windows, macOS, Linux y móvil.
  • Hybrid Analysis (gratis): la sandbox pública de CrowdStrike y su repositorio comunitario de informes.
  • CAPEv2 / Cuckoo (OSS): el clásico autoalojado; CAPEv2 es el sucesor mantenido activamente de Cuckoo Sandbox.
  • VMRay (comercial): análisis resistente a la evasión, pensado para muestras difíciles de detonar.
  • Triage (tria.ge) (comercial, con nivel gratuito): sandboxing automatizado rápido y de alto rendimiento con informes limpios.

Enriquecimiento y reputación

Estas son las búsquedas que un analista hace cincuenta veces al día: ¿este hash, IP, dominio o URL es conocido como malicioso? Los servicios de enriquecimiento responden a eso en segundos y son lo primero que automatiza un playbook de SOAR. Convierten un indicador desnudo en contexto.

  • VirusTotal (gratis / comercial): escaneo multimotor de archivos, URL y hashes; la primera parada por reflejo.
  • AbuseIPDB (gratis / comercial): historial de abuso reportado por la comunidad y puntuación de confianza para una IP.
  • GreyNoise (comercial, con búsquedas gratuitas): te dice si una IP es ruido masivo de internet o algo dirigido, recortando falsos positivos.
  • urlscan.io (gratis / comercial): renderiza y disecciona una URL de forma segura, haciendo captura y mapeando lo que carga.
  • Shodan (comercial, con nivel gratuito): buscador de hosts y servicios expuestos a internet.
  • Censys (comercial, con nivel gratuito): escaneo de hosts y certificados a escala de internet para exposición y atribución.
  • URLhaus (gratis, abuse.ch): un feed en vivo de URL de distribución de malware.
  • ThreatFox (gratis, abuse.ch): una base de datos gratuita y compartible de IOC ligados a familias de malware.

Detection-as-code

Los SOC modernos tratan las detecciones como software: escritas como texto, versionadas en Git, revisadas y probadas. Eso es lo que significa "detection-as-code", y dos estándares abiertos lo llevan. Sigma es un formato genérico y agnóstico de herramienta para detecciones basadas en logs que escribes una vez y conviertes al lenguaje de consulta de tu SIEM. YARA describe patrones para identificar y clasificar archivos de malware. Ambos son OSS, ambos son portables y ambos pertenecen a un repositorio antes que pegados en una sola consola.

  • Sigma (OSS): el formato de reglas "escribe una vez, ejecuta en cualquier sitio" para detecciones de SIEM, con un enorme ruleset público.
  • YARA (OSS): reglas de coincidencia de patrones para archivos y memoria; la lingua franca de la identificación de malware.
  • pySigma / sigma-cli (OSS): la cadena de herramientas que convierte una regla Sigma en Splunk SPL, KQL, Elasticsearch y más.

Aquí está la promesa del detection-as-code en una sola sesión de consola: coge una regla Sigma portable y compílala en una búsqueda de Splunk que puedes pegar directamente en tu SIEM:

$ pip install sigma-cli
$ sigma plugin install splunk

# Convierte una regla Sigma en una búsqueda SPL de Splunk
$ sigma convert -t splunk rules/windows/process_creation/proc_creation_win_whoami.yml

(source="WinEventLog:Security" EventCode=4688 Image="*\\whoami.exe")
| table _time, ComputerName, User, CommandLine

Cambia un flag —-t microsoft365defender, -t elasticsearch— y la misma regla se convierte en KQL o en una consulta Lucene. Esa portabilidad es la razón de que los ingenieros de detección estandaricen sobre Sigma. Profundizamos en cómo escribir las tuyas en reglas Sigma y YARA explicadas.

Un stack de SOC open source realista que puedes montar

No necesitas un presupuesto de seis cifras para operar un SOC competente. Aquí tienes un stack gratuito y coherente —la misma filosofía que empaqueta Security Onion— donde cada pieza tiene un trabajo claro y de verdad se hablan entre sí:

  • Wazuh como SIEM y agente de endpoint: un solo despliegue te da recolección de logs, correlación y detección de intrusiones en host a coste de licencia cero, por muchos datos que envíes.
  • Suricata y Zeek en la red: Suricata alerta sobre firmas conocidas como maliciosas, Zeek convierte el tráfico en bruto en logs ricos para el hunting. Juntos son tus ojos en el cable.
  • MISP como plataforma de inteligencia de amenazas: incorpora feeds comunitarios, guarda tus propios IOC y empújalos a Wazuh para que las detecciones se mantengan al día.
  • TheHive para la gestión de casos: cada alerta real se convierte en una investigación con seguimiento, con evidencias y un veredicto, y se integra de forma nativa con MISP.
  • Shuffle como SOAR: conecta el resto entre sí: ante una alerta de Wazuh, autoenriquece con VirusTotal y GreyNoise y luego abre un caso en TheHive.

Eso es un bucle completo —recopilar, detectar, enriquecer, seguir, responder— construido enteramente sobre open source. Si prefieres desplegarlo preensamblado, Security Onion trae la mayor parte en una sola imagen. La lección es que son las categorías, no las etiquetas de precio, las que hacen funcionar un SOC. Aprende las cajas y de qué es dueña cada una, y cualquier stack —gratuito, comercial o mixto— deja de parecer una sopa de siglas y empieza a parecer un pipeline sobre el que puedes razonar.

Preguntas frecuentes

¿Cuál es la diferencia entre SIEM y SOAR?
Un SIEM recopila, almacena y busca datos de log y lanza alertas cuando sus detecciones saltan: es el sistema de registro. Un SOAR se sitúa por encima y actúa sobre esas alertas, ejecutando playbooks automatizados que enriquecen indicadores, abren casos y toman acciones de respuesta. Dicho simple: el SIEM te dice que algo ha pasado; el SOAR hace algo al respecto. Muchos equipos empiezan solo con un SIEM y añaden un SOAR cuando el volumen de alertas supera al triaje manual.
¿Cuál es la diferencia entre EDR y antivirus?
El antivirus tradicional coteja archivos contra una lista de firmas conocidas como maliciosas y los bloquea: es esencialmente un filtro. El EDR (Endpoint Detection and Response) registra el comportamiento en el endpoint —árboles de procesos, líneas de comandos, conexiones de red— y detecta actividad sospechosa incluso de malware nunca visto antes, y luego deja a un analista responder en remoto aislando el host o matando un proceso. El antivirus previene amenazas conocidas; el EDR detecta y te permite investigar y contener las desconocidas.
¿Cuál es el mejor SIEM open source?
Para la mayoría de los equipos, Wazuh. Es gratis a cualquier escala y combina análisis de logs estilo SIEM con detección de intrusiones en host en un solo agente, así que obtienes visibilidad del endpoint sin un segundo producto. Elastic Security (el stack ELK) es la alternativa fuerte si quieres máxima flexibilidad y tienes destreza interna de operación de Elasticsearch, y Graylog es una opción más ligera centrada en la gestión de logs. Mira nuestra comparación Splunk vs Wazuh vs ELK para ver las contrapartidas.
¿Necesitas de verdad un SOAR?
No al principio. Un equipo pequeño ahogado en un puñado de alertas al día hace mejor en poner a punto las detecciones y la gestión de casos antes de automatizar nada. Necesitas un SOAR cuando el trabajo repetitivo de nivel 1 —enriquecer los mismos indicadores, copiar datos entre herramientas, abrir tickets— empieza a comerse horas que no tienes. Cuando eso ocurre, una opción gratuita como Shuffle o el nivel community de Tines te deja automatizar la parte pesada sin un gran desembolso.
¿Qué es una TIP y necesito MISP?
Una plataforma de inteligencia de amenazas (TIP) recopila, deduplica y organiza lo que sabes sobre los atacantes —indicadores de compromiso, campañas y actores— para que puedas empujar ese conocimiento a las detecciones y traerlo al enriquecimiento. MISP es el estándar open source y vale la pena tenerlo en cuanto consumes más de un feed de amenazas o compartes inteligencia con otros equipos. Por debajo de ese umbral, búsquedas gratuitas como VirusTotal y AbuseIPDB pueden bastar, pero MISP es donde los feeds dispersos se convierten en una memoria organizada y consultable.
SIEM vs XDR: ¿cuál es la diferencia?
Un SIEM es agnóstico de la fuente de datos: le apuntas cualquier log, defines tus propias detecciones y eres dueño de la correlación y el afinado. El XDR (Extended Detection and Response) es una suite integrada de un fabricante que cose la telemetría de endpoint, identidad, correo y cloud de ese fabricante con detecciones ya incluidas, cambiando flexibilidad por menos configuración. El SIEM te da control total y cobertura amplia a costa de esfuerzo de ingeniería; el XDR te da detección rápida y opinada dentro de un ecosistema a costa de lock-in. Los SOC más grandes suelen operar ambos, con el XDR alimentando al SIEM.