Herramientas SOC: SIEM, SOAR, EDR y más.
El stack del SOC por categorías: SIEM, EDR/XDR, SOAR, NDR, inteligencia de amenazas, sandboxes y enriquecimiento, con herramientas OSS y comerciales reales.
Entra en cualquier Security Operations Center y no encontrarás una sola herramienta haciendo el trabajo. Encontrarás un stack: una docena de productos que ingieren, detectan, enriquecen, deciden y contienen, cada uno dueño de una porción del trabajo y pasando el testigo al siguiente. Los analistas nuevos se pierden porque los fabricantes venden cada caja como si sustituyera a todas las demás. No es así. Un SIEM no es un EDR, un EDR no es un SOAR, y ninguno de ellos es una plataforma de inteligencia de amenazas. La forma más rápida de entender un SOC es aprender primero las categorías y luego encajar las herramientas reales en cada una.
Este es el mapa de referencia. De cada categoría obtienes lo que hace de verdad, seguido de las herramientas que la gente usa de verdad —marcadas con claridad como open source (OSS) o comercial—, cada una enlazada a su propio sitio. Si aún no tienes claro qué es un SOC de entrada, empieza por qué es un SOC y vuelve.
Cómo encajan las piezas
Antes de la lista de herramientas, ten el pipeline en la cabeza. La telemetría fluye en una dirección y las decisiones fluyen de vuelta. Todo lo de abajo es una variación de esta forma:
FUENTES DE LOG / TELEMETRÍA SIEM DETECCIÓN
endpoints, cortafuegos, ─────▶ recopila, ─────▶ reglas sobre los datos
cloud, DNS, IDS, apps normaliza, (Sigma, consultas nativas)
almacena, busca │
▼
CONTENCIÓN GESTIÓN DE CASOS ALERTA / SOAR
aislar host, matar ◀── TheHive / Jira ◀── triaje + automatización
proceso vía EDR seguir el caso (enriquecer, correlacionar)
▲ │
│ ▼
└────────── ENRIQUECIMIENTO: VirusTotal, GreyNoise, AbuseIPDB, MISP ◀─┘
Léelo como una frase: las fuentes de logs alimentan un SIEM; las detecciones (a menudo escritas como reglas Sigma) disparan alertas; un SOAR o un analista enriquece esas alertas contra inteligencia de amenazas y servicios de reputación; los incidentes confirmados se convierten en casos en un gestor como TheHive; y la contención ocurre de vuelta en el endpoint a través de un EDR. Ten ese bucle en mente y cada categoría de abajo tiene un sitio evidente.
SIEM: el sistema de registro
El SIEM (Security Information and Event Management, gestión de información y eventos de seguridad) es el sistema nervioso central del SOC. Recoge logs de todas partes —endpoints, cortafuegos, cloud, proveedores de identidad, aplicaciones—, los normaliza a una forma común, los almacena y te deja buscar y alertar sobre el conjunto. Es donde ocurre la correlación: un login fallido aquí, más una cuenta de administrador nueva allá, más datos saliendo de la red, se convierten en una sola historia. Si un SOC tiene un único núcleo, es este.
- Splunk (comercial): el referente del mercado; enorme ecosistema de apps y el lenguaje de búsqueda SPL, tarificado principalmente por volumen de ingesta diaria.
- Microsoft Sentinel (comercial): SIEM nativo de cloud sobre Azure, consultado con KQL, potente si ya vives en el ecosistema de Microsoft.
- IBM QRadar (comercial): SIEM empresarial de largo recorrido con correlación madura y gestión de ofensas.
- Elastic Security / ELK (open core): el Elastic Stack más una capa de seguridad; gratis para autoalojar, con funciones de detección avanzadas en los niveles de pago.
- Wazuh (OSS): gratis a cualquier escala, combina análisis de logs estilo SIEM con detección de intrusiones en host en un solo agente.
- Graylog (open core): plataforma ligera centrada primero en la gestión de logs, con una interfaz de búsqueda amable y una edición open source.
- Google SecOps (Chronicle) (comercial): SIEM en cloud construido para volúmenes de log muy grandes, con inteligencia de amenazas de Google integrada.
Elegir entre las tres grandes opciones open y comercial merece su propio artículo; escribimos uno: Splunk vs Wazuh vs ELK. La versión corta es una tabla.
| SIEM | ¿OSS? | Fuerte en | Ojo con |
|---|---|---|---|
| Splunk | No | Potencia de búsqueda, ecosistema de apps, soporte del fabricante | La tarifa por ingesta se puede disparar |
| Microsoft Sentinel | No | Nativo de cloud, integración estrecha con Microsoft/Entra | El coste y el lock-in van con Azure |
| IBM QRadar | No | Correlación madura, despliegues empresariales | Pesado, UX anticuada, licenciamiento caro |
| Elastic Security / ELK | Open core | Ingesta flexible, escala si se afina | Requiere destreza real de operación de Elasticsearch |
| Wazuh | Sí | Gratis a escala, HIDS integrado | Ecosistema más pequeño, más hazlo tú mismo |
| Graylog | Open core | Gestión de logs simple, arranque fácil | Menos funciones específicas de seguridad |
| Google SecOps | No | Volúmenes enormes, inteligencia de amenazas de Google | Solo cloud, precios opacos |
EDR / XDR: ojos en el endpoint
El Endpoint Detection and Response pone un sensor en cada portátil y servidor. A diferencia del antivirus de antaño, no se limita a cotejar archivos conocidos como maliciosos: registra árboles de procesos, líneas de comandos, conexiones de red y cambios de registro, luego marca comportamientos sospechosos y te deja responder en remoto: aislar el host, matar un proceso, extraer un archivo. XDR (Extended Detection and Response) es la misma idea ampliada para correlacionar señales de endpoint, identidad, correo y cloud en una sola consola.
- CrowdStrike Falcon (comercial): agente cloud ligero, muy bien considerado por su calidad de detección y su threat hunting.
- Microsoft Defender for Endpoint (comercial): profundamente integrado en Windows y en el stack de seguridad de Microsoft.
- SentinelOne (comercial): IA de comportamiento en el propio agente, con rollback automático de los cambios del ransomware.
- Elastic Defend (open core): el propio agente de endpoint de Elastic, que alimenta las detecciones directamente en Elastic Security.
- LimaCharlie (comercial, por uso): un "motor EDR como servicio" sobre el que construir, popular entre MSSP y quienes montan a medida.
- Wazuh agent (OSS): la opción gratuita; monitorización de integridad de archivos, recolección de logs y acciones de respuesta, aunque más ligera en EDR de comportamiento en tiempo real que los nombres comerciales.
SOAR: automatizar lo aburrido
Security Orchestration, Automation and Response es el pegamento y el robot. Un SOAR ejecuta playbooks: cuando llega una alerta, enriquece automáticamente los indicadores, consulta servicios de reputación, abre o actualiza un caso, avisa al analista y —donde confíes en él— toma acciones como bloquear una IP. El objetivo es eliminar el clicar repetitivo de nivel 1 para que las personas dediquen el tiempo al criterio, no a copiar y pegar.
- Palo Alto Cortex XSOAR (comercial): una de las plataformas SOAR más consolidadas, con un gran marketplace de integraciones.
- Splunk SOAR (comercial): automatización que encaja de forma natural en un SOC centrado en Splunk.
- Tines (comercial, con nivel community gratuito): automatización no-code/low-code, adorada por lo rápido que se construye un flujo.
- Shuffle (OSS): SOAR de código abierto que casa de maravilla con TheHive y MISP en un stack gratuito.
- Swimlane (comercial): automatización con énfasis en la gestión de casos y el reporte a escala.
IDS / IPS / NDR: vigilar el cable
Donde el EDR vigila los hosts, esta categoría vigila el tráfico de red. Un IDS (Intrusion Detection System, sistema de detección de intrusiones) inspecciona los paquetes en busca de patrones conocidos como maliciosos y alerta; un IPS además puede bloquear en línea. El NDR (Network Detection and Response) se apoya en el comportamiento y los metadatos más que en las firmas puras. Estos sensores alimentan al SIEM con la parte de la historia del tráfico que tus endpoints no pueden ver.
- Suricata (OSS): IDS/IPS multihilo de alto rendimiento, con rico logging de protocolos y extracción de archivos.
- Snort (OSS): el IDS/IPS original basado en firmas, respaldado por un enorme ruleset comunitario.
- Zeek (OSS): no es un motor de firmas sino un marco de análisis de red que convierte el tráfico en logs ricos y estructurados; el favorito de los hunters.
- Security Onion (OSS): toda una distro gratuita que empaqueta Suricata, Zeek, el Elastic Stack y herramientas de casos en una sola plataforma desplegable.
Los motores de firmas son primos cercanos con una división de diseño real: mira Snort vs Suricata para saber cuándo elegir cuál.
Plataformas de inteligencia de amenazas (TIP)
Una TIP es donde un SOC recopila, deduplica y operativiza lo que sabe sobre los atacantes: indicadores de compromiso (IOC), campañas y actores de amenaza. Su trabajo es convertir feeds dispersos en inteligencia estructurada que puedas empujar a las detecciones y traer al enriquecimiento. Es la memoria del SOC.
- MISP (OSS): el estándar de facto de código abierto para compartir IOC, con comunidades de intercambio y exportación fácil a tu SIEM.
- OpenCTI (OSS): un grafo de conocimiento que modela actores, técnicas y relaciones sobre los indicadores en bruto.
- AlienVault OTX (gratis): un intercambio abierto de amenazas con "pulses" comunitarios a los que puedes suscribirte.
- Recorded Future (comercial): inteligencia a gran escala y en tiempo real con analítica potente.
- Anomali (comercial): gestión de inteligencia de amenazas y cotejo contra tu telemetría.
- ThreatConnect (comercial): TIP con flujo de trabajo y automatización integrados.
- SOCRadar (comercial): inteligencia de superficie de ataque externa y de riesgo digital, incluida la monitorización de la dark web.
Gestión de casos y ticketing
Las alertas son ruido hasta que alguien se hace dueño de ellas. La gestión de casos es donde una alerta se convierte en una investigación con línea temporal, asignados, evidencias y un veredicto. Sin ella, el trabajo se cuela por las grietas y no puedes demostrar qué hiciste.
- TheHive (OSS): gestión de casos de respuesta a incidentes hecha a propósito, diseñada para emparejarse con MISP y los analizadores de Cortex.
- Jira (comercial): no es específica de seguridad, pero muchos SOC llevan aquí sus tickets de incidentes para que estén junto al trabajo de ingeniería.
Sandboxes de malware
Cuando cae un archivo sospechoso, necesitas saber qué hace sin detonarlo en una máquina real. Una sandbox ejecuta la muestra en un entorno instrumentado y desechable e informa de su comportamiento: archivos soltados, procesos lanzados, dominios contactados. Es clave para triar adjuntos de phishing y binarios desconocidos.
- ANY.RUN (comercial, con nivel community gratuito): sandbox interactiva donde observas y clicas a través de la detonación en vivo.
- Joe Sandbox (comercial): análisis profundo y detallado en Windows, macOS, Linux y móvil.
- Hybrid Analysis (gratis): la sandbox pública de CrowdStrike y su repositorio comunitario de informes.
- CAPEv2 / Cuckoo (OSS): el clásico autoalojado; CAPEv2 es el sucesor mantenido activamente de Cuckoo Sandbox.
- VMRay (comercial): análisis resistente a la evasión, pensado para muestras difíciles de detonar.
- Triage (tria.ge) (comercial, con nivel gratuito): sandboxing automatizado rápido y de alto rendimiento con informes limpios.
Enriquecimiento y reputación
Estas son las búsquedas que un analista hace cincuenta veces al día: ¿este hash, IP, dominio o URL es conocido como malicioso? Los servicios de enriquecimiento responden a eso en segundos y son lo primero que automatiza un playbook de SOAR. Convierten un indicador desnudo en contexto.
- VirusTotal (gratis / comercial): escaneo multimotor de archivos, URL y hashes; la primera parada por reflejo.
- AbuseIPDB (gratis / comercial): historial de abuso reportado por la comunidad y puntuación de confianza para una IP.
- GreyNoise (comercial, con búsquedas gratuitas): te dice si una IP es ruido masivo de internet o algo dirigido, recortando falsos positivos.
- urlscan.io (gratis / comercial): renderiza y disecciona una URL de forma segura, haciendo captura y mapeando lo que carga.
- Shodan (comercial, con nivel gratuito): buscador de hosts y servicios expuestos a internet.
- Censys (comercial, con nivel gratuito): escaneo de hosts y certificados a escala de internet para exposición y atribución.
- URLhaus (gratis, abuse.ch): un feed en vivo de URL de distribución de malware.
- ThreatFox (gratis, abuse.ch): una base de datos gratuita y compartible de IOC ligados a familias de malware.
Detection-as-code
Los SOC modernos tratan las detecciones como software: escritas como texto, versionadas en Git, revisadas y probadas. Eso es lo que significa "detection-as-code", y dos estándares abiertos lo llevan. Sigma es un formato genérico y agnóstico de herramienta para detecciones basadas en logs que escribes una vez y conviertes al lenguaje de consulta de tu SIEM. YARA describe patrones para identificar y clasificar archivos de malware. Ambos son OSS, ambos son portables y ambos pertenecen a un repositorio antes que pegados en una sola consola.
- Sigma (OSS): el formato de reglas "escribe una vez, ejecuta en cualquier sitio" para detecciones de SIEM, con un enorme ruleset público.
- YARA (OSS): reglas de coincidencia de patrones para archivos y memoria; la lingua franca de la identificación de malware.
- pySigma / sigma-cli (OSS): la cadena de herramientas que convierte una regla Sigma en Splunk SPL, KQL, Elasticsearch y más.
Aquí está la promesa del detection-as-code en una sola sesión de consola: coge una regla Sigma portable y compílala en una búsqueda de Splunk que puedes pegar directamente en tu SIEM:
$ pip install sigma-cli
$ sigma plugin install splunk
# Convierte una regla Sigma en una búsqueda SPL de Splunk
$ sigma convert -t splunk rules/windows/process_creation/proc_creation_win_whoami.yml
(source="WinEventLog:Security" EventCode=4688 Image="*\\whoami.exe")
| table _time, ComputerName, User, CommandLine
Cambia un flag —-t microsoft365defender, -t elasticsearch— y la misma regla se convierte en KQL o en una consulta Lucene. Esa portabilidad es la razón de que los ingenieros de detección estandaricen sobre Sigma. Profundizamos en cómo escribir las tuyas en reglas Sigma y YARA explicadas.
Un stack de SOC open source realista que puedes montar
No necesitas un presupuesto de seis cifras para operar un SOC competente. Aquí tienes un stack gratuito y coherente —la misma filosofía que empaqueta Security Onion— donde cada pieza tiene un trabajo claro y de verdad se hablan entre sí:
- Wazuh como SIEM y agente de endpoint: un solo despliegue te da recolección de logs, correlación y detección de intrusiones en host a coste de licencia cero, por muchos datos que envíes.
- Suricata y Zeek en la red: Suricata alerta sobre firmas conocidas como maliciosas, Zeek convierte el tráfico en bruto en logs ricos para el hunting. Juntos son tus ojos en el cable.
- MISP como plataforma de inteligencia de amenazas: incorpora feeds comunitarios, guarda tus propios IOC y empújalos a Wazuh para que las detecciones se mantengan al día.
- TheHive para la gestión de casos: cada alerta real se convierte en una investigación con seguimiento, con evidencias y un veredicto, y se integra de forma nativa con MISP.
- Shuffle como SOAR: conecta el resto entre sí: ante una alerta de Wazuh, autoenriquece con VirusTotal y GreyNoise y luego abre un caso en TheHive.
Eso es un bucle completo —recopilar, detectar, enriquecer, seguir, responder— construido enteramente sobre open source. Si prefieres desplegarlo preensamblado, Security Onion trae la mayor parte en una sola imagen. La lección es que son las categorías, no las etiquetas de precio, las que hacen funcionar un SOC. Aprende las cajas y de qué es dueña cada una, y cualquier stack —gratuito, comercial o mixto— deja de parecer una sopa de siglas y empieza a parecer un pipeline sobre el que puedes razonar.
