Blue Team · Módulo 1 de 6

SOC y SIEM

Bienvenida al camino defensivo. Mientras el Red Team busca la puerta abierta, tu trabajo es tener ojos en todas las puertas al mismo tiempo. Acá entendés dónde y cómo se hace eso en la vida real.

Qué es un SOC

Un SOC (Security Operations Center, "Centro de Operaciones de Seguridad") es el equipo — y el lugar, físico o virtual — donde un grupo de analistas vigila la seguridad de una organización las 24 horas. No previenen ataques directamente en el momento cero: los detectan, los investigan y coordinan la respuesta.

Analogía

Un SOC es como la sala de control de cámaras de un edificio grande. Los guardias no están parados en cada puerta — están sentados frente a pantallas que muestran todas las cámaras a la vez, y reaccionan cuando algo se ve raro en alguna de ellas. El "algo raro" en ciberseguridad se llama alerta.

El problema que resuelve un SIEM

Una organización grande genera una cantidad brutal de registros por segundo: cada login, cada archivo abierto, cada conexión de red, cada mail. Ningún humano puede mirar eso a mano. Un SIEM (Security Information and Event Management) es el software que junta todos esos registros de todos los sistemas en un solo lugar, los relaciona entre sí, y le avisa al analista solo cuando algo parece sospechoso.

Recolecta

Ingesta de logs

El SIEM recibe registros de firewalls, servidores, antivirus, aplicaciones — todo en un mismo lugar.

Relaciona

Correlación

Cruza eventos de distintas fuentes para detectar patrones que, por separado, no dirían nada.

Avisa

Alertas

Genera una alerta automática cuando algo coincide con un patrón de riesgo conocido.

Guarda

Retención

Almacena el historial para investigaciones futuras — clave para el módulo de Forense más adelante.

Un ejemplo de correlación, para que se sienta real

Por separado, estos tres eventos no significan nada grave: un login fallido, una IP nueva conectándose, y un usuario descargando muchos archivos. Correlacionados por el SIEM en una ventana de pocos minutos y con el mismo usuario involucrado, arman una historia distinta: posible cuenta comprometida robando datos. Ese es el trabajo del SIEM — convertir ruido disperso en una señal accionable.

Los niveles de un analista SOC

En un SOC real, el trabajo se divide en niveles: Nivel 1 monitorea alertas y hace la primera triage (¿es real o falso positivo?). Nivel 2 investiga en profundidad las alertas que el Nivel 1 escaló. Nivel 3 hace threat hunting (buscar activamente amenazas que nadie reportó todavía) y responde a incidentes graves. Vas a ir subiendo por ese camino a medida que avancemos en los próximos módulos.

Cómo lo ve el otro lado (Red Team)

Un atacante experimentado sabe que casi todo lo que hace queda registrado en algún log, en algún lado. Buena parte de una intrusión sofisticada consiste en actuar "por debajo del radar" del SIEM: espaciar acciones en el tiempo, usar canales que generan menos alertas, o directamente intentar borrar evidencia — algo que van a ver en el módulo de Post-explotación.

LAB GUIADO · pensar como un analista SOC
1

Abrí el "Visor de eventos" de Windows (buscá "Event Viewer") o, en Linux, mirá /var/log/auth.log con cat /var/log/auth.log.

2

Buscá eventos relacionados a inicios de sesión (login). Vas a ver la hora, el usuario, y si fue exitoso o fallido.

3

Preguntate como analista: si vieras 20 intentos fallidos de login del mismo usuario en un minuto, seguidos de un login exitoso, ¿qué pensarías que está pasando?

4

Esa lógica — mirar un patrón en el tiempo, no un evento aislado — es exactamente lo que un SIEM automatiza a gran escala.

Ponete a prueba

1. ¿Cuál es el rol principal de un SOC?

2. ¿Qué problema resuelve principalmente un SIEM?

3. ¿Qué hace un analista de Nivel 1 en un SOC?