Tenemos tanto un SIEM como un SOAR. ¿Qué hace cada uno y cómo trabajan juntos?
Respuesta breve
Un SIEM ingiere y correlaciona logs de todo el parque para generar alertas: es tu capa de detección y búsqueda. Un SOAR se sitúa aguas abajo y automatiza la respuesta: ejecuta playbooks, enriquece las alertas mediante integraciones y gestiona los casos para que los analistas dediquen menos tiempo a pasos repetitivos.
SIEM y SOAR se mencionan a menudo en la misma frase porque están uno junto al otro en el pipeline del SOC, pero resuelven problemas distintos. Confundirlos es un error común de junior, así que los entrevistadores preguntan esto para comprobar que entiendes dónde termina la detección y dónde empieza la respuesta.
SIEM: detección y visibilidad
Una plataforma de Security Information and Event Management ingiere logs y telemetría de muchas fuentes —firewalls, endpoints, proveedores de identidad, nube, aplicaciones—, los normaliza en un esquema común y te permite buscar y correlacionar a través de todos ellos. Sus funciones centrales son la agregación, la correlación, el alerting y la retención para cumplimiento e investigación. Cuando una regla coincide (por ejemplo, muchos inicios de sesión fallidos seguidos de uno exitoso), el SIEM levanta una alerta.
SOAR: orquestación y automatización
Una plataforma de Security Orchestration, Automation and Response retoma donde el SIEM lo deja. Se conecta a tus otras herramientas mediante integraciones y ejecuta playbooks: pasos de respuesta codificados y repetibles. Un playbook podría enriquecer automáticamente una alerta con búsquedas de threat-intel, geolocalizar una IP, consultar el EDR en busca de procesos relacionados, abrir un caso e incluso contener un host, todo sin que un analista teclee comandos.
Cómo trabajan juntos
El SIEM dice «ha pasado algo»; el SOAR te ayuda a decidir y actuar rápido. Juntos reducen el tiempo medio de respuesta eliminando pasos manuales repetitivos y asegurando que cada alerta se gestione de forma consistente.
Por qué importa
Los entrevistadores quieren oír que la detección y la respuesta son etapas distintas. Saberlo demuestra que entiendes el flujo de trabajo del SOC de extremo a extremo, y que la automatización potencia a los analistas en lugar de reemplazar su criterio en las decisiones de alto riesgo.
Posibles preguntas de seguimiento
- Da un ejemplo de un playbook de SOAR que automatizarías primero.
- ¿Qué tipos de decisiones nunca deberían automatizarse por completo?
- ¿Cómo ayuda el SOAR con el tiempo medio de respuesta (MTTR)?