SOAR
¿Qué es SOAR?
SOARPlataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
SOAR (Security Orchestration, Automation and Response) complementa al SIEM y al EDR/XDR para operativizar la respuesta a incidentes. Mediante conectores y APIs consulta inteligencia de amenazas, IAM, endpoints, red y ticketing, y ejecuta playbooks codificados que triagan alertas, enriquecen indicadores, aíslan hosts, deshabilitan cuentas y documentan el caso. SOAR reduce la carga repetitiva del analista, impone procesos consistentes y mejora el MTTR automatizando pasos repetibles, dejando al humano la decisión en acciones de alto riesgo. Plataformas habituales: Splunk SOAR, Palo Alto Cortex XSOAR, Microsoft Sentinel y Tines.
● Ejemplos
- 01
Playbook de triaje de phishing que detona URLs en un sandbox, consulta VirusTotal y pone en cuarentena el correo.
- 02
Playbook de XSOAR que aísla un host en el EDR y restablece la contraseña del usuario al detectar comportamiento de ransomware.
● Preguntas frecuentes
¿Qué es SOAR?
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa SOAR?
Plataforma que automatiza y orquesta los flujos de trabajo del SOC encadenando detecciones, enriquecimientos y acciones de respuesta en playbooks que se ejecutan en las herramientas de seguridad.
¿Cómo defenderse de SOAR?
Las defensas contra SOAR combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.