Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Glosario de ciberseguridad > SOAR (Security Orchestration, Automation, and Response) 🟢 Protección

SOAR (Security Orchestration, Automation, and Response) 🟢 Protección

SOAR (orquestación, automatización y respuesta de seguridad), Orquestación, Automatización y Respuesta de Seguridad hace referencia a una categoría de plataformas y herramientas diseñadas para mejorar la gestión de las operaciones de ciberseguridad.

  • Orquestación integración y coordinación de herramientas, sistemas y procesos de seguridad heterogéneos (p. ej: SIEM, EDRinteligencia sobre amenazas) para centralizar sus operaciones.
  • Automatización (automatización): ejecución automatizada de tareas repetitivas o complejas (por ejemplo, análisis de alertas, bloqueo de direcciones IP maliciosas) mediante libros de jugadas (escenarios predefinidos).
  • Respuesta (responder) Gestión acelerada de los incidentes de seguridad, desde la detección hasta la resolución, mediante procedimientos normalizados.

 

 

Objetivos de un SOAR

Reduzca el tiempo de respuesta a los incidentes, reduzca los errores humanos y haga frente a la sobrecarga de alertas gracias a un enfoque unificado y automatizado.

  • Reducción del tiempo de respuesta a incidentes.
  • Mejorar la eficacia de los equipos de seguridad.
  • Reducción de los costes relacionados con la seguridad.
  • Mejor visibilidad de amenazas e incidentes.
  • Mejora del cumplimiento de la normativa.

 

Ejemplos de usos de SOAR

  • Gestión de alertas de seguridad (Triaje de alertas y calificación de incidentes) a SOAR es excelente para automatizar la clasificación y calificación inicial de alertas de seguridad procedentes de diversas fuentes (SIEM, IDS/IPS, etc.). Puede mejorar las alertas con información contextual adicional, determinar la gravedad de la alerta y decidir si se trata de un auténtico incidente que requiere una investigación más profunda.
  • Respuesta a incidentes de seguridad (Automatización de la respuesta a incidentes) : un SOAR permite automatizar todo o parte del proceso de respuesta a incidentes, mediante la ejecución de guías predefinidas para diferentes tipos de incidentes (suplantación de identidad, malware, DDoSetc.). Esto puede incluir acciones como aislar hosts, bloquear direcciones IP, eliminar cuentas de usuario comprometidas, enviar notificaciones, etc.
  • Caza de amenazas : un SOAR puede ayudar a los equipos de caza de amenazas automatizando la recopilación y el análisis de datos, enriqueciéndolos con información de información sobre amenazasy permitir que las solicitudes de caza se ejecuten en distintos sistemas.
  • Gestión de vulnerabilidades (Gestión de vulnerabilidades) : un SOAR puede integrarse con herramientas de gestión de vulnerabilidades para automatizar el proceso de remediación de las vulnerabilidades detectadas. Esto puede incluir la creación de tickets de corrección, la supervisión del progreso de la corrección y la validación de la corrección de vulnerabilidades.
  • Aumento de la Plataforma de Inteligencia sobre Amenazas (TIP) : un SOAR puede consumir y actuar sobre la información de las plataformas de inteligencia sobre amenazas (TIP) para mejorar la detección de amenazas y la respuesta, automatizando la difusión de indicadores de compromiso (COI) en las distintas herramientas de seguridad.
  • Informes automatizados y métricas de seguridad : Un SOAR puede automatizar la generación de informes y cuadros de mando de seguridad para proporcionar una visión general de la postura de seguridad, el rendimiento del equipo de seguridad y las tendencias de los incidentes.

Herramientas relacionadas

Palo Alto Cortex XSOAR, Splunk Phantom, IBM Resilient.

Complementariedad

a menudo junto con un SIEM (Security Information and Event Management) para optimizar la detección y la respuesta.

 

 

Diferencias entre SOAR y SIEM

Es importante distinguir SOAR de SIEM, aunque las dos tecnologías son a menudo complementarias.

  • SIEM (Gestión de eventos e información de seguridad) : SIEM es una plataforma de gestión de eventos e información de seguridad. Recopila y analiza registros y eventos de seguridad de diversas fuentes dentro de la infraestructura de TI para detectar amenazas a la seguridad. SIEM se centra principalmente en detección y alerta.
  • SOAR (orquestación, automatización y respuesta de seguridad) : SOAR va más allá de la simple detección y alerta. Toma las alertas del SIEM (y de otras herramientas) y las orquesta y automatiza la respuesta a estas alertas. SOAR se centra enautomatizar la respuesta y mejorar la eficacia operativa de la seguridad.

Resumiendo:

  • SIEM: detecta y alerta.
  • SOAR: responde y automatiza.
Volver al glosario

ámbito de formación

Ciberseguridad

formación asociada

Seguridad de sistemas y redes, nivel 1

Hacking y seguridad, nivel 1

Seguridad de los sistemas de información, resumen

MEJOR

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad