Security Orchestration, Automation and Response - SOAR

Antes de hablar de SOAR directamente es necesario entender el contexto en el que este tipo de herramienta se inserta.

Security Operations Center (SOC)

El SOC (Security Operations Center) es un equipo dedicado a la defensa de la empresa, monitorizando y respondiendo a amenazas de seguridad en tiempo real.

SOC = Blue Team en la práctica.

El Blue Team es quien defiende; el SOC es la estructura (equipo + procesos + herramientas) donde esa defensa sucede. Es el cuartel general del Blue Team.

Término	¿Qué es?
Blue Team	El equipo que defiende y protege (puede existir fuera o dentro de un SOC)
SOC	El lugar (físico o lógico) donde el Blue Team opera, con procesos, playbooks y herramientas

Responsabilidades de un Equipo SOC:

• Monitorización continua (24x7): Acompañando logs de firewall, SIEM, EDR, cloud, red.
• Detección de incidentes: Alertas de malware, ransomware, brute-force, intentos de phishing.
• Investigación y análisis de alertas: Determinar si es falso positivo o amenaza real.
• Respuesta a incidentes: Aislar máquina, bloquear IP, redefinir contraseña, etc.
• Creación de informes: Para cumplimiento, auditoría, gestión de riesgos.
• Mejora continua de los procesos de seguridad: Ajuste de reglas en el SIEM, afinamiento de detecciones, automatizaciones en el SOAR.

---

SOAR es una categoría de herramienta usada en un SOC para:

• Orquestar: Integrar varias fuentes de datos y herramientas de seguridad (SIEM, EDR, Firewalls, Threat Intelligence, etc).
• Automatizar: Ejecutar respuestas automáticas basadas en reglas o inteligencia (ej: aislar máquina, bloquear IP, abrir ticket de incidente).
• Responder: Permitir que incidentes de seguridad sean tratados con mínima intervención humana, más rápido, más preciso y con histórico rastreable.

---

Principales Funciones de un SOAR

Función	¿Qué hace?	Ejemplo real
Ingesta de Alertas	Recibe alertas del SIEM, EDR, IDS, etc.	Alerta del CrowdStrike llega al SOAR.
Automatización de Playbooks	Ejecuta flujos automáticos para tratar incidentes.	Si es malware → aísla endpoint, crea incidente en Jira.
Consulta de Inteligencia (Threat Intel)	Hace lookup en fuentes como VirusTotal, MISP, AlienVault.	Verifica si IP es maliciosa.
Respuesta a Incidentes (IR)	Ejecuta acciones defensivas automáticas.	Bloquea IP en el firewall vía API.
Auditoría / Cumplimiento	Genera logs completos de respuesta a incidentes.	Informe de cómo incidente X fue tratado.

Vamos a detallar con algunos ejemplos de lo que se espera de un SOAR:

1. Enriquecimiento Automático de Alertas: Cuando llega una alerta del SIEM (tipo del Splunk o QRadar), el SOAR:

   • Consulta IPs/dominios en servicios como VirusTotal, AbuseIPDB, IBM X-Force.
   • Obtiene detalles sobre usuarios en el AD o AzureAD.
   • Hace whois del dominio sospechoso.
   • Ejemplo real: "¿Alerta de login sospechoso?"
     • El SOAR ya busca si el IP es conocido por botnets o ataques de brute-force.

2. Bloqueo Automático de Actividades Maliciosas

   • Aísla la máquina en la red vía EDR (Crowdstrike, SentinelOne).
   • Bloquea IP o dominio en el firewall (Palo Alto, Fortigate).
   • Elimina el usuario de grupos críticos del AD automáticamente.
   • Ejemplo real: "¿Detectó ransomware en el endpoint?"
     • El SOAR acciona el EDR para cortar la red de la máquina solo.

3. Notificación Automática para el Equipo: Envía alerta bien presentada en Slack, Teams o email al analista SOC (Security Operations Center).

   • Crea incident ticket en Jira, ServiceNow o PagerDuty.
   • Ejemplo real: "¿Alerta crítica de malware en servidor de producción?"
     • El equipo de Infra recibe una notificación en Teams en segundos.

4. Generación de Playbooks de Investigación: El SOAR monta un checklist de acciones automáticas:

   • Verificar procesos sospechosos.
   • Validar si la máquina está actualizada.
   • Comprobar conexiones de red extrañas.
   • Ejemplo real: "Nuevo ejecutable ejecutándose en servidor"
     • El SOAR lista los hashes y compara con bases de malware.

5. Respuesta Completa sin Intervención Humana: Si el evento es de baja criticidad o falso positivo, cierra el incidente solo.

   • "¿Usuario intentando abrir un link bloqueado repetidamente?" → El SOAR resuelve y cierra el caso automáticamente.

SOAR vs SIEM

SIEM = Security Information and Event Management (Gestión de Información y Eventos de Seguridad). Es una plataforma que recopila, centraliza y analiza logs de todo en el entorno: firewall, AD, servidores, cloud, endpoints... todo.

Función	SIEM	SOAR
¿Qué hace?	Detecta amenazas y genera alertas	Responde automáticamente a las amenazas
Función clave	Correlación de eventos + generación de alertas	Automatización de respuesta a incidentes
Ejemplo	"Detecté login sospechoso viniendo de Irán"	"Bloqueé el IP de Irán automáticamente"
¿Ayuda a quién?	Analistas SOC a ver el problema	SOC a responder rápido y sin esfuerzo manual
¿Sin qué?	No responde solo, solo alerta	No detecta solo, depende de las alertas (ej: del SIEM)
Herramientas	Splunk, QRadar, Elastic SIEM, Sentinel	Palo Alto XSOAR, Splunk Phantom, Tines, Shuffle

SIEM detecta (Ojo 👁️), SOAR responde (Mano ✋), simple así. No compiten, se complementan.

[Firewall / EDR / Cloud Logs] → SIEM → SOAR → Acciones automáticas (bloqueo, aislar máquina, alertar equipo).

Top Plataformas SOAR del Mercado

Las 3 primeras son las preferidas por bancos, empresas de telecomunicaciones y gobierno.

Herramienta	Fabricante	Observación
Palo Alto Cortex XSOAR	Palo Alto Networks	La más completa y famosa. Usada por SOCs gigantes. Mucho recurso listo.
Splunk SOAR (ex-Phantom)	Splunk	Fuerte integración con Splunk SIEM. Alta personalización. Compleja, pero poderosa.
IBM Security QRadar SOAR	IBM	Integrada al QRadar SIEM. Fuerte en empresas que ya usan IBM stack.
Swimlane	Swimlane	Plataforma flexible, permite uso más allá de seguridad. Popular en EE.UU.
Tines	Tines Security	Sencilla, 100% low-code. Ganando espacio rápido por ser SaaS simple para equipos pequeños/medianos.
DFLabs IncMan SOAR	DFLabs	Fuerte en Europa. Enfoque en respuesta a incidentes críticos.
Siemplify (by Google Cloud)	Google Cloud	Ganó fuerza tras adquisición. Integración con Google Chronicle. (Nota: en transición a Google SecOps Suite)
FortiSOAR	Fortinet	Enfocado en empresas que ya usan Fortinet (Firewall, EDR, etc). Fuerte integración nativa.
ServiceNow Security Operations (SecOps)	ServiceNow	Ideal para empresas que ya usan ServiceNow. Proceso de IR bien integrado.

El Tines ha ganado mucho espacio en el mundo DevSecOps:

• Es low-code real (no ese marketing engañoso).
• Interfaz sencilla (arrastrar-soltar de verdad, sin trucos escondidos).
• Totalmente SaaS, sin dolor de infraestructura.
• Precio accesible para medianas empresas (muy por debajo de Cortex/Splunk), pero sigue siendo caro.
• Agnóstico de stack — no fuerza SIEM/EDR específico.
• Crecimiento contractual fácil (modelo escalable de licencia).

Podríamos citar algunos proyectos Open Source (Shuffle, TheHive, StackStorm), pero NINGÚN proyecto Open Source entrega la experiencia de una plataforma de pago:

• Sin una UX moderna de verdad.
• Sin playbooks listos y validados por SOCs reales.
• Sin integraciones nativas fáciles con SIEM/EDR.
• Auditabilidad y cumplimiento frágiles o inexistentes.
• Exige codificación, personalización y mantenimiento manual constante.

n8n como SOAR?

Cuando es necesaria una herramienta open source, hay casos de equipos usando n8n, ¿pero será que esto realmente tiene sentido?

El n8n se parece mucho al Tines en propuesta de orquestación visual (low-code), incluso con más libertad de flujo, pero no trae de fábrica las facilidades que definen un SOAR de verdad.

1. La verdad del uso de n8n en seguridad:

   • No es un SOAR nato — es un orquestador genérico (DevOps, BizOps, ETL).
   • Sin enfoque natural en SIEM, EDR, IR o Threat Intelligence.
   • Sin playbooks o frameworks de respuesta listos para SOC.

2. ¿Por qué aún así el mercado lo usa?

   • Coste cero en la versión Community.
   • Flexible: cualquier API REST puede ser conectada.
   • Se pueden hacer integraciones con SIEM (ej: Wazuh, Splunk) o EDR (CrowdStrike, SentinelOne) de forma manual — el mismo esfuerzo necesario en cualquier proyecto open source, pero con la ventaja de una UX/UI de workflow decente.
   • Sirve bien para:
     • Enriquecimiento simple (ej: VirusTotal, AbuseIPDB).
     • Notificaciones (Slack, Teams).
     • Apertura de tickets (Jira, ServiceNow).
     • Informes automáticos.

3. Las limitaciones reales (que no se pueden ignorar):

   • Ningún enfoque nativo en Incident Response automatizado.
   • Sin soporte nativo a auditoría/cumplimiento — necesita construirse manualmente.
   • Integración con SIEM/EDR 100% manual (vía APIs crudas).
   • Sin soporte directo a Threat Intel feeds, IOC parsing o incident handling completo.
   • No recomendado para SOCs maduros que necesitan playbooks IR listos y homologados.

Podemos usar n8n para montar un "SOAR-like" artesanal, aprovechando su interfaz de workflow parecida a la del Tines, pero exige esfuerzo manual pesado: integraciones, tratamiento de incidentes, enriquecimientos, auditoría. Todo va a necesitar ser construido por el equipo de seguridad.

En resumen: n8n es óptimo para automatización general, pero aún no sustituye un SOAR real en un SOC que exige auditoría, cumplimiento y respuesta validada.