Un playbook SOAR típico contiene 10-40 pasos: ingesta de alerta, enriquecimiento con threat intel, consulta a EDR, decisión condicional, aislamiento del activo, ticket en ITSM, notificación a stakeholders, registro de evidencia.
Qué es SOAR
SOAR (Security Orchestration, Automation and Response) es una plataforma que conecta las herramientas del SOC entre sí y ejecuta de forma automática secuencias de respuesta (playbooks) que antes hacían analistas a mano. Coordina el SIEM, EDR, NDR, ticketing, IAM, correo, threat intelligence y firewalls para que, ante un evento determinado, el flujo completo de enriquecimiento, decisión y contención se ejecute en segundos en lugar de minutos u horas.
Por qué importa
Un SOC moderno recibe miles de alertas al día y un porcentaje alto son falsos positivos o ruido contextual. Sin automatización, el analista nivel 1 se quema haciendo el mismo proceso manual una y otra vez: cruzar IPs con reputación, consultar histórico del usuario, revisar otros eventos relacionados, abrir ticket. Un SOAR ejecuta ese trabajo en segundos y deja al analista decisiones de alto valor. Bajo NIS2 y DORA, donde los plazos de notificación se miden en horas, automatizar respuesta no es una mejora, es un requisito operativo. SOAR es también la base sobre la que escalan los servicios MSSP/MDR sin multiplicar headcount.
Puntos clave
La automatización solo tiene sentido sobre procesos que ya están documentados y probados manualmente. Automatizar un proceso roto multiplica el problema, no lo resuelve.
El mayor ROI suele estar en triage (filtrar falsos positivos), enriquecimiento (añadir contexto a la alerta) y contención reversible (aislar endpoint, bloquear IP). La respuesta destructiva (borrar correos, deshabilitar cuentas) requiere validación humana en la mayoría de casos.
SOAR + SIEM son la base operativa del SOC moderno. SIEM detecta y correlaciona; SOAR ejecuta la respuesta. En arquitecturas nuevas se hablan de "SIEM con SOAR integrado".
Ejemplo: respuesta automática a phishing reportado por usuario
Un empleado reporta un correo sospechoso al buzón de phishing. El SOAR lo recoge automáticamente: extrae URLs y adjuntos, los detona en sandbox, cruza el dominio con feeds de inteligencia, busca el mismo correo en la bandeja de otros usuarios, identifica que 47 personas lo recibieron y 3 ya hicieron clic en el enlace. Aísla esos 3 endpoints vía EDR, expira las sesiones M365 de esos usuarios, fuerza cambio de contraseña, bloquea el dominio en el WAF y firewall, borra el correo de las bandejas afectadas, abre un ticket de incidente con todo el contexto y notifica al SOC L2 para validación. Todo en 4 minutos, en lugar de las 2-3 horas que costaría manualmente.
Errores habituales
- Comprar SOAR sin tener playbooks documentados ni procesos maduros. Una plataforma sin lógica de negocio detrás es solo un coste con licencia anual.
- Automatizar acciones irreversibles sin validación humana. Borrar cuentas, expulsar usuarios o cortar conectividad debe llevar siempre un punto de aprobación.
- No medir el ROI. SOAR debe reducir MTTR (tiempo medio de respuesta) y horas-analista por incidente. Si no hay métricas pre/post, no hay defensa del coste ante dirección.
- Pensar que SOAR reemplaza al analista. Reemplaza el trabajo repetitivo de bajo valor. El criterio, la interpretación y la decisión siguen siendo humanos.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿SOAR y SIEM son lo mismo?
No. SIEM centraliza y correlaciona eventos para detectar. SOAR orquesta y automatiza la respuesta a esas detecciones. Funcionan juntos. Muchos fabricantes ofrecen ambos en la misma plataforma.
¿Cuánto tarda en aportar valor un SOAR?
Los primeros playbooks (triage, enriquecimiento, bloqueo de IP) suelen estar operativos en 4-8 semanas. Una madurez razonable (15-30 playbooks cubriendo escenarios habituales) suele requerir 6-12 meses según equipo y procesos previos.
¿Es viable SOAR en organizaciones pequeñas?
Sí, especialmente con servicio gestionado. Una organización de 100-300 empleados rara vez justifica un SOAR propio, pero sí se beneficia indirectamente del SOAR de su proveedor MSSP. En grandes organizaciones con SOC interno, SOAR es prácticamente obligatorio.