10 casos de uso de SOAR con ejemplos de flujos de trabajo reales

Los casos de uso genéricos de SOAR rara vez funcionan en la práctica; la automatización adecuada depende completamente de su entorno, el volumen de alertas y la estructura de su SOC. Los casos de uso que se presentan a continuación están adaptados a escenarios específicos e incluyen desgloses del flujo de trabajo paso a paso.

Los flujos de trabajo que se muestran a continuación reflejan el modelo SOAR tradicional; las plataformas basadas en agentes ejecutan muchos de estos mismos casos sin pasos predefinidos.

1. Detección y respuesta ante ataques de phishing

Problema: Los analistas se enfrentan a cuellos de botella al gestionar manualmente las alertas de phishing, debido principalmente al elevado volumen de falsos positivos y a la naturaleza repetitiva de las acciones de clasificación. Los ataques de phishing generados por IA aumentaron un 703 % entre 2024 y 2025, lo que convierte la clasificación automatizada en una necesidad, más que en una mejora de la productividad, para la mayoría de los SOC. ¹

Cómo ayuda SOAR:

• Fase de clasificación: SOAR recibe alertas de phishing y las clasifica automáticamente según su gravedad, origen y nivel de riesgo.
• Extracción y validación de indicadores: Los indicadores clave (URL, direcciones IP, hashes de archivos) se extraen del archivo de phishing.
• Malicioso o no: Si se detecta actividad maliciosa, el protocolo activa una respuesta: bloquear al remitente, aislar los puntos finales o eliminar el archivo malicioso. Si no se encuentran indicadores claros, el sistema valida la alerta para descartar falsos positivos.
• Análisis de falsos positivos: El archivo malicioso se ejecuta en un entorno aislado para analizar su comportamiento. Se comprueba si el dominio del remitente es similar a dominios de confianza.

Vídeo: Demostración práctica: demostración de un manual de phishing

Fuente: Palo Alto Networks ²

Ejemplo práctico: El equipo de ciberseguridad de Zensar utiliza SOAR para la clasificación de ataques de phishing y la respuesta a incidentes, empleando manuales de procedimientos sin código, más de 200 integraciones e inteligencia sobre amenazas por correo electrónico. La solución SOAR de CrowdStrike en Charlotte gestiona ahora la investigación de ataques de phishing en tiempo real sin manuales de procedimientos predefinidos, con una precisión del 98 % en las decisiones sobre las alertas investigadas. ³

Las herramientas SOAR dependen de datos precisos de los puntos finales y de un control eficaz de los dispositivos. Descubra cómo el software de gestión de puntos finales refuerza la respuesta de seguridad automatizada.

2. Detección y respuesta en el punto final (EDR)

Problema: Si bien las herramientas EDR ayudan a detectar actividad sospechosa en los puntos finales, a menudo generan un gran volumen de alertas, muchas de las cuales pueden ser falsos positivos.

Cómo ayuda SOAR:

Ingestión de datos de punto final: SOAR extrae datos de herramientas EDR (antivirus, agentes EDR) para monitorizar la actividad en tiempo real.

Verificación SIEM: Comprueba si los archivos se identificaron previamente en SIEM. Notificación a analistas: Si se detecta una amenaza potencial, SOAR alerta a los analistas con el contexto y la gravedad.

Respuesta automatizada y limpieza del punto final: si se confirma que se trata de un falso positivo, SOAR limpia el punto final y elimina automáticamente los archivos sospechosos.

3. Detección de inicios de sesión de usuarios sospechosos desde direcciones IP.

Problema: Es difícil detectar inicios de sesión sospechosos a gran escala porque el comportamiento del usuario es variable, las organizaciones tienen múltiples entornos en la nube que supervisar y la monitorización manual es lenta.

Cómo ayuda SOAR:

• Detección de anomalías de comportamiento: SOAR recopila datos de inicio de sesión de SIEM o sistemas de autenticación para identificar actividades inusuales.
• Enriquecer la información del usuario: SOAR recupera el historial de inicios de sesión anteriores, el rol y los permisos para evaluar si el comportamiento es legítimo.
• Enriquecimiento de la inteligencia sobre IP: SOAR compara las direcciones IP con bases de datos de inteligencia sobre amenazas para identificar fuentes maliciosas conocidas.
• Determinar el estado de la amenaza: Basándose en el comportamiento del usuario y los datos de IP, SOAR decide si es probable que el inicio de sesión sea malicioso.

Vídeo: Investigación de direcciones IP con SOAR

Fuente: Palo Alto Networks ⁴

Respuesta automatizada:

— Sin amenaza: SOAR cierra el incidente automáticamente.

— Amenaza detectada: SOAR bloquea la dirección IP maliciosa y bloquea la cuenta.

4. Respuesta ante amenazas de día cero

Problema: Los ataques de día cero explotan vulnerabilidades de seguridad desconocidas hasta que se dispone de una solución. Las herramientas antivirus no los detectan, por lo que eluden las defensas tradicionales. Aquí es donde los manuales de procedimientos estáticos se topan con una limitación importante: ninguna regla predefinida puede anticipar una vulnerabilidad desconocida.

Cómo ayuda SOAR:

Recopilar indicadores de compromiso (IOC) y archivos: Extraer hashes de archivos, URL maliciosas y direcciones IP de la alerta.

Extraer y comprobar los indicadores:

• Buscar hashes maliciosos en los registros de los puntos finales: Analice los registros EDR en busca de evidencia de que los hashes identificados se hayan ejecutado o descargado.
• Consulta los registros del firewall en busca de hosts comprometidos: busca tráfico hacia o desde direcciones IP maliciosas conocidas o movimientos laterales sospechosos.
• Enlace a incidentes anteriores: Consulte los registros existentes para identificar tácticas, técnicas y procedimientos similares de eventos pasados.
• Puntos finales infectados con Block: Implemente reglas de bloqueo en firewalls, pasarelas web y filtros de correo electrónico.
• Cierre del manual de procedimientos: Envíe las reglas actualizadas o los IOC a la plataforma EDR.

La IA con agentes aborda directamente la brecha de seguridad de día cero. En lugar de comparar indicadores con reglas predefinidas, razona a través de comportamientos novedosos, lo que la hace más adecuada para tipos de amenazas que nunca antes han aparecido en el entorno. ⁵

5. Gestión de vulnerabilidades

Problema: Las pruebas manuales de vulnerabilidad consumen mucho tiempo, producen falsos positivos y, a menudo, carecen de visibilidad sobre los activos no gestionados.

• Dificultades en la recopilación de datos relacionados con vulnerabilidades.
• Falsos positivos en las vulnerabilidades.
• Falta de visibilidad de la red (por ejemplo, activos no gestionados)

Cómo SOAR ayuda a la gestión de vulnerabilidades :

• Recopilación de datos de vulnerabilidades: SOAR obtiene datos de vulnerabilidades de herramientas externas y bases de datos CVE.
• Enriquecimiento: SOAR añade detalles sobre los puntos finales afectados, la criticidad de los activos y las unidades de negocio afectadas.
• Agregar contexto de vulnerabilidad: SOAR agrega el historial de explotación y el contexto de amenazas activas conocidas a los datos del incidente.
• Calcular riesgos: SOAR combina la gravedad de las vulnerabilidades CVE con el contexto del sistema para calcular el riesgo general de cada vulnerabilidad.

Remediación:
— Revisión de analistas para artículos de alto riesgo
— Corrección automatizada para hallazgos conocidos de bajo riesgo

6. Automatización del aprovisionamiento de nuevas cuentas

Problema: El aprovisionamiento manual de usuarios es propenso a errores. Los errores en la asignación de accesos provocan un aprovisionamiento excesivo (violando el principio de mínimo privilegio) o insuficiente (impidiendo que el nuevo empleado pueda trabajar).

Cómo ayuda SOAR:

• Obtener detalles del ticket: Recupera la solicitud de aprovisionamiento de la plataforma ITSM.
• Cree un usuario en el servicio de directorio: Se conecta a Active Directory o equivalente.
• Agregar usuario a las herramientas requeridas por rol: Asigna acceso al correo electrónico, plataformas de RR. HH. y otras herramientas específicas del rol. Enviar correo electrónico de incorporación: Envía las credenciales de inicio de sesión e instrucciones de configuración.
• Implementar el software necesario en el punto final: Inicia la implementación del software mediante herramientas de administración de puntos finales.
• Notificar a las partes interesadas: Alerta a los departamentos de RR. HH., TI y a los gerentes cuando se haya completado la incorporación.

7. Gestión de casos del ciclo de vida de los incidentes

Problema: La continuidad se interrumpe a lo largo del ciclo de vida de los incidentes porque los productos de seguridad están aislados, los procesos no están estandarizados y las transferencias entre equipos ralentizan el tiempo medio de respuesta.

Cómo ayuda SOAR:

• Recuperación de alertas desde fuentes de datos: SOAR extrae continuamente alertas de SIEM, firewalls y otras fuentes.
• Plan de actuación: Al recibir una alerta, SOAR activa el plan de actuación adecuado para ese tipo de incidente.
• Asignación de incidentes a analistas: SOAR enruta los incidentes enriquecidos con contexto adjunto.
• Extraiga y verifique los indicadores de compromiso (IOC) con inteligencia sobre amenazas: los hashes de archivos, las direcciones IP y los dominios se verifican automáticamente.
• Comprobación de actividad maliciosa: SOAR determina si la actividad es maliciosa y toma medidas bloqueando la IP o aislando el archivo.

Actualización sobre la integración de LLM : Un proveedor de servicios de seguridad gestionados (MSSP) documentó un aumento del 60 % en la resolución automatizada de incidentes de baja gravedad tras integrar modelos de lenguaje complejos en sus flujos de trabajo SOAR. Los analistas consultaron la plataforma en lenguaje natural para obtener resúmenes de amenazas y ajustaron los planes de acción en tiempo real sin necesidad de programar. ⁶

8. Automatización de las solicitudes de cambio de política del firewall

Problema: Gestionar manualmente las solicitudes de cambio de firewall es lento, inconsistente y difícil de auditar. Los equipos manejan grandes volúmenes de solicitudes cada semana, reglas superpuestas y visibilidad limitada de las aprobaciones.

Cómo SOAR ayuda a automatizar las solicitudes de cambio de política de firewall:

SOAR agiliza el proceso de cambio del firewall al automatizar las aprobaciones, las validaciones y la implementación de políticas mediante manuales de procedimientos integrados.

• Solicitud de cambio de política de firewall : Iniciada desde una plataforma ITSM, por ejemplo, ServiceNow.
• Manual de estrategias SOAR para activar el juego
• ¿Existen roles y direcciones para los puntos finales?
  • SÍ: Agregar la dirección IP al grupo de puntos finales existente.
  • DE LO CONTRARIO: Llamar al playbook de "nueva política": SOAR ejecuta un playbook separado para crear una regla personalizada.
• Aplique la configuración utilizando el sistema de administración del firewall.
• Cierre el ticket de ITSM.

9. Seguimiento de la caducidad del certificado SSL

Problema: Los certificados caducados activan advertencias de seguridad en el navegador, reducen la confianza de los visitantes y pueden provocar una pérdida de tráfico. El seguimiento manual de certificados en entornos extensos no es fiable.

Cómo ayuda SOAR:

• Comprobación del estado del certificado: SOAR supervisa los certificados SSL en todos los dominios e indica aquellos que están próximos a caducar.
• Alerta y escalamiento: SOAR notifica al equipo responsable con tiempo suficiente para que pueda actuar.
• Automatice la renovación siempre que sea posible: en las plataformas con acceso a la API, SOAR puede activar directamente el flujo de trabajo de renovación.
• Registrar y cerrar: SOAR registra la acción realizada y cierra el ticket.

10. Gestión de amenazas Intel

Problema: Los datos de inteligencia sobre amenazas provienen de múltiples fuentes y se reciben en formatos diferentes. La ingesta manual, la eliminación de duplicados y la comparación con incidentes activos son procesos lentos e inconsistentes.

Cómo ayuda SOAR:

• Ingesta de fuentes de inteligencia sobre amenazas: SOAR extrae automáticamente indicadores (direcciones IP, dominios, hashes de archivos, CVE) de múltiples fuentes.
• Eliminar duplicados y normalizar: SOAR elimina los duplicados y convierte los datos a un formato coherente.
• Correlación con incidentes activos: SOAR compara la información de inteligencia recibida con los casos abiertos y las alertas en tiempo real.
• Enriquecimiento de incidentes: Los indicadores relevantes se añaden automáticamente a los tickets abiertos y a las colas de los analistas.
• Distribución a herramientas de bloqueo: Los indicadores de compromiso (IOC) de alta confianza se envían a cortafuegos, sistemas de respuesta a emergencias (EDR) y filtros de correo electrónico.

Preguntas frecuentes

Enlaces de referencia

1.

Top 10 Agentic SOC Platforms for 2026

Stellar Cyber

2.

The Evolving SOAR: What's Next? - Palo Alto Networks

3.

CrowdStrike Evolves Security Automation with Charlotte Agentic SOAR

CrowdStrike

4.

Palo Alto Networks: Resource Center Webcasts - Palo Alto Networks

5.

AI Agents in Cybersecurity and Cyber Risk Management: 5 Critical Trends for 2026

6.

Next-Gen SOAR with AI: redefining Cyber Security orchestration

Telefónica Tech S.L.U.

Adil Hafa

Asesor técnico

Síguenos

Adil es un experto en seguridad con más de 16 años de experiencia en defensa, comercio minorista, finanzas, cambio de divisas, pedidos de comida y gobierno.

Ver perfil completo

Investigado por

Sena Sezer

Analista de la industria

Síguenos

Sena es analista del sector en AIMultiple. Se licenció en la Universidad de Bogazici.

Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.

Nombre

Dirección de correo electrónico

Comentario

0/450

Publicar comentario