Tema 16

16. Integración con SIEM, SOAR, EDR, NetFlow y análisis de paquetes

La defensa mejora cuando los eventos dejan de estar aislados. Integrar SIEM, SOAR, EDR, NetFlow y análisis de paquetes permite correlacionar señales, investigar con contexto y responder con mayor velocidad.

Objetivo Integrar fuentes defensivas para mejorar detección y respuesta
Enfoque SIEM, SOAR, EDR, flujos y paquetes
Resultado Investigar eventos con más contexto y menos aislamiento

16.1 Introducción

Un firewall puede mostrar conexiones permitidas o bloqueadas. Un IDS/IPS puede alertar sobre patrones sospechosos. Un EDR puede indicar qué proceso se ejecutó en un equipo. NetFlow puede mostrar conversaciones de red. Un SIEM puede correlacionar eventos. Un SOAR puede ayudar a automatizar pasos de respuesta.

Por separado, cada herramienta aporta una parte de la historia. Integradas, permiten responder preguntas más completas: qué ocurrió, desde dónde, contra qué activo, con qué usuario, qué proceso estuvo involucrado y qué acciones se tomaron.

Este tema explica qué aporta cada componente y cómo se combinan para mejorar detección, investigación y respuesta.

16.2 Por qué integrar herramientas defensivas

Los incidentes reales rara vez se entienden con una sola fuente. Una alerta IDS puede indicar explotación, pero se necesita saber si el servidor era vulnerable, si hubo conexión permitida, si se ejecutó un proceso y si el usuario asociado realizó acciones extrañas.

La integración permite:

  • Correlacionar eventos de varias fuentes.
  • Reducir falsos positivos con contexto.
  • Priorizar alertas por criticidad real.
  • Acelerar investigación.
  • Automatizar tareas repetitivas.
  • Mejorar trazabilidad.
  • Construir tableros y métricas operativas.

16.3 SIEM

SIEM significa Security Information and Event Management, o gestión de información y eventos de seguridad. Su función es recibir, normalizar, almacenar, correlacionar y alertar sobre eventos de múltiples fuentes.

Un SIEM puede recibir datos de firewalls, IDS/IPS, EDR, servidores, aplicaciones, nube, identidad, DNS, proxy y otros sistemas. Luego permite buscar, correlacionar y generar alertas.

Funciones típicas:

  • Centralización de logs.
  • Normalización de campos.
  • Correlación de eventos.
  • Alertas por reglas o comportamiento.
  • Retención histórica.
  • Consultas de investigación.
  • Reportes de auditoría.

16.4 SOAR

SOAR significa Security Orchestration, Automation and Response, u orquestación, automatización y respuesta de seguridad.

Un SOAR ayuda a coordinar acciones entre herramientas y personas. Puede ejecutar playbooks, enriquecer alertas, abrir tickets, consultar reputación, bloquear indicadores, aislar endpoints o solicitar aprobación humana.

Ejemplos de tareas SOAR:

  • Consultar reputación de una IP alertada.
  • Buscar eventos relacionados en SIEM.
  • Crear ticket con evidencia.
  • Solicitar aislamiento de endpoint al EDR.
  • Bloquear temporalmente un dominio en firewall o proxy.
  • Notificar a responsables según severidad.
Automatizar no significa actuar sin control. Las acciones de alto impacto deben tener criterios claros y, muchas veces, aprobación humana.

16.5 EDR

EDR significa Endpoint Detection and Response, o detección y respuesta en endpoints. Observa actividad en estaciones de trabajo, notebooks y servidores.

El EDR aporta contexto que la red no siempre puede ver: procesos, archivos, usuarios, comandos, conexiones iniciadas por procesos, cambios de persistencia y actividad sospechosa dentro del sistema.

Datos útiles de EDR:

  • Proceso que generó una conexión.
  • Árbol de procesos.
  • Usuario asociado.
  • Hash de archivos ejecutados.
  • Comandos utilizados.
  • Conexiones salientes.
  • Acciones de contención, como aislamiento.

16.6 NetFlow y flujos de red

NetFlow, IPFIX y tecnologías similares registran metadatos de conversaciones de red. No capturan necesariamente todo el contenido del paquete, sino datos de flujo.

Un flujo suele incluir:

  • IP de origen y destino.
  • Puerto de origen y destino.
  • Protocolo.
  • Inicio y fin de la conversación.
  • Cantidad de bytes y paquetes.
  • Interfaz o dirección del tráfico.

NetFlow es muy útil para detectar patrones: transferencias grandes, conexiones inusuales, escaneos, comunicación lateral o tráfico hacia destinos no esperados.

16.7 Análisis de paquetes

El análisis de paquetes permite inspeccionar comunicaciones con mucho detalle. Puede usarse para confirmar protocolos, revisar encabezados, observar negociación TLS, identificar errores, analizar payload cuando corresponde o validar una alerta IDS.

Se diferencia de NetFlow porque NetFlow resume conversaciones, mientras que el análisis de paquetes puede mostrar contenido y detalles técnicos de cada paquete.

Usos defensivos:

  • Confirmar si una alerta IDS corresponde a tráfico real.
  • Analizar escaneos o intentos de explotación.
  • Revisar comportamiento de protocolos.
  • Investigar problemas de conectividad.
  • Extraer indicadores técnicos durante un incidente.

16.8 Comparación de fuentes

Fuente Qué aporta Limitación
Firewall Permitido, bloqueado, regla aplicada, NAT, zonas. No siempre identifica proceso o intención.
IDS/IPS Alertas de patrones sospechosos o ataques. Puede generar falsos positivos o depender de visibilidad.
EDR Procesos, archivos, usuario y actividad del endpoint. No ve toda la red si no está instalado en todos los hosts.
NetFlow Mapa de conversaciones y volumen de tráfico. No muestra contenido detallado.
Paquetes Detalle técnico profundo de la comunicación. Alto volumen y análisis más costoso.
SIEM Correlación y búsqueda centralizada. Depende de calidad de datos integrados.

16.9 Normalización de datos

Cada herramienta registra eventos con formatos distintos. La normalización convierte esos eventos en campos comunes para poder buscarlos y correlacionarlos.

Ejemplos de campos normalizados:

  • IP de origen.
  • IP de destino.
  • Usuario.
  • Host.
  • Acción.
  • Severidad.
  • Tipo de evento.
  • Hora del evento.

Sin normalización, una misma IP o usuario puede aparecer con nombres distintos y dificultar la investigación.

16.10 Correlación entre fuentes

La correlación une eventos relacionados. Permite pasar de señales aisladas a una historia coherente.

Ejemplo:

  1. Firewall permite conexión desde un equipo interno hacia un destino externo.
  2. NetFlow muestra alto volumen de datos hacia ese destino.
  3. EDR indica que la conexión fue iniciada por un proceso sospechoso.
  4. Inteligencia de amenazas marca el dominio como riesgoso.
  5. SIEM correlaciona los eventos y genera una alerta de mayor prioridad.

16.11 Casos de uso de integración

Caso Fuentes útiles Resultado esperado
Movimiento lateral Firewall interno, IDS, EDR, identidad Detectar origen, usuario, proceso y destinos.
Exfiltración NetFlow, firewall, proxy, EDR Identificar volumen, destino y proceso responsable.
Explotación web WAF, IDS/IPS, servidor web, SIEM Confirmar intento, impacto y respuesta.
Cuenta comprometida Identidad, VPN, firewall, EDR Reconstruir accesos y acciones realizadas.
Malware en endpoint EDR, DNS, firewall, NetFlow Ver actividad del archivo y comunicaciones externas.

16.12 Integración con identidad

Integrar identidad permite relacionar eventos técnicos con usuarios reales. Una IP puede cambiar; un usuario ayuda a entender responsabilidad, permisos y contexto.

Datos de identidad útiles:

  • Usuario autenticado.
  • Grupos y roles.
  • Eventos de inicio de sesión.
  • MFA exitoso o fallido.
  • Cambios de privilegios.
  • Accesos desde ubicaciones inusuales.

Esto es especialmente importante para investigar uso indebido de credenciales y accesos privilegiados.

16.13 Automatización responsable

La automatización puede acelerar respuesta, pero debe aplicarse con cuidado. No todas las acciones son iguales. Enriquecer una alerta tiene bajo riesgo; bloquear tráfico crítico o aislar un servidor productivo tiene alto impacto.

Buenas prácticas:

  • Automatizar primero tareas de enriquecimiento.
  • Requerir aprobación para acciones de alto impacto.
  • Registrar toda acción automática.
  • Definir condiciones claras de ejecución.
  • Probar playbooks antes de usarlos en producción.
  • Incluir mecanismo de reversión.

16.14 Ejemplo práctico: alerta IDS enriquecida

Un IDS alerta sobre posible explotación desde una estación interna hacia un servidor. Sin integración, solo tenemos origen, destino y firma. Con integración, podemos enriquecer la alerta.

  • Firewall confirma que la conexión fue permitida por una regla específica.
  • EDR muestra que el proceso origen fue una herramienta no habitual.
  • Identidad indica qué usuario estaba activo.
  • NetFlow muestra conexiones similares hacia otros servidores.
  • SIEM correlaciona eventos y crea un caso.
  • SOAR abre ticket y solicita revisión del endpoint.

16.15 Ejemplo práctico: análisis de exfiltración

NetFlow muestra que un servidor interno transfirió un volumen inusual de datos a un destino externo durante la madrugada.

Investigación posible:

  1. Revisar firewall para confirmar regla aplicada.
  2. Consultar reputación del destino.
  3. Buscar proceso responsable en EDR.
  4. Revisar logs de aplicación para identificar datos consultados.
  5. Analizar paquetes si existe captura disponible.
  6. Determinar si el tráfico fue legítimo, error operativo o posible exfiltración.

16.16 Calidad de datos

La integración solo funciona bien si los datos son confiables. Eventos incompletos, horarios desincronizados, campos mal parseados o fuentes caídas reducen la utilidad del sistema.

Controles de calidad:

  • Verificar que las fuentes envían eventos.
  • Sincronizar hora con NTP.
  • Validar parseo y normalización.
  • Detectar caídas de agentes o colectores.
  • Revisar campos críticos como origen, destino, usuario y acción.
  • Monitorear volumen esperado por fuente.

16.17 Privacidad y acceso a datos

La telemetría defensiva puede contener información sensible: usuarios, direcciones, URLs, comandos, nombres de archivos o datos de actividad. Debe protegerse adecuadamente.

Buenas prácticas:

  • Controlar quién puede consultar logs.
  • Aplicar roles y mínimo privilegio.
  • Registrar consultas administrativas.
  • Definir retención según necesidad y normativa.
  • Evitar recolectar contenido innecesario.
  • Cifrar almacenamiento y transporte de logs cuando corresponda.

16.18 Errores frecuentes

  • Integrar todo sin objetivos: aumenta costos y ruido sin mejorar detección.
  • No normalizar datos: dificulta búsquedas y correlación.
  • Automatizar bloqueos sin validación: puede afectar servicios legítimos.
  • Ignorar calidad de datos: las reglas fallan si los campos son incorrectos.
  • No integrar identidad: se pierde contexto de usuario y privilegios.
  • Guardar paquetes sin plan: genera alto volumen y posibles riesgos de privacidad.
  • No monitorear fuentes: una integración caída crea puntos ciegos.

16.19 Lista de verificación inicial

  • Definir casos de uso antes de integrar fuentes.
  • Enviar logs de firewall, IDS/IPS, EDR, identidad y nube al SIEM.
  • Normalizar campos críticos.
  • Sincronizar hora entre sistemas.
  • Usar NetFlow para visibilidad de comunicaciones y volumen.
  • Reservar análisis de paquetes para investigaciones específicas.
  • Automatizar enriquecimiento antes que acciones de bloqueo.
  • Definir aprobaciones para acciones de alto impacto.
  • Monitorear salud de conectores, agentes y colectores.
  • Controlar acceso a datos sensibles de telemetría.

16.20 Ideas clave para recordar

  • SIEM centraliza, normaliza y correlaciona eventos.
  • SOAR orquesta y automatiza tareas de respuesta.
  • EDR aporta contexto de procesos, archivos y usuarios en endpoints.
  • NetFlow muestra conversaciones y volúmenes de red.
  • El análisis de paquetes aporta detalle profundo, pero tiene mayor costo operativo.
  • La integración debe guiarse por casos de uso defensivos claros.

16.21 Conclusión

La integración defensiva permite pasar de alertas aisladas a investigaciones con contexto. SIEM, SOAR, EDR, NetFlow y análisis de paquetes cumplen funciones distintas, pero juntos mejoran detección, priorización y respuesta.

En el próximo tema iniciaremos el bloque de hardening con sistemas operativos: usuarios, permisos, servicios, parches y configuración base.

Volver al índice