Online | 50 horas

Implementación SOC con Herramientas Open Source

Incluye
  • ✔ Modalidad: Online
  • ✔ Duración: 50 horas
Contáctate con Nosotros Contenidos
Información

Contexto

La realidad operativa de los equipos de seguridad en empresas chilenas —particularmente en los sectores de banca, retail, minería y gobierno— evidencia una brecha significativa entre las capacidades de detección y respuesta requeridas por la regulación vigente y los recursos efectivamente disponibles. Los modelos de evaluación de madurez SOC-CMM revelan que la mayoría de las organizaciones nacionales operan en niveles iniciales, con métricas de referencia como MTTD (Mean Time to Detect) y MTTR (Mean Time to Repair) que superan ampliamente los estándares internacionales. La adopción de herramientas open source como Wazuh, Elastic Stack, Shuffle y TheHive permite cerrar esta brecha sin las barreras de costo asociadas a las soluciones comerciales, democratizando el acceso a capacidades de SOC de nivel enterprise.

Este programa forma profesionales capaces de diseñar, implementar y operar un SOC funcional end-to-end utilizando exclusivamente herramientas open source. Desde la arquitectura SIEM multinodo con Wazuh hasta la automatización de respuesta con SOAR (Shuffle), la gestión de casos con TheHive, la validación de detecciones mediante Purple Teaming y la reportería para el cumplimiento normativo chileno (Ley 21.663, CMF, CSIRT), el curso entrega competencias prácticas verificables en laboratorio, con cobertura ATT&CK medible y métricas de rendimiento SOC aplicables a organizaciones reales.

Propósito

Objetivo General

Implementar y operar un Centro de Operaciones de Seguridad (SOC) funcional end-to-end basado en herramientas open source (Wazuh, Shuffle, TheHive, Grafana), integrando inteligencia de amenazas con MISP, detección basada en comportamiento y machine learning, automatización SOAR, gestión de casos, ejercicios de Purple Teaming para la validación de detecciones y reportería ejecutiva alineada con el cumplimiento normativo chileno.

Resultados esperados

Perfil de Egreso

  • Evaluar la madurez SOC de una organización chilena utilizando los modelos SOC-CMM y métricas operacionales de referencia (MTTD, MTTR, cobertura ATT&CK), identificando brechas críticas y oportunidades de mejora priorizadas.
  • Diseñar e implementar una arquitectura de SIEM avanzada con Wazuh en configuración multinodo, incluyendo decoders y reglas personalizadas, la integración con OSQuery para la visibilidad de endpoints y el tuning de alertas según el nivel de criticidad del activo.
  • Integrar la inteligencia de amenazas operacional al SOC mediante MISP como plataforma de CTI, configurando feeds relevantes para Chile (CSIRT, Infraestructura Crítica) y automatizando el enriquecimiento de las alertas con indicadores de compromiso (IOCs).
  • Configurar capacidades de detección basadas en comportamiento y machine learning utilizando UEBA con Wazuh + Elastic My para identificar anomalías en patrones de acceso, movimiento lateral y exfiltración de datos.
  • Diseñar y mantener un programa de ingeniería de detección que mapee reglas Sigma a tácticas de MITRE ATT&CK, utilizando ATT&CK Navigator para medir la cobertura y priorizar detecciones según las amenazas relevantes para el contexto chileno.
  • Implementar automatización SOAR con Shuffle, diseñando playbooks para el bloqueo de IPs, el aislamiento de hosts, la notificación al CSIRT Nacional y la reducción de la carga operativa del equipo de SOC.
  • Gestionar el ciclo de vida completo de incidentes con TheHive, aplicando flujos de trabajo estructurados para las tipologías comunes en Chile (phishing, ransomware, fraude financiero) y medir el rendimiento del equipo mediante KPIs operacionales.
  • Ejecutar ejercicios de Purple Teaming con Atomic Red Team para validar detecciones en laboratorio, verificar la cobertura efectiva de las reglas ATT&CK y aplicar el ciclo de mejora continua: ejecutar, detectar, ajustar.
Plan de estudio

Temario

Unidad Contenidos Modalidad
1 Madurez SOC y Arquitectura SIEM Avanzada
  • Madurez SOC en Chile: diagnóstico y brechas.
  • Modelos SOC-CMM aplicados a la realidad de los equipos de seguridad en empresas chilenas (banca, retail, minería).
  • Métricas de referencia: MTTD, MTTR, cobertura de ATT&CK.
  • Diagnóstico de capacidades y plan de evolución.
  • Arquitectura SIEM avanzada con Wazuh: diseño y despliegue de clúster multi-nodo Wazuh 4.x.
  • Creación de decoders y reglas personalizadas para logs propios.
  • Integración con OSQuery para mejorar la visibilidad de los endpoints.
  • Tuning de alertas según el nivel de criticidad del activo.
 Online
2 Inteligencia de Amenazas y Detección por ML
  • Inteligencia de amenazas integrada al SOC: MISP como plataforma central de CTI.
  • Configuración de feeds relevantes para Chile (CSIRT, InfraestructuraCrítica).
  • Enriquecimiento automático de alertas con IOCs.
  • Casos de uso reales aplicados al contexto nacional.
  • Detección basada en comportamiento y machine learning: configuración de UEBA con Wazuh + Elastic ML.
  • Detección de anomalías en patrones de acceso, de movimiento lateral y de exfiltración de datos.
  • Reducción de falsos positivos mediante una baseline de comportamiento organizacional.
 Online
3 Ingeniería de Detección y Automatización SOAR
  • Ingeniería de detección: cobertura medible de ATT&CK: mapeo de reglas Sigma a tácticas y técnicas de ATT&CK.
  • Uso de ATT&CK Navigator para medir y visualizar la cobertura de detección.
  • Priorización de amenazas relevantes para Chile.
  • Proceso de creación, validación y mantenimiento de detecciones.
  • SOAR: automatización de la respuesta con Shuffle; diseño de playbooks automatizados: bloqueo de IPs, aislamiento de hosts y notificación al CSIRT Nacional.
  • Integración Wazuh → Shuffle → TheHive.
  • Métricas de reducción de la carga operativa y del tiempo de respuesta.
 Online
4 Gestión de Casos y Purple Teaming
  • Gestión de casos e incidentes con TheHive: flujo completo de gestión de incidentes desde la alerta hasta el cierre.
  • Plantillas de casos para tipologías comunes en Chile (phishing, ransomware, fraude financiero).
  • Métricas de rendimiento del equipo de SOC y reportes de gestión.
  • Purple Teaming para validar detecciones: ejecución de técnicas de ATT&CK en laboratorio con Atomic Red Team.
  • Verificación de que las reglas detectan efectivamente lo esperado.
  • Ciclo de mejora continua: ejecutar → detectar → ajustar.
  • Medición de la cobertura real frente a la teórica.
 Online
5 Reportería Normativa y Proyecto Integrador
  • Reportería SOC y cumplimiento normativo chileno: diseño de dashboards ejecutivos en Grafana con KPIs de SOC (MTTD, MTTR, volumen de alertas, cobertura de ATT&CK).
  • Reportes para CMF, CSIRT y directorio.
  • Alineación del SOC con la Ley 21.663 y las obligaciones de notificación de incidentes.
  • Proyecto integrador: SOC funcional end-to-end: despliegue completo en laboratorio: ingesta de logs, detección, enriquecimiento de CTI, playbook automatizado con Shuffle, gestión de caso en TheHive y reporte final ejecutivo.
  • Evaluación grupal con rúbrica de competencias.
 Online

Contáctate con nosotros

Déjanos tus datos y te contactamos de vuelta.
Utiliza el formulario para solicitar más información sobre fechas, horarios y valores.