Situación del cliente
Aseguradora de primer nivel con operaciones en España y Portugal mantenía un SOC propio con herramientas legacy de más de 8 años de antigüedad: SIEM on-premise con capacidades limitadas de correlación, EDR de tercera generación sin integración nativa con el resto del stack de seguridad, y reglas de detección escritas manualmente y sin actualización sistemática.
El equipo de analistas dedicaba el 70% de su tiempo a gestionar falsos positivos, dejando escaso margen para la investigación proactiva de amenazas. El MTTD (Mean Time to Detect) rondaba las 72 horas y la cobertura de amenazas del framework MITRE ATT&CK no superaba el 35%.
Retos
- Migrar el SIEM on-premise a cloud sin perder continuidad del servicio de seguridad durante la transición (migración en caliente)
- Integrar más de 40 fuentes de datos heterogéneas en el nuevo SIEM: endpoints, red, identidades, aplicaciones, cloud y OT
- Reducir drásticamente los falsos positivos para liberar capacidad analítica del equipo sin degradar la detección real
- Alcanzar una cobertura significativa y medible del framework MITRE ATT&CK con reglas de detección actualizadas
- Implementar respuesta automatizada (SOAR) sin comprometer la supervisión y el juicio humano del equipo analista
Solución implementada
- Microsoft Sentinel como SIEM/SOAR cloud-native: conectores nativos para el ecosistema Microsoft y más de 200 conectores de terceros. Operación en paralelo con el SIEM legacy durante la fase de transición
- Defender XDR (Extended Detection and Response): plataforma unificada de detección y respuesta para endpoint, identidad, email, aplicaciones y entorno cloud
- Playbooks de SOAR: automatización de las respuestas más frecuentes — aislamiento de endpoint comprometido, bloqueo de cuenta, creación automática de tickets y notificaciones al equipo de guardia
- Analytics rules mapeadas a MITRE ATT&CK: cobertura sistemática por táctica y técnica, con priorización por criticidad y exposición del sector asegurador
- UEBA (User and Entity Behavior Analytics): detección de amenazas internas y cuentas comprometidas mediante análisis de comportamiento con Machine Learning
Ventajas para el cliente
Patrón de arquitectura
SOC de nueva generación para aseguradora con Sentinel como SIEM central, Defender XDR para correlación cross-domain, playbooks SOAR para respuesta automática y cobertura del 95% del framework MITRE ATT&CK. Diseñado desde el primer día para cumplir los plazos de notificación de incidentes de DORA y NIS2.
- Definir el modelo de datos de Sentinel antes de conectar cualquier fuente — el coste de ingesta depende directamente del volumen. En este proyecto, filtrar logs ruidosos (IIS, DNS interno) redujo la factura un 40% sin impacto en cobertura de detección.
- UEBA como capa obligatoria, no opcional — el 60% de los incidentes reales detectados en este proyecto involucraban comportamiento anómalo de usuarios legítimos comprometidos, no malware externo.
- Playbooks SOAR deben tener modo "alerta sin acción" antes de activar auto-remediación — ejecutar aislamiento automático de endpoints sin periodo de validación genera incidentes de disponibilidad que destruyen la confianza en el SOC.
- Mapeo MITRE ATT&CK desde el inicio — no como ejercicio de documentación, sino como guía para priorizar qué técnicas se detectan vs cuáles tienen cobertura cero. La brecha entre ambas es lo que los atacantes explotan.
- Threat Intelligence feeds: calidad sobre cantidad — conectar 20 feeds de baja calidad genera más ruido que señal. En seguros, los feeds específicos de fraude financiero y phishing a entidades reguladas son más valiosos que los genéricos.
- DORA: los playbooks de notificación a supervisores no son opcionales — el plazo de 24h para incidentes significativos requiere automatización end-to-end del proceso de notificación desde el momento de clasificación del incidente.