// 003Sector Seguros

SOC de
Nueva Generación

SentinelDefender XDRSOARMITRE ATT&CKUEBA
72h → <4hMTTD (reducción 94%)
95%cobertura MITRE ATT&CK
−80%falsos positivos

Situación del cliente

Aseguradora de primer nivel con operaciones en España y Portugal mantenía un SOC propio con herramientas legacy de más de 8 años de antigüedad: SIEM on-premise con capacidades limitadas de correlación, EDR de tercera generación sin integración nativa con el resto del stack de seguridad, y reglas de detección escritas manualmente y sin actualización sistemática.

El equipo de analistas dedicaba el 70% de su tiempo a gestionar falsos positivos, dejando escaso margen para la investigación proactiva de amenazas. El MTTD (Mean Time to Detect) rondaba las 72 horas y la cobertura de amenazas del framework MITRE ATT&CK no superaba el 35%.

Retos

  • Migrar el SIEM on-premise a cloud sin perder continuidad del servicio de seguridad durante la transición (migración en caliente)
  • Integrar más de 40 fuentes de datos heterogéneas en el nuevo SIEM: endpoints, red, identidades, aplicaciones, cloud y OT
  • Reducir drásticamente los falsos positivos para liberar capacidad analítica del equipo sin degradar la detección real
  • Alcanzar una cobertura significativa y medible del framework MITRE ATT&CK con reglas de detección actualizadas
  • Implementar respuesta automatizada (SOAR) sin comprometer la supervisión y el juicio humano del equipo analista

Solución implementada

  • Microsoft Sentinel como SIEM/SOAR cloud-native: conectores nativos para el ecosistema Microsoft y más de 200 conectores de terceros. Operación en paralelo con el SIEM legacy durante la fase de transición
  • Defender XDR (Extended Detection and Response): plataforma unificada de detección y respuesta para endpoint, identidad, email, aplicaciones y entorno cloud
  • Playbooks de SOAR: automatización de las respuestas más frecuentes — aislamiento de endpoint comprometido, bloqueo de cuenta, creación automática de tickets y notificaciones al equipo de guardia
  • Analytics rules mapeadas a MITRE ATT&CK: cobertura sistemática por táctica y técnica, con priorización por criticidad y exposición del sector asegurador
  • UEBA (User and Entity Behavior Analytics): detección de amenazas internas y cuentas comprometidas mediante análisis de comportamiento con Machine Learning

Ventajas para el cliente

72h → <4hMTTD reducido un 94%, de 72 horas a menos de 4 horas en detección de amenazas reales
95%cobertura del framework MITRE ATT&CK con reglas actualizadas y mantenidas automáticamente
−80%reducción de falsos positivos gracias a UEBA y Machine Learning, liberando al equipo para análisis real
Respuesta automáticaEl 60% de los incidentes de baja/media severidad se gestionan y cierran sin intervención humana