SOC Workbench
SOC Workbench
Espacio de trabajo para investigación operativa y threat hunting. Agrupa herramientas de análisis, búsquedas persistentes y gestión de casos.
Funciones principales
| Área | Qué hace |
|---|---|
| Búsquedas guardadas | Queries reutilizables sobre Events, Assets, Exposure, ARGUS Briefs. Parámetros variables. |
| Casos de investigación | Contenedores para agrupar búsquedas, evidencia, hallazgos, notas. Distinto de Incidents (más ligero, exploratorio). |
| Plantillas | Patrones comunes: “Rastreo lateral movement”, “C2 beaconing”, “Credenciales comprometidas”, “Explotación vuln conocida”. |
| Exportación evidencia | Paquetes ZIP con CSV/JSON/STIX/PCAP (si disponible) + manifiesto SHA-256. |
| Correlación | Cruce Events ↔ Assets ↔ Exposure ↔ ARGUS Briefs en vista unificada. |
Diferencia con Incidents
| Aspecto | SOC Workbench | Incidents |
|---|---|---|
| Propósito | Investigación exploratoria, threat hunting | Gestión formal de incidente confirmado |
| Estados | Abierto / Archivado | Open / Investigating / Contained / Resolved / Closed |
| SLA | No | Sí (opcional) |
| Escalamiento | Manual | Workflow configurable |
| Audiencia | Analistas SOC, threat hunters | Analistas + Management + Legal/Compliance |
PCAP (Packet Capture)
Estado: 🔄 En validación — solo funcional si Exposure Intelligence captura paquetes raw (requiere Npcap/AF_PACKET y permisos). No disponible en release actual.
Si habilitado: captura dirigida (filtro BPF) → almacenamiento temporal → export en Workbench.