Skip to content

SOC Workbench

SOC Workbench

Espacio de trabajo para investigación operativa y threat hunting. Agrupa herramientas de análisis, búsquedas persistentes y gestión de casos.

Funciones principales

ÁreaQué hace
Búsquedas guardadasQueries reutilizables sobre Events, Assets, Exposure, ARGUS Briefs. Parámetros variables.
Casos de investigaciónContenedores para agrupar búsquedas, evidencia, hallazgos, notas. Distinto de Incidents (más ligero, exploratorio).
PlantillasPatrones comunes: “Rastreo lateral movement”, “C2 beaconing”, “Credenciales comprometidas”, “Explotación vuln conocida”.
Exportación evidenciaPaquetes ZIP con CSV/JSON/STIX/PCAP (si disponible) + manifiesto SHA-256.
CorrelaciónCruce Events ↔ Assets ↔ Exposure ↔ ARGUS Briefs en vista unificada.

Diferencia con Incidents

AspectoSOC WorkbenchIncidents
PropósitoInvestigación exploratoria, threat huntingGestión formal de incidente confirmado
EstadosAbierto / ArchivadoOpen / Investigating / Contained / Resolved / Closed
SLANoSí (opcional)
EscalamientoManualWorkflow configurable
AudienciaAnalistas SOC, threat huntersAnalistas + Management + Legal/Compliance

PCAP (Packet Capture)

Estado: 🔄 En validación — solo funcional si Exposure Intelligence captura paquetes raw (requiere Npcap/AF_PACKET y permisos). No disponible en release actual.

Si habilitado: captura dirigida (filtro BPF) → almacenamiento temporal → export en Workbench.

Páginas relacionadas