Automatizacion SOC con Python: Scripts que Ahorran Horas de Analisis

Automatizacion SOC con Python: Scripts que Ahorran Horas de Analisis - Analisis tecnico y guia practica por David Moya

David Moya15 min read
#soc#python#automatizacion#blue-team
Compartir:

Llevo más de una década metido en trincheras de SOCs, desde los que funcionan con pizarra y tiza hasta los que se ahogan en alertas de un EDR de última generación. La realidad, cruda y sin filtros, es que en 2026 seguimos viendo el mismo patrón: equipos de blue team desbordados, quemados, dedicando el 80% de su tiempo a tareas repetitivas de triaje y correlación básica, mientras las amenazas evolucionan a un ritmo que los procesos manuales no pueden seguir. En un pentest que dirigí el mes pasado para una aseguradora, el equipo interno tardó 14 horas en escalar una alerta de movimiento lateral que nuestro script de simulación (basado en Caldera) había generado. Catorce horas. El problema no era su SIEM (tenían un Splunk Enterprise impresionante) ni la falta de herramientas, sino la ausencia total de automatización inteligente que filtrara el ruido y les pusiera en bandeja lo que realmente importaba. Esto no es moco de pavo; es la diferencia entre contener un incidente en minutos o verte obligado a pagar un rescate de siete cifras.

La automatización en el SOC no es, o no debería ser, sinónimo de desplegar un SOAR carísimo y rezar para que funcione. En mi experiencia, la potencia más transformadora y accesible reside en scripts de Python bien diseñados, que actúen como extensión del criterio del analista senior. Hablo de código que tú escribes, que entiendes y que puedes modificar en una tarde para adaptarte a una nueva campaña de phishing o a una vulnerabilidad crítica como la que explotó el CVE-2026-12345 (una hipotética pero realista cadena de RCE en sistemas de gestión de activos). Vamos al lío.

¿Por qué Python sigue siendo el rey de la automatización en SOC para 2026?

Muchos me preguntan, con la explosión de herramientas low-code y plataformas de orquestación, si escribir código sigue teniendo sentido. Mi respuesta es contundente: más que nunca. Las plataformas SOAR son excelentes para flujos de trabajo predefinidos y aprobados, pero son lentas de adaptar y suelen crear una capa de abstracción que te aleja de los datos crudos. Python, con su ecosistema de librerías, te da un control granular que es invaluable. ¿Necesitas parsear 10.000 líneas de logs de un firewall Palo Alto PAN-OS 11.x en un formato extraño que tu SIEM no normaliza bien? Con pandas y unas 50 líneas de código, tienes un transformador listo. ¿Requieres consultar la API de VirusTotal v3, la de AlienVault OTX, y cruzar los resultados con indicadores internos de tu threat intelligence platform? requests y asyncio te permiten hacerlo en segundos, de una forma que un playbook gráfico tardaría semanas en implementar y aprobar.

La clave aquí es la agilidad. Recuerdo un cliente del sector energía que sufrió un ataque de ransomware dirigido a sistemas SCADA. Los atacantes usaban un patrón específico en las peticiones HTTP a los controladores lógicos programables. El equipo del SOC no tenía una regla de detección para eso. Mientras se iniciaba el burocrático proceso de solicitud de nueva regla al equipo de SIEM (que podía tardar días), uno de los analistas, con conocimientos básicos de Python, escribió un script que monitorizaba los logs de los proxies en tiempo real, buscaba el patrón y enviaba una alerta directa a un canal de Slack. Lo tuvo funcionando en 45 minutos. Esa agilidad es la que marca la diferencia entre un SOC reactivo y uno proactivo. Para 2026, con la superficie de ataque expandiéndose hacia entornos IoT/OT y cloud nativo, esta capacidad de crear herramientas ad-hoc no es un lujo, es una necesidad de supervivencia.

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

automatizacion-soc-con-python-scripts-que-ahorran-horas-de-analisis diagram 1

Scripts prácticos que resuelven problemas reales hoy (y mañana)

Voy a dejar de lado la teoría y a meterme en lo que de verdad importa: código que puedes llevarte, modificar y usar esta misma tarde. Estos son patrones que he implementado y visto funcionar en entornos de alto estrés.

¿Cómo correlacionar automáticamente eventos de endpoint y red para cazar ransomware?

Uno de los dolores de cabeza más grandes es la detección temprana de ransomware antes de que empiece el cifrado masivo. Los EDRs como CrowdStrike Falcon 7.x o Microsoft Defender for Endpoint son buenos, pero a veces la señal se pierde entre el ruido. Un enfoque potente es correlacionar actividad de proceso (ejecución de vssadmin.exe delete shadows) con actividad de red (comunicaciones salientes a dominios de C2 conocidos o a servicios de almacenamiento en la nube como Mega.nz).

#!/usr/bin/env python3
"""
Script de correlación Ransomware Hunter v1.2
Consulta logs de EDR (via API) y proxies para buscar patrones de pre-ransomware.
Autor: David Moya / Riskitera
"""
import asyncio
import aiohttp
from datetime import datetime, timedelta
import json
import logging
from typing import List, Dict

# Configuración - ¡AJUSTA ESTO!
EDR_API_KEY = "YOUR_FALCON_API_KEY"
PROXY_LOG_PATH = "/var/log/squid/access.log"
THREAT_INTEL_FEEDS = ["https://feeds.riskiq.com/ransomware-iocs/v1.5"]

async def fetch_edr_events(session, minutes_back=30):
    """Obtiene eventos sospechosos de proceso desde Falcon."""
    url = "https://api.crowdstrike.com/ods/aggregates/events/v1"
    headers = {"Authorization": f"Bearer {EDR_API_KEY}"}
    # Filtro: procesos de administración de volumen y cifrado
    body = {
        "filter": "event_simple_name:'ProcessRollup2' AND (ImageFileName:'*vssadmin*' OR ImageFileName:'*bcdedit*' OR ImageFileName:'*cipher*' OR ImageFileName:'*wbadmin*')",
        "time_range": {"from": f"now-{minutes_back}m", "to": "now"}
    }
    async with session.post(url, headers=headers, json=body) as resp:
        if resp.status == 200:
            return await resp.json()
        else:
            logging.error(f"Error Falcon API: {resp.status}")
            return {}

async def check_proxy_for_exfiltration(session, hostnames: List[str]):
    """Revisa logs de proxy para conexiones a dominios de exfiltración."""
    suspicious_connections = []
    try:
        with open(PROXY_LOG_PATH, 'r') as f:
            logs = f.readlines()[-10000:]  # Últimas 10k líneas
        for line in logs:
            for host in hostnames:
                if host in line:
                    # Parseo simple - adaptar a formato de log real
                    parts = line.split()
                    suspicious_connections.append({
                        'timestamp': parts[0],
                        'src_ip': parts[2],
                        'dst_domain': host,
                        'log_line': line.strip()
                    })
    except FileNotFoundError:
        logging.warning(f"Log de proxy no encontrado en {PROXY_LOG_PATH}")
    return suspicious_connections

async def main():
    async with aiohttp.ClientSession() as session:
        # 1. Obtener eventos de EDR
        edr_events = await fetch_edr_events(session)
        suspicious_hosts = set()
        
        # 2. Extraer hostnames de los eventos (simplificado)
        for event in edr_events.get('resources', []):
            # Aquí iría lógica para extraer IPs/hostnames de los procesos
            # Por ejemplo, de conexiones de red asociadas al proceso
            suspicious_hosts.add("mega.co.nz")  # Ejemplo estático
            suspicious_hosts.add("pastebin.com")
        
        # 3. Buscar en logs de proxy
        if suspicious_hosts:
            proxy_hits = await check_proxy_for_exfiltration(session, list(suspicious_hosts))
            
            # 4. Correlación y alerta
            if proxy_hits and edr_events.get('resources'):
                alert_payload = {
                    "timestamp": datetime.utcnow().isoformat(),
                    "severity": "CRITICAL",
                    "title": "Posible actividad de pre-ransomware detectada",
                    "indicators": {
                        "edr_events": edr_events['resources'],
                        "exfiltration_attempts": proxy_hits
                    },
                    "recommended_action": "Aislar endpoints afectados inmediatamente y revisar copias de seguridad."
                }
                # Enviar a Slack, SIEM, etc.
                print(f"[ALERTA] {json.dumps(alert_payload, indent=2)}")
                # Aquí: requests.post(SLACK_WEBHOOK, json=alert_payload)

if __name__ == "__main__":
    logging.basicConfig(level=logging.INFO)
    asyncio.run(main())

Este script es un esqueleto, pero ilustra el poder de la correlación automatizada. En la vida real, lo he enriquecido con consultas a la API de Falcon para obtener las conexiones de red exactas del proceso sospechoso, reduciendo los falsos positivos. La gracia está en que tú defines la lógica: si un proceso de vssadmin se ejecuta Y, en los 5 minutos siguientes, hay una conexión a un dominio de threat intel, salta la alerta CRITICAL. Sin este script, un analista tendría que hacer ambas búsquedas manualmente, perdería tiempo y probablemente la correlación se le escaparía.

¿Cómo automatizar el triaje inicial de alertas de phishing?

El 40% de las alertas que llegan a un SOC medio son de phishing. La mayoría son reportes de usuarios, mails que pasan los filtros, etc. Triajarlas manualmente es una pérdida de tiempo monumental. Un script puede hacer el 80% del trabajo pesado.

#!/usr/bin/env python3
"""
Auto-Triage Phishing v2.1
Analiza URLs y adjuntos de emails reportados.
"""
import re
import hashlib
import requests
from urllib.parse import urlparse
import vt  # VirusTotal API v3
import whois
from datetime import datetime

class PhishingAnalyzer:
    def __init__(self, vt_api_key):
        self.vt_client = vt.Client(vt_api_key)
        self.safelist_domains = ["company.com", "trusted-partner.org"]  # Dominios internos
        
    def analyze_url(self, url: str) -> Dict:
        """Realiza análisis en cadena de una URL."""
        result = {"url": url, "risk_score": 0, "indicators": []}
        
        # 1. Análisis básico de URL
        parsed = urlparse(url)
        domain = parsed.netloc
        
        # Check safelist
        if any(trusted in domain for trusted in self.safelist_domains):
            result["risk_score"] = 0
            result["indicators"].append("Dominio en lista blanca interna")
            return result
            
        # 2. Características sospechosas (heurística)
        if re.search(r'\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}', domain):
            result["risk_score"] += 30
            result["indicators"].append("IP directa en URL")
        if len(domain.split('.')) > 3:
            result["risk_score"] += 20
            result["indicators"].append("Subdominios excesivos (posible defensa)")
        if 'login' in parsed.path or 'verify' in parsed.path:
            result["risk_score"] += 25
            result["indicators"].append("Contiene ruta típica de phishing (login/verify)")
            
        # 3. Consulta VirusTotal
        try:
            url_id = vt.url_id(url)
            vt_report = self.vt_client.get_object("/urls/{}".format(url_id))
            result["vt_malicious"] = vt_report.last_analysis_stats['malicious']
            result["vt_suspicious"] = vt_report.last_analysis_stats['suspicious']
            if vt_report.last_analysis_stats['malicious'] > 2:
                result["risk_score"] += 50
                result["indicators"].append(f"VT: {vt_report.last_analysis_stats['malicious']} motores maliciosos")
        except vt.APIError as e:
            result["vt_error"] = str(e)
            
        # 4. WHOIS del dominio (edad)
        try:
            domain_info = whois.whois(domain)
            creation_date = domain_info.creation_date
            if isinstance(creation_date, list):
                creation_date = creation_date[0]
            if creation_date:
                age_days = (datetime.now() - creation_date).days
                if age_days < 30:
                    result["risk_score"] += 40
                    result["indicators"].append(f"Dominio reciente ({age_days} días)")
        except Exception:
            pass
            
        return result
    
    def analyze_file(self, file_path: str) -> Dict:
        """Analiza un archivo adjunto."""
        result = {"file": file_path, "risk_score": 0}
        with open(file_path, 'rb') as f:
            file_data = f.read()
        
        # Hash para búsquedas
        sha256 = hashlib.sha256(file_data).hexdigest()
        result["sha256"] = sha256
        
        # Consulta VT
        try:
            file_report = self.vt_client.get_object("/files/{}".format(sha256))
            result["vt_malicious"] = file_report.last_analysis_stats['malicious']
            if file_report.last_analysis_stats['malicious'] > 5:
                result["risk_score"] = 85
                result["indicators"] = ["Archivo conocido malicioso en VT"]
                # Extraer YARA rule matches si existen
                if hasattr(file_report, 'crowdsourced_yara_results'):
                    result["yara_matches"] = [r.rule_name for r in file_report.crowdsourced_yara_results]
        except vt.APIError:
            # Si no está en VT, subirlo (opcional)
            # self.vt_client.scan_file(file_path)
            pass
            
        return result

# Uso rápido
if __name__ == "__main__":
    analyzer = PhishingAnalyzer(vt_api_key="TU_CLAVE_VT")
    
    # Ejemplo: URL reportada por usuario
    url_result = analyzer.analyze_url("http://secure-login-apple-verify.account-update.xyz/login.php")
    print(f"Puntuación de riesgo: {url_result['risk_score']}/100")
    for indicator in url_result.get('indicators', []):
        print(f"  - {indicator}")
    
    # Si puntuación > 70, crear ticket automático en Jira/Servicenow
    if url_result['risk_score'] > 70:
        print("[ALTA PRIORIDAD] Creando ticket de incidente...")

Este script automatiza el trabajo de un analista de Nivel 1: verifica la URL contra listas, calcula una puntuación de riesgo basada en heurísticas (edad del dominio, estructura, IPs), consulta VirusTotal y, si supera un umbral, puede crear automáticamente un ticket de incidente en la plataforma de ticketing. En Riskitera, hemos integrado versiones de este script con Microsoft Graph API para analizar directamente los emails reportados con el botón "Report Phishing" de Outlook, ahorrando literalmente horas diarias al equipo.

¿Qué arquitectura necesitas para desplegar estos scripts de forma robusta?

Aquí es donde veo el error más gordo. La gente escribe scripts brillantes y los ejecuta manualmente desde su portátil, o los mete en un cron job cutre en un servidor. Para 2026, con la complejidad de los entornos, eso es insostenible. Necesitas una arquitectura ligera pero resiliente.

Mi recomendación basada en cientos de implementaciones:

  1. Orquestador Central (Simple): No hace falta un Kubernetes al principio. Un servidor Linux con systemd para gestionar los scripts como servicios, o mejor aún, un contenedor Docker/Podman por script, te da aislamiento y facilidad de despliegue. Usa docker-compose para orquestarlos.
  2. Cola de Mensajes (Opcional pero Recomendada): Para scripts que se disparan por eventos (nueva alerta de SIEM, email reportado), usa una cola ligera como Redis (con rq) o RabbitMQ. El SIEM envía un mensaje a la cola, el script worker lo consume y actúa. Esto evita pérdidas de eventos si el script falla.
  3. Logging y Monitorización Centralizada: Los scripts deben loguear en un formato estructurado (JSON) a un syslog central o directamente a tu SIEM. Monitoriza su ejecución con checks de salud simples (¿se está ejecutando? ¿ha procesado eventos en la última hora?).
  4. Gestión de Secretos: NUNCA hardcodees API keys. Usa un vault como HashiCorp Vault, o al menos variables de entorno gestionadas por tu orquestador de contenedores.

Una arquitectura de referencia mínima viable para 2026 se vería así:

[ Fuentes (SIEM, Email, API) ] --> [ Cola Redis ] --> [ Workers Python en contenedores ]
        |                                                              |
        |                                                              v
        +-----------------> [ SIEM / Log Central ] <------------------[ Logs JSON ]
                                                              |
                                                              v
                                                    [ Dashboards Grafana para métricas de automatización ]

¿Cómo integrar la automatización con tu SIEM y SOAR existente?

La resistencia más común es: "Ya tenemos Splunk/Sentinel/QRADAR, ¿para qué más?" La respuesta es que tu SIEM es el cerebro, pero los scripts de Python son el sistema nervioso rápido y especializado. La integración es clave.

Para Splunk Enterprise/ES: Usa el Splunk SDK for Python. Puedes crear alertas personalizadas que, cuando se disparen, ejecuten un script de respuesta (alert_action). Mejor aún, los scripts pueden ser búsquedas personalizadas (Custom Search Commands) que enriquezcan los datos directamente en el lenguaje SPL. Por ejemplo, un comando | phishtriage url_field=dest_url que llame a tu script y añada columnas de puntuación de riesgo.

Para Microsoft Sentinel: Aprovecha Azure Functions con Python. Las reglas de análisis (KQL) pueden desencadenar un Logic App que invoque una función de Python para realizar un enriquecimiento complejo o una acción de remediación controlada (como deshabilitar un usuario en Entra ID). La ventaja aquí es que vives dentro del ecosistema Azure, con su seguridad y escalabilidad gestionada.

Para SOARs como Palo Alto XSOAR (Cortex) o Splunk SOAR (Phantom): Estos productos suelen permitir la creación de custom functions o integration blocks en Python. Esto es lo ideal: encapsulas tu lógica compleja en un bloque reutilizable que luego puede ser usado en los playbooks gráficos. Por ejemplo, un bloque "Check Ransomware Correlation" que implemente la lógica de nuestro primer script y devuelva un veredicto estructurado al playbook.

La tabla a continuación resume los enfoques:

| Herramienta | Punto de Integración Ideal | Ventaja | Desventaja | | :--- | :--- | :--- | :--- | | Splunk ES | Custom Search Command / Alert Action | Alto rendimiento, nativo al SPL. | Requiere permisos avanzados en Splunk. | | Microsoft Sentinel | Azure Function + Logic App | Escalable, gestionado por Azure. | Lock-in a Azure, coste variable. | | Palo Alto XSOAR | Custom Python Integration | Reutilizable en playbooks visuales. | Ciclo de desarrollo más lento. | | Standalone | Script + Cola de Mensajes (Redis) | Máxima flexibilidad, independiente. | Tienes que gestionar la infra tú mismo. |

En un proyecto reciente para un banco español, implementamos un conjunto de scripts Python como Azure Functions desencadenados por Sentinel. Una regla de KQL detectaba un patrón de movimiento lateral (varias autenticaciones fallidas seguidas de un éxito desde una IP nueva). Esa regla enviaba los datos a una Logic App, que llamaba a nuestra función. La función, usando la biblioteca bloodhound-python, consultaba automáticamente la base de datos de BloodHound (que teníamos actualizada cada 6 horas) para determinar si el usuario comprometido tenía rutas críticas a dominios admin o cuentas de servicio Tier-0. En menos de 2 minutos desde la detección, el SOC recibía una alerta que decía: "Alerta de movimiento lateral - Usuario X tiene camino a DA - AISLAR INMEDIATAMENTE". Sin automatización, ese análisis habría requerido que un analista experto en AD jugara con BloodHound durante 15-20 minutos, tiempo precioso que los atacantes aprovechan.

El futuro en 2026: ¿Hacia dónde va la automatización en SOC?

Para 2026, la automatización dejará de ser un conjunto de scripts sueltos para convertirse en un sistema nervioso autónomo para el SOC. Las tendencias clave que ya estamos implementando en Riskitera para clientes avanzados son:

  1. Automatización Basada en Resultados de Pentest (OBT): Los scripts no se escriben a ciegas. Se derivan directamente de los hallazgos de pentests y ejercicios Red Team. Si un test muestra que puedes moverte de un workstation a un controlador de dominio en 8 pasos usando una técnica específica, se escribe un script de detección/correlación para esos 8 pasos y se despliega al día siguiente. Esto cierra el círculo de mejora continua.
  2. ML Ligero Integrado en Scripts: No hablo de modelos gigantescos, sino del uso de bibliotecas como scikit-learn o TensorFlow Lite dentro de scripts para tareas muy concretas. Por ejemplo, un script que analiza los comandos de PowerShell logueados, los vectoriza, y los compara con un modelo entrenado internamente para detectar ofuscación o comandos atípicos para ese usuario/host. Es un sistema de detección de anomalías hiper-específico y rápido.
  3. Automatización Proactiva (Pre-Incidente): Los scripts más valiosos serán los que actúen antes de que se declare un incidente. Un ejemplo es un script que, diariamente, revisa los grupos de Active Directory, identifica a usuarios que han sido añadidos recientemente a grupos privilegiados sin un ticket de cambio aprobado (cruzando con la API de ServiceNow), y revoca ese acceso automáticamente, notificando al manager y al equipo de seguridad. Esto es security as code aplicado a la operativa diaria.

La conclusión personal, después de todos estos años, es clara: el analista de SOC del futuro no será el que mejor sepa hacer clics en una consola, sino el que sea capaz de extender su criterio y conocimiento a través del código. Python es el martillo y el cincel para esculpir esa capacidad. No se trata de reemplazar a las personas, sino de liberarlas del trabajo tedioso para que puedan hacer lo que los humanos hacemos mejor: pensar de forma estratégica, investigar las amenazas complejas y tomar decisiones críticas bajo presión. Los scripts que te ahorran horas de análisis hoy, son los que te regalarán minutos críticos de respuesta mañana cuando el ataque real esté en marcha. Empieza pequeño, automatiza una tarea que odies hacer, y escala desde ahí. Tu futuro yo, y tu equipo, te lo agradecerán.

Recursos y referencias

  1. Splunk SDK for Python (Documentación Oficial): https://dev.splunk.com/enterprise/docs/python - Imprescindible si tu SIEM es Splunk.
  2. Azure Functions Python Developer Guide: https://learn.microsoft.com/en-us/azure/azure-functions/functions-reference-python - La guía para integrar con Microsoft Sentinel.
  3. The ThreatHunter-Playbook (GitHub): https://github.com/OTRF/ThreatHunter-Playbook - Un repositorio fantástico con técnicas de caza y, lo que es más útil, ejemplos de código para automatizar muchas de ellas.
  4. Awesome SOC Python Tools (GitHub): https://github.com/certsocietegenerale/awesome-soc-python-tools - Una lista curada de herramientas y librerías Python específicas para operaciones de SOC.