Sobrevivir Tus Primeros 90 Días como Analista SOC
Una hoja de ruta práctica para nuevos analistas SOC que cubre onboarding, triage de alertas, herramientas y hábitos que construyen credibilidad rápidamente.
Comenzar un rol de analista SOC es emocionante y desorientador al mismo tiempo. Te dan acceso a una docena de herramientas, una cola de alertas y expectativas vagas sobre qué tan rápido deberías estar detectando amenazas reales. Los primeros 90 días establecen la trayectoria de toda tu carrera en el rol, así que vale la pena abordarlos deliberadamente en lugar de simplemente sobrevivirlos.
Semanas 1-2: Absorbe Antes de Actuar
Resiste la urgencia de cerrar tickets inmediatamente como un veterano. Al principio, tu trabajo es entender el entorno: qué aspecto tiene el tráfico normal, cuáles son los activos más críticos, cuál es el camino de escalada, y quién es responsable de qué. Lee los runbooks incluso si están desactualizados — los runbooks desactualizados te dicen mucho sobre las brechas de conocimiento tribal que tendrás que llenar más adelante.
Pasa tiempo en el SIEM simplemente consultando, no haciendo triage. Familiarízate con las fuentes de datos que lo alimentan: logs de firewall, telemetría EDR, logs DNS, logs de autenticación. Si no sabes dónde vive una fuente de logs o cómo se normaliza, pregunta ahora. Nadie espera fluidez en la primera semana, y las preguntas hechas temprano se leen como diligencia, no como incompetencia.
Semanas 3-5: Observa, Luego Haz Triage Bajo Supervisión
Este es el momento en que comienzas a trabajar con alertas reales, pero emparejado con un analista senior o un compañero de escalada claro. Enfócate en construir un hábito de triage repetible:
- Confirma que la alerta se activó correctamente — verifica el log sin procesar, no solo el resumen de la alerta.
- Establece contexto — ¿es este activo una estación de trabajo, un servidor, una cuenta de servicio? ¿Cuál es su comportamiento de línea base?
- Delimita el radio de impacto — ¿afectó esto a otros hosts, otras cuentas, otros períodos de tiempo?
- Documenta conforme avanzas — tus notas hoy son el conocimiento institucional en el que alguien más confía en seis meses.
Un error común en esta etapa es cerrar alertas demasiado rápido para parecer eficiente. La velocidad importa eventualmente, pero la precisión y el razonamiento importan más ahora. Un analista senior puede enseñarte atajos más adelante; no puede desenseñarte fácilmente malos hábitos.
Semanas 6-8: Construye Instintos de Tus Propios Playbooks
Para este momento deberías estar manejando tipos de alertas comunes — reportes de phishing, intentos de fuerza bruta, ejecución sospechosa de PowerShell — con menos supervisión. Comienza a notar patrones que las reglas de detección existentes no capturan. Quizás una alerta particular siempre se activa en un trabajo de copia de seguridad benigno. Quizás una técnica real sigue pasando desapercibida porque la lógica de la regla es demasiado estrecha. Lleva estas observaciones a tu equipo; contribuir con sugerencias de ajuste tan temprano señala iniciativa. Este también es el momento para sentirte cómodo con búsquedas básicas de inteligencia de amenazas — verificar IPs, hashes y dominios contra fuentes como VirusTotal o la plataforma de inteligencia de amenazas de tu organización — y entender cómo ese contexto cambia la gravedad de una alerta.
Semanas 9-12: Asume Responsabilidad y Pide Retroalimentación
En el tramo final, presiona para obtener más autonomía en tu turno mientras aún confirmas escaladas antes de cerrar cualquier cosa ambigua. Comienza a rastrear tus propias métricas informalmente: cuántas alertas manejaste, cuántas fueron falsos positivos, con qué frecuencia tuviste que reabrir algo. No se trata de demostrar productividad — se trata de notar dónde tu criterio es sólido y dónde aún necesita calibración.
Pregunta a tu líder directamente: "¿Qué me estoy perdiendo que un analista más experimentado detectaría?" La mayoría de los líderes SOC respetan mucho más una solicitud directa de retroalimentación que la incertidumbre silenciosa. Este también es un buen momento para identificar un interés de especialización — ingeniería de detección, threat hunting, respuesta a incidentes, análisis de malware — porque el trabajo SOC abre puertas en muchas direcciones, y mostrar curiosidad sobre un camino específico ayuda a moldear cómo tu gerente te asigna trabajo desafiante.
Hábitos que Vale la Pena Construir Desde el Primer Día
Hay algunas cosas que dan resultados sin importar las herramientas o el nivel de madurez específico de tu SOC:
- Escribe notas limpias y con timestamp en cada investigación, incluso las cerradas.
- Aprende la topología de la red, no solo los campos de logs — saber qué se supone que debe comunicarse con qué hace que las anomalías sean obvias más rápido.
- Practica escribir resúmenes de incidentes que un gerente no técnico pudiera entender; esta habilidad se compone a lo largo de tu carrera.
- Mantente curioso sobre falsos positivos — ajustar detecciones malas es a menudo más valioso que cerrar tickets rápidamente.
Los primeros 90 días no se tratan de convertirse en un experto. Se tratan de construir el criterio, los hábitos y las relaciones que te permitan convertirte en uno durante los próximos años.
Si quieres afilar los fundamentos técnicos detrás del trabajo SOC — análisis de logs, fundamentos de red o flujos de trabajo de respuesta a incidentes — explora los segmentos relacionados de Blue Team y Digital Forensics en Korra Studio.
Este artículo se generó con asistencia de IA y se publicó en la base de conocimiento de Korra Studio.
Esta es una nota de la base de conocimiento de Korra Studio — la plataforma combina cada tema con mentoría 1 a 1.
Empezar gratisarrow_forward