La mayoría de los SOC ya cuentan con los elementos fundamentales.
- Un sistema SIEM para centralizar los registros.
- Una solución SOAR para automatizar los flujos de trabajo.
- Unas cuantas herramientas que envían datos a ambos.
A pesar de contar con todas estas herramientas, sigue habiendo un problema con las investigaciones de seguridad. El problema se pone de manifiesto cuando se intenta utilizar ese conjunto de herramientas durante una investigación.
Recibes una alerta. Pones en marcha un guion de respuesta. Quizás lo completas con algunas consultas. Pero cuando llega el momento de determinar qué ha ocurrido realmente, los datos de telemetría necesarios para llevar a cabo esa investigación siguen estando dispersos por distintos sistemas. No es que las herramientas no funcionen, sino que los datos en los que se basan no están conectados entre sí y, en la mayoría de los casos, no son lo suficientemente útiles como para tomar decisiones.
Esa es precisamente la laguna que Vectra AI propone cubrir.
Dónde Vectra AI
Vectra AI pretende sustituir tu SIEM ni tu SOAR. Más bien al contrario: partimos de la base de que ya los tienes y de que es ahí donde tu equipo va a pasar la mayor parte del tiempo.
Lo que Vectra AI es ofrecer algo que esos sistemas no suelen proporcionar: una señal de alta fidelidad basada en el comportamiento que ya está correlacionada entre la identidad, la red, cloud y el SaaS.
En lugar de enviar alertas aisladas a su SIEM y esperar que este reconstruya un ataque a posteriori, Vectra AI una señal que ya refleja cómo se mueve el atacante por el entorno. Esto por sí solo reduce en gran medida el trabajo manual de correlación.
Pero la señal es solo una parte. En algún momento, hay que verificar lo que se está viendo.
La pieza que suele romperse: investigación
Incluso en entornos bien estructurados, la investigación suele atascarse en el mismo punto. Se recibe la alerta. A continuación, se dispone de algo de contexto. Pero las pruebas de seguridad propiamente dichas siguen estando dispersas.
Así que acabas pasando a los registros, a otra herramienta o a otro conjunto de datos. Ahí es donde se pierde el tiempo. No en el análisis, sino en intentar reunir los datos necesarios para llevarlo a cabo.
Tras analizar (nunca mejor dicho) los obstáculos a los que se enfrentan los profesionales de la seguridad en sus procesos de trabajo y diseñar una solución que realmente funcione para el SOC, Vectra AI las deficiencias en la recopilación de datos gracias a nuestra API de investigación.
Qué hace realmente la API Investigate Vectra AI
La API de investigación ofrece a los equipos acceso directo a los datos de seguridad de la telemetría subyacente Vectra AI ya Vectra AI utilizando, incluyendo la actividad de red, los eventos de identidad, el DNS, cloud y todo lo que hay detrás de la detección. A continuación, pone a disposición esa información a través de una interfaz de consulta a la que se puede acceder desde cualquier lugar.
Así que, en lugar de interrumpir tu flujo de trabajo para ir a buscar datos, puedes incorporarlos directamente en él. Por ejemplo, un guion de SOAR puede:
- Realizar una prueba Vectra AI
- averiguar qué actividad hay exactamente detrás
- y tomar una decisión basada en pruebas reales, no solo en los metadatos de las alertas
Esto cambia radicalmente la forma en que se llevan a cabo las investigaciones basadas en API, ya que la fase de recopilación de pruebas ya no es manual.
La API de investigación Vectra AImuestra actualmente 28 tablas procedentes de 5 fuentes de datos:
Cómo se traduce esto en la práctica: tres situaciones de investigación
1. Validación de una detección mediante pruebas de red
Se detecta una actividad de comando y control en un host. Normalmente, se pasaría al SIEM, se reconstruiría la ventana temporal y se intentaría encontrar sesiones coincidentes.
Con la API de investigación, puedes consultar directamente ese host y ese intervalo de tiempo y obtener todos los datos de la sesión —incluidas las direcciones IP, los puertos, los bytes y el estado de la conexión— simplemente copiando y pegando un cuerpo JSON directamente en cualquier cliente de API. Más información aquí y aquí.
En cuestión de segundos, sabrás exactamente qué estaba haciendo ese host durante el periodo de detección.
2. Detección de fugas de datos a través del DNS
Debes comprobar si hay túneles DNS. En lugar de basarte únicamente en las detecciones predefinidas, puedes consultar los registros TXT y las cadenas de consulta largas, y luego ordenarlos por longitud o frecuencia. Si combinas esto con el análisis de comportamientos sin procesar —como patrones DNS anómalos, dominios sospechosos y hosts que se comportan de forma inusual—, estarás llevando a cabo una verdadera búsqueda de amenazas, y no solo reaccionando a las alertas.
3. Investigación de una identidad comprometida en distintos sistemas para la detección de amenazas a la identidad
Se ha activado una alerta en una cuenta de usuario. Ahora quieres saber qué ocurrió antes de que se activara la alerta y en qué sistemas de identidades y SaaS. Mediante la API de investigación Vectra AI, puedes ejecutar consultas paralelas, como la actividad de inicio de sesión en Entra (errores, sesiones de riesgo) y la actividad en M365 (reglas de correo, cambios de acceso).
En resumen, esto te da una idea clara de lo que ocurrió: intentos fallidos de inicio de sesión → nueva regla en la bandeja de entrada → posible filtración.
No has tenido que cambiar entre tres herramientas para llegar hasta ahí. Has realizado la consulta directamente a través de la API Investigate Vectra AI.
No se trata de cambiarte a otra interfaz de usuario
Aquí surge una pregunta obvia: si se puede investigar a través de la API, ¿para qué utilizar la Vectra AI ?
La respuesta sincera es: probablemente lo usarás de otra manera.
Los profesionales ya prefieren trabajar desde su SIEM o SOAR. Eso no va a cambiar. La API de investigación no pretende sacarte de ahí. Más bien al contrario: permite que Vectra AI en tu entorno de trabajo habitual.
En lugar de cambiar a la Vectra AI para realizar una investigación, puedes seguir en tu flujo de trabajo e integrar los datos Vectra AIen él. Esto amplía el papel Vectra AIen tu infraestructura y programa de seguridad. Ahora, cada investigación puede aprovechar los datos Vectra AIpara ofrecer una mejor señal en las investigaciones de seguridad.
Lo esencial
Las soluciones SIEM y SOAR son eficaces a la hora de gestionar flujos de trabajo, pero no destacan por generar o validar por sí solas señales de seguridad coordinadas y de alta calidad. Vectra AI esa carencia y nuestro objetivo es subsanarla, en primer lugar ofreciendo señales que reflejen el comportamiento real de los atacantes y, a continuación, proporcionando tecnología que permita acceder a las pruebas subyacentes dentro de los flujos de trabajo de operaciones de seguridad en los que tu equipo ya confía.
Esto no solo afecta a las investigaciones. Cuando los equipos de seguridad tienen acceso a señales más completas, basadas en el comportamiento, y a pruebas directas, toman decisiones más rápidas y con mayor seguridad. Las investigaciones se acortan y ganan en precisión, ya que la correlación de datos de telemetría ya no depende de que los analistas reconstruyan manualmente el contexto a través de herramientas aisladas. Las brechas de seguridad resultan más fáciles de identificar y priorizar. La automatización gana en fiabilidad, ya que los flujos de trabajo se basan en datos validados en lugar de en alertas fragmentadas.
El resultado es un SOC más eficiente y resistente: menores gastos operativos, menor tiempo de permanencia de los atacantes, mayor visibilidad en entornos híbridos y mejores resultados de seguridad basados en datos contrastados en lugar de en suposiciones.
Conserva tu pila. Con Vectra AI, solo tienes que hacer que funcione como se supone que debe hacerlo.