Detección y respuesta en la red (NDR): guía completa

Información clave

Se prevé que el mercado mundial de soluciones NDR crezca significativamente, impulsado por la creciente complejidad de las ciberamenazas y la ampliación de la superficie de ataque de los entornos informáticos modernos. (Fuente: MarketsandMarkets)
Las organizaciones que utilizan NDR han informado de una reducción de hasta el 70% en el tiempo de detección y respuesta a las ciberamenazas, lo que pone de relieve su eficacia para mejorar las operaciones de seguridad. (Fuente: ESG Research)

¿Cómo funciona NDR Network Detection and Response?

Las soluciones NDR de alto rendimiento utilizan herramientas avanzadas de aprendizaje automático e inteligencia artificial para modelar las tácticas, técnicas y procedimientos de los adversarios, que se asignan en el marcoMITRE ATT&CK para detectar comportamientos de los atacantes con gran precisión. Sacan a la superficie el contexto relevante para la seguridad, extraen datos de alta fidelidad, correlacionan eventos a lo largo del tiempo, usuarios y aplicaciones para reducir drásticamente el tiempo y el esfuerzo invertidos en las investigaciones. También transmiten detecciones de seguridad y correlaciones de amenazas a soluciones de gestión de eventos de información de seguridad (SIEM) para realizar evaluaciones de seguridad exhaustivas.

Las soluciones NDR van más allá de la mera detección de amenazas, respondiendo a ellas en tiempo real mediante controles nativos o soportando una amplia gama de integraciones con otras herramientas o soluciones de ciberseguridad como la orquestación, automatización y respuesta de seguridad (SOAR).

¿Por qué necesita mi organización Network Detection and Response?

Network Detection and response (NDR) es una solución de ciberseguridad que supervisa continuamente la red de una organización para detectar ciberamenazas y comportamientos anómalos mediante herramientas o técnicas no basadas en firmas y responde a estas amenazas a través de funciones nativas o integrándose con otras herramientas o soluciones de ciberseguridad.

Triada de visibilidad SOC de Gartner

NDR desempeña un papel fundamental en la seguridad de su infraestructura digital.

El historial de amenazas suele estar disponible en tres lugares: red, endpoint y registros.

‍NetworkDetection and Response (NDR) proporciona una visión aérea de las interacciones entre todos los dispositivos de la red.
A continuación, los equipos de seguridad configuran el sistema de gestión de eventos e información de seguridad (SIEM ) para recopilar información de registro de eventos de otros sistemas y correlacionar entre las fuentes de datos.
Endpoint Detection and Response (EDR) proporciona una visión detallada de los procesos que se ejecutan en un host y de las interacciones entre ellos.

Los equipos de seguridad que implementan estas herramientas están capacitados para responder a una amplia gama de preguntas cuando responden a un incidente o buscan amenazas. Por ejemplo, pueden responder: ¿Qué hizo este activo o cuenta antes de la alerta? ¿Qué hizo después de la alerta? ¿Podemos averiguar cuándo empezaron a ir mal las cosas?

El NDR es fundamental porque ofrece una perspectiva que los demás no pueden ofrecer.

Por ejemplo, los exploits que operan a nivel de la BIOS de un dispositivo pueden subvertir el EDR o la actividad maliciosa puede simplemente no reflejarse en los registros.

Pero su actividad será visible por las herramientas de red en cuanto interactúen con cualquier otro sistema a través de la red.

O los atacantes avanzados y sofisticados utilizan túneles HTTPS cifrados ocultos, que se mezclan con el tráfico normal, para lanzar una sesión de comando y control (C2) y utilizar la misma sesión para filtrar datos confidenciales de empresas y clientes y evadir los controles de seguridad del perímetro, pero las soluciones NDR son extremadamente hábiles para detectar estos comportamientos.

Las plataformas eficaces de detección y respuesta a la red basadas en IA recopilan y almacenan los metadatos adecuados y los enriquecen con perspectivas de seguridad derivadas de la IA.

El uso eficaz de la IA puede entonces impulsar la detección de atacantes en tiempo real y realizar investigaciones concluyentes de incidentes.

¿Cuáles son las ventajas de las soluciones NDR?

Visibilidad continua en toda la red

Las soluciones de ciberseguridad Network Detection and Response proporcionan visibilidad continua en todos los usuarios, dispositivos y tecnologías conectados a la red, desde el centro de datos a cloud, desde los usuarios del campus a los usuarios que trabajan desde casa, desde IaaS a SaaS, y desde impresoras a dispositivos IoT.

Análisis de comportamiento e IA para la detección de amenazas avanzadas

Las soluciones NDR líderes utilizan análisis de comportamiento y ML/AI para modelar directamente los comportamientos de los atacantes y detectar ataques avanzados y persistentes con precisión quirúrgica. Evitan la avalancha de alertas de baja fidelidad y poco interesantes, ya que no detectan anomalías, sino ataques activos. Proporcionan cobertura de detección para varias fases del ciclo de vida de un ataque, incluyendo persistencia, escalada de privilegios, evasión de defensas, acceso a credenciales, descubrimiento, movimiento lateral, recopilación de datos, C2 y exfiltración.

A medida que las organizaciones pasan a entornos híbridos y cloud , la visibilidad de la red se fragmenta. Las plataformas NDR nativas deCloud restauran esa visibilidad analizando comportamientos en todas las cargas de trabajo, ya sea en el centro de datos o en cloud. Las soluciones NDR modernas detectan amenazas ocultas como el movimiento lateral y el comando y control cifrados sin depender de firmas o agentes.

Mejora de la eficacia operativa del centro de operaciones de seguridad (SOC)

Las soluciones NDR líderes basadas en IA son automáticas y mejoran drásticamente las detecciones de seguridad y la eficiencia operativa de los centros de operaciones de seguridad (SOC) a pesar de que las organizaciones y los equipos están plagados de una escasez crónica de experiencia y personal de ciberseguridad, ofreciendo reconstrucciones completas de ataques en lenguaje natural que proporcionan a los analistas, toda la información que necesitan para actuar sobre las alertas de forma rápida y completa.

Capacidad para responder automáticamente y acabar con los ataques en tiempo real.

Además de detectar ataques sofisticados que operan de forma discreta y emplean técnicas evasivas, las soluciones NDR ofrecen la posibilidad de responder automáticamente a un ataque grave mediante controles nativos y detener un ataque en tiempo real. Además, se integran con varios productos de ciberseguridad como EDR o soluciones de ciberseguridad como SOAR.

Captura de pantalla de la plataforma de detección y respuesta en red

Evolución de la detección y respuesta en red

Los IDS fueron la primera generación de soluciones NDR. Utilizaban la detección basada en reglas y firmas para identificar amenazas conocidas. Los IDS eran eficaces en la detección de ataques comunes, pero también eran propensos a falsos positivos y podían ser fácilmente evadidos por los atacantes.

Los sistemas de detección de intrusiones de nueva generación (NGIDS) se desarrollaron para hacer frente a las limitaciones de los IDS. Los NGIDS utilizaban una combinación de detección basada en firmas, detección basada en anomalías y análisis de comportamiento para identificar tanto las amenazas conocidas como las desconocidas. Los NGIDS eran más eficaces que los IDS a la hora de detectar ataques sofisticados, pero seguían siendo complejos y difíciles de gestionar.

Las soluciones NDR llevan las capacidades de NGIDS al siguiente nivel. Utilizan IA y aprendizaje automático para analizar el tráfico de red e identificar patrones y anomalías que puedan indicar un ataque. Las soluciones NDR pueden detectar una amplia gama de amenazas, incluido malware conocido y desconocido, intrusiones y fugas de datos. Las soluciones NDR también son más fáciles de gestionar que las NIDS y NGIDS.

La evolución de los NDR está impulsada por la creciente sofisticación de los ciberataques. A medida que los atacantes desarrollan nuevas técnicas, las soluciones NDR deben evolucionar para seguirles el ritmo. La IA y el Machine Learning desempeñan un papel fundamental en las soluciones de NDR modernas, ya que permiten detectar y responder a amenazas que serían difíciles o imposibles de detectar con los métodos tradicionales.

Visualización de ataques con el gráfico de ataques Vectra AI

Las soluciones NDR modernas deben ir más allá de la alerta básica para respaldar decisiones rápidas y seguras durante las investigaciones. El gráfico de ataques Vectra AI presenta una visión unificada del comportamiento de los atacantes en la red moderna, mapeando cada fase de una intrusión, desde el acceso inicial hasta el movimiento lateral y el abuso de privilegios.

A principios de este año, durante un recorrido por el producto con nuestro equipo, mostramos cómo la plataforma NDR Vectra AIayuda a los analistas a eliminar el ruido de las alertas y seguir la trayectoria completa de un ataque basado en la red.

Lo más destacado de la demostración:

Vea cómo el gráfico de ataque aísla al paciente cero, visualiza el movimiento este-oeste del atacante y destaca los hosts y entidades afectados.
Comprender el impacto de comportamientos sospechosos como la ejecución remota, las consultas LDAP y la comunicación C2.
Descubra cómo la interfaz prioriza lo importante, minimizando la sobrecarga cognitiva para agilizar el triaje y la investigación.

Cada clic, cada solicitud, cada intento de inicio de sesión, Vectra AI los supervisa todos en busca de señales de engaño. Vea Vectra AI en acción

¿Qué son las soluciones NDR gestionadas?

Managed Network Detection and Response (NDR) es un servicio que aprovecha la experiencia de un equipo especializado en ciberseguridad o de un proveedor de servicios para supervisar continuamente el tráfico de su red, analizar patrones e identificar posibles amenazas a la seguridad.

Los componentes clave del NDR gestionado pueden incluir:

Supervisión continua: El proveedor de servicios supervisa el tráfico de la red en tiempo real, buscando patrones o comportamientos anómalos que puedan indicar una amenaza para la seguridad.
Detección de amenazas: Utilizando análisis avanzados e inteligencia sobre amenazas, Managed NDR identifica y categoriza las amenazas potenciales a la seguridad, incluyendo malware, intentos de phishing y otras actividades maliciosas.
Respuesta a incidentes: En caso de que se detecte una amenaza, el proveedor de servicios inicia un proceso de respuesta a incidentes para contener, mitigar y remediar el incidente de seguridad.
Análisis forense: Los NDR gestionados suelen incluir análisis forenses detallados para comprender el alcance y el impacto de un incidente de seguridad, lo que ayuda a las organizaciones a reforzar su postura de seguridad.
Informes y recomendaciones: Se proporcionan a la organización informes periódicos sobre incidentes de seguridad, vulnerabilidades y recomendaciones para mejorar la seguridad con el fin de mejorar su estrategia global de ciberseguridad.

Al externalizar las responsabilidades de detección y respuesta de la red, las organizaciones pueden beneficiarse de la experiencia de los profesionales de la ciberseguridad, mantenerse actualizadas sobre las últimas amenazas y garantizar un enfoque proactivo para defenderse de los riesgos cibernéticos en evolución. Este enfoque es especialmente valioso para las organizaciones que pueden carecer de los recursos internos o la experiencia para gestionar eficazmente la seguridad de su red.

> Más información sobre los servicios gestionados de NDR de Vectra

Integrar la detección y respuesta de redes (NDR) en su estrategia de ciberseguridad no es sólo una opción, es una necesidad. Vectra AI permite a las organizaciones detectar, investigar y responder proactivamente a las amenazas con soluciones NDR de vanguardia. Póngase en contacto con nosotros para explorar cómo nuestras capacidades de NDR pueden fortalecer las defensas de su red y garantizar la resistencia de sus activos digitales.

Preguntas frecuentes

¿Qué es el NDR en ciberseguridad?

NDR son las siglas de «detección y respuesta de red». Se trata de una tecnología de ciberseguridad que supervisa continuamente el tráfico de red mediante inteligencia artificial y análisis de comportamiento para detectar amenazas en tiempo real. A diferencia de las herramientas de seguridad tradicionales, que se basan en firmas conocidas o en datos de registro, el NDR analiza las comunicaciones reales de la red, tanto el tráfico norte-sur que atraviesa el perímetro como el tráfico este-oeste que se desplaza lateralmente entre los sistemas internos.

El NDR detecta amenazas como el movimiento lateral, las comunicaciones de comando y control, la exfiltración de datos, el uso indebido de credenciales y las anomalías en el tráfico cifrado. Ofrece capacidades de respuesta automatizada, tales como el aislamiento de hosts, la interrupción de sesiones y la integración con plataformas SOAR para una respuesta coordinada ante incidentes. Esta categoría fue definida oficialmente por Gartner en 2020 y validada con el primer Cuadrante Mágico para NDR en 2025.

Las organizaciones implementan soluciones NDR para subsanar la falta de visibilidad entre la detección basada en endpoints (EDR) y la basada en registros (SIEM), especialmente en el caso de dispositivos no gestionados, sistemas de IoT/OT y cloud que no pueden ejecutar agentes de endpoint.

¿Cuál es la diferencia entre NDR y EDR?

Los sistemas NDR y EDR supervisan fuentes de datos fundamentalmente diferentes y destacan en distintos escenarios de detección. El NDR supervisa el tráfico de red en toda la infraestructura, lo que proporciona visibilidad sobre las comunicaciones entre todos los dispositivos —gestionados, no gestionados y de IoT/OT—. Se implementa sin agentes mediante TAP de red, puertos SPAN y registros cloud , por lo que no requiere la instalación de software en los dispositivos supervisados.

EDR supervisa los terminales individuales mediante la instalación de agentes ligeros en cada dispositivo. Ofrece una visibilidad detallada de la ejecución de procesos, los cambios en los archivos, la actividad de la memoria y las modificaciones del registro en cada host.

El NDR destaca en la detección de movimientos laterales, amenazas de tráfico cifrado y ataques contra dispositivos no gestionados. El EDR destaca en la detección malware , ataques sin archivos y amenazas a nivel de procesos en sistemas gestionados. El NDR proporciona el contexto de toda la red del que carece el EDR, mientras que el EDR ofrece el detalle a nivel de terminal que el NDR no puede ver. La mayoría de las arquitecturas de seguridad requieren ambas tecnologías como pilares complementarios de la tríada de visibilidad del SOC.

¿Cuál es la diferencia entre NDR y SIEM?

Aunque tanto el NDR como el SIEM contribuyen a la detección de amenazas, cumplen funciones principales diferentes. El NDR analiza el tráfico de red en tiempo real mediante el análisis de comportamiento y el aprendizaje automático, detectando anomalías en las comunicaciones reales de la red. El SIEM recopila, correlaciona y analiza los datos de registro de toda la organización mediante una detección basada en reglas.

La diferencia fundamental radica en la dependencia de los datos. El SIEM depende de que los dispositivos y las aplicaciones generen y reenvíen registros. Si un dispositivo no genera registros, si estos están incompletos o mal configurados, o si un atacante altera los mecanismos de registro, el SIEM pierde visibilidad. El NDR supervisa el propio tráfico de red, algo que los atacantes no pueden ocultar fácilmente, ya que cada comunicación de red genera patrones de tráfico observables.

El NDR ofrece una visibilidad única de la red en el eje este-oeste de la que carecen la mayoría de las implementaciones de SIEM. El SIEM ofrece una cobertura organizativa más amplia mediante la agregación de registros y constituye la plataforma principal para la elaboración de informes de cumplimiento normativo, los registros de auditoría y la conservación de registros. Las organizaciones obtienen el máximo beneficio al integrar ambas soluciones: las detecciones del NDR enriquecen las correlaciones del SIEM con pruebas de la red.

¿Cuál es la diferencia entre NDR y XDR?

NDR se centra específicamente en la detección y la respuesta a nivel de red, y ofrece una visibilidad detallada de los patrones de tráfico de red, las anomalías de comportamiento y los flujos de comunicación. XDR amplía las capacidades de detección y respuesta a múltiples ámbitos de seguridad —terminales, red, cloud, correo electrónico e identidad— y correlaciona los datos de telemetría procedentes de diversas fuentes para convertirlos en incidentes unificados.

El NDR puede funcionar como una tecnología de seguridad independiente o como el componente de red dentro de una plataforma XDR más amplia. Muchas soluciones XDR incluyen capacidades de NDR, pero pueden carecer de la profundidad que ofrecen las soluciones NDR especializadas en el análisis del tráfico de red y la detección de comportamientos.

La línea divisoria entre NDR y XDR se está difuminando. Algunos proveedores amplían sus plataformas NDR para incluir cloud de terminales y cloud , avanzando así de hecho hacia el XDR. Otros comienzan con el XDR y profundizan en sus capacidades de análisis de red. Las organizaciones deben evaluar si necesitan la visibilidad profunda de la red que ofrece un NDR independiente, la correlación entre dominios del XDR, o ambas integradas en una plataforma unificada.

¿Puede el NDR detectar el tráfico cifrado?

Sí. Las soluciones NDR modernas analizan el tráfico cifrado sin descifrarlo, lo cual es fundamental, ya que actualmente el 87 % o más de las amenazas utilizan canales cifrados. El NDR examina múltiples atributos de las comunicaciones cifradas para identificar anomalías.

El análisis de metadatos examina atributos de conexión como las direcciones de origen y destino, los puertos, los protocolos, los detalles de los certificados, la duración de la sesión y los volúmenes de datos. La identificación de huellas digitales JA3 y JA4 permite identificar las aplicaciones de cliente y servidor basándose en los parámetros de su protocolo de enlace TLS, lo que permite detectar malware presenta huellas digitales distintivas que difieren de las del software legítimo. El análisis de certificados comprueba la presencia de certificados autofirmados, certificados caducados y atributos de certificado inusuales asociados a infraestructuras maliciosas.

El análisis de sincronización y entropía detecta patrones de comunicación —llamadas periódicas a servidores de comando y control— y flujos de datos anómalos basándose en los intervalos de tiempo y la entropía de la carga útil. Estos patrones de comportamiento revelan amenazas incluso cuando el contenido real de la carga útil está cifrado, lo que hace que el NDR sea esencial en entornos donde la mayor parte del tráfico utiliza TLS u otros protocolos de cifrado.

¿Qué es la tríada de visibilidad del SOC?

La tríada de visibilidad del SOC es un concepto que Gartner introdujo en 2019 en el informe de investigación «Aplicación de enfoques centrados en la red para la detección y respuesta ante amenazas». Describe tres tecnologías complementarias que, en conjunto, proporcionan una visibilidad completa de las amenazas a los centros de operaciones de seguridad.

Los tres pilares son el SIEM para el análisis basado en registros, el EDR para la detección y respuesta en los puntos finales, y el NDR para la detección y respuesta en la red. Cada tecnología supervisa una fuente de datos diferente y cubre una parte distinta de la superficie de ataque. El SIEM analiza los registros de las aplicaciones, los sistemas y la infraestructura. El EDR supervisa el comportamiento de los puntos finales, incluidos los procesos, los archivos y la memoria. El NDR supervisa los patrones de tráfico de red y las comunicaciones.

El concepto de la tríada reconoce que ninguna herramienta por sí sola ofrece una visibilidad completa del entorno de una organización. Los atacantes se aprovechan de las lagunas que existen entre las herramientas. La NDR cubre esa laguna crítica en la visibilidad de la red, al detectar amenazas en el tráfico este-oeste, en las comunicaciones cifradas y en la actividad relacionada con dispositivos no gestionados que ni el SIEM ni el EDR pueden observar. Las organizaciones que implementan los tres pilares logran una cobertura de detección significativamente mejor que aquellas que se basan en una o dos tecnologías.

¿Cómo contribuye el NDR al zero trust?

El NDR es totalmente compatible con zero trust , ya que verifica de forma continua el comportamiento de la red en lugar de confiar implícitamente en cualquier tipo de tráfico. En un zero trust , no se confía de forma implícita en ningún usuario, dispositivo o segmento de red, y todas las comunicaciones deben validarse continuamente.

El NDR contribuye al zero trust varias maneras. Supervisa todo el tráfico de la red interna —no solo el tráfico perimetral— y detecta comportamientos anómalos incluso en usuarios autenticados y segmentos de red de confianza. Identifica desviaciones respecto a los patrones de comportamiento establecidos que puedan indicar credenciales comprometidas o amenazas internas. Ofrece visibilidad sobre las comunicaciones este-oeste entre microsegmentos, verificando que se apliquen las políticas de segmentación y detectando movimientos no autorizados entre segmentos.

El NDR también supervisa los dispositivos no gestionados y los dispositivos IoT/OT que podrían no estar sujetos a zero trust basados en la identidad, garantizando que el comportamiento de red de estos dispositivos se ajuste a los patrones esperados. Dado que más del 67 % de las organizaciones están implementando zero trust , la verificación continua del comportamiento que ofrece el NDR se está convirtiendo en un componente cada vez más esencial de la infraestructura de seguridad.

¿En qué se diferencia el NDR en línea del NDR fuera de banda?

El NDR en línea y el NDR fuera de banda representan dos arquitecturas de implementación diferentes con ventajas e inconvenientes distintos. El NDR en línea se sitúa directamente en la ruta de la red e inspecciona el tráfico a medida que pasa por el sensor. Esta ubicación permite bloquear en tiempo real el tráfico malicioso, pero introduce latencia y crea un posible punto único de fallo en caso de que el sensor funcione mal.

El NDR fuera de banda supervisa las copias del tráfico de red proporcionadas por los TAP de red o los puertos SPAN. Analiza este tráfico duplicado sin intervenir en la ruta de datos. Este enfoque elimina la latencia y el riesgo de fallos, pero no puede bloquear directamente el tráfico malicioso; debe integrarse con cortafuegos, conmutadores o EDR para aplicar medidas de contención.

La mayoría de las implementaciones de NDR en empresas utilizan arquitecturas fuera de banda, ya que ofrecen una supervisión exhaustiva sin riesgo de interrumpir la red. Las implementaciones en línea son más habituales en entornos con requisitos específicos de bloqueo en tiempo real, como infraestructuras críticas o entornos que manejan datos altamente confidenciales, en los que el bloqueo inmediato y automatizado compensa las desventajas operativas. Muchas organizaciones adoptan un enfoque híbrido: fuera de banda para una supervisión general y sensores en línea en los puntos críticos.

¿Es lo mismo el NDR que la supervisión de redes?

No. La supervisión tradicional de redes y el NDR tienen fines distintos. La supervisión de redes se centra en la disponibilidad y el rendimiento: realiza un seguimiento de la utilización del ancho de banda, el tiempo de actividad, la latencia y la pérdida de paquetes para garantizar que la red funcione de forma fiable. Herramientas como los monitores SNMP y los sistemas de gestión del rendimiento de la red entran dentro de esta categoría.

El NDR va mucho más allá al aplicar análisis de comportamiento basados en inteligencia artificial específicamente para la detección de amenazas. El NDR establece patrones de referencia del comportamiento de la actividad normal de la red, detecta anomalías que indican amenazas de seguridad, correlaciona múltiples señales para identificar incidentes de seguridad priorizados y ofrece capacidades de respuesta automatizadas o guiadas para contener las amenazas.

Aunque ambas tecnologías supervisan el tráfico de red, sus objetivos difieren de manera fundamental. La supervisión de red se pregunta: «¿Funciona correctamente la red?». El NDR se pregunta: «¿Hay alguien atacando la red?». Las fuentes de datos pueden solaparse, pero los modelos analíticos, los objetivos de detección y las capacidades de respuesta son totalmente diferentes. El NDR complementa la supervisión de red, y muchas organizaciones utilizan ambas: la supervisión de red para obtener visibilidad operativa y el NDR para obtener visibilidad de seguridad.

¿Qué papel desempeña la IA en el NDR?

La IA es la tecnología fundamental que hace posible el NDR moderno. Sin la IA y el aprendizaje automático, el NDR volvería a la detección basada en firmas, el enfoque que caracterizó la era de los IDS/IPS y que resultó insuficiente frente a las amenazas actuales.

Los modelos de aprendizaje automático sustentan el establecimiento de patrones de referencia de comportamiento, la función principal del NDR. Estos modelos observan los patrones normales de la red para cada dispositivo, usuario y subred a lo largo del tiempo, aprendiendo así qué constituye un comportamiento típico. Cuando el tráfico en tiempo real se desvía de estos patrones de referencia, los modelos señalan las anomalías para su investigación. Este enfoque detecta amenazas nuevas que aún no cuentan con una firma definida.

Los modelos de aprendizaje profundo se encargan de tareas complejas de reconocimiento de patrones, como identificar comunicaciones de mando y control dentro del tráfico cifrado, detectar la filtración gradual de datos a lo largo de numerosas sesiones de pequeño volumen y reconocer patrones de ataque en varias fases que se prolongan durante horas o días. El análisis estadístico complementa a los modelos de aprendizaje automático para la detección de valores atípicos en el tráfico de gran volumen.

La última generación de NDR incorpora la IA con agentes: agentes de IA autónomos que investigan las alertas, recopilan señales de comportamiento para reconstruir el recorrido completo de los ataques y priorizan los incidentes en función del riesgo empresarial. Esto reduce la carga de trabajo de los analistas del SOC y permite responder más rápidamente a las amenazas reales, al tiempo que se filtran los falsos positivos.