SOAR (Security Orchestration, Automation and Response) automatiza el ciclo de respuesta del SOC: alerta → triage → enriquecimiento → contención → cierre del caso. Reduce tiempo medio de respuesta (MTTR) y libera a analistas L1 de tareas repetitivas.
El segmento se polarizó en 2024-2026: las plataformas low-code modernas (Tines, Torq) ganaron mindshare frente a los comerciales tradicionales (XSOAR, Splunk SOAR), y en open source TheHive + Cortex sigue siendo la combinación más adoptada en SOCs medianos.
Tabla comparativa rapida
| Herramienta | Modelo | Mejor para |
|---|---|---|
| TheHive | Open source (AGPL) | Case management open source con Cortex analyzers |
Herramientas
Guia de compra
¿Tu SOC ejecuta playbooks repetidos manualmente?
Sí: SOAR cubre tiempo de inversión. No: automatiza con scripts antes de invertir en plataforma.
¿Quieres open source o comercial?
Open source maduro: TheHive (case mgmt) + Shuffle (workflows) + Cortex (analyzers). Comercial low-code: Tines, Torq, n8n self-hosted.
¿Cuál es tu stack actual?
Si usas XSIAM/XSOAR: ya está integrado. Splunk SOAR si vives en Splunk. Independientes: TheHive, Tines, Torq.