Catálogo de integraciones
Administrador | Analista15 min
Para qué sirve
Cada fuente de logs que conectás amplía lo que tu equipo puede ver, detectar e investigar. Referencia de integraciones disponibles y su valor para SOC e incident response.
Consejos
- Empezá por CloudTrail + Login (Google) + GuardDuty y expandí según madure tu operación SOC.
- Consultá el artículo Crear integración para el wizard paso a paso.
Resumen por dominio
- AWS — Núcleo de infraestructura cloud: quién hizo qué, tráfico de red, hallazgos GuardDuty.
- Google Workspace — Identidad, colaboración y datos SaaS: compromiso de cuentas, exfiltración.
- GitHub — Cadena de suministro de software: secretos expuestos, accesos indebidos al código.
- Azure — Workloads Microsoft cloud: auditoría de bases y recursos en entornos híbridos.
Tabla de integraciones
- | Nombre en wizard | Modo | Dominio |
- | CloudTrail | S3 | AWS |
- | VPC Flow | S3 | AWS |
- | WAF | S3 | AWS |
- | ALB | S3 | AWS |
- | MongoDB audit | S3 | AWS |
- | GuardDuty (S3 export) | S3 | AWS |
- | Workspace Alert Center | S3 | Google |
- | Custom S3 source | S3 | Cualquiera |
- | GuardDuty | API | AWS |
- | RDS audit (CloudWatch API) | API | AWS |
- | Organization audit logs | API | GitHub |
- | Enterprise audit logs | API | GitHub |
- | Admin, Drive, Token, Alerts, Login | API | Google |
- | Log Analytics query | API | Azure |
Escenarios de correlación
- Cuenta Google comprometida — `Login` + `Drive` + `Token` + `Admin`: ¿Cuándo entraron? ¿Qué robaron? ¿Persistencia OAuth?
- Instancia AWS comprometida — `GuardDuty` + `CloudTrail` + `VPC Flow`: finding, API calls, tráfico saliente.
- Ataque web — `WAF` + `ALB` + `CloudTrail`: intentos, impacto en backend, cambios de infra.
- Fuga de código — GitHub org/ent + `CloudTrail`: acceso al repo, uso de credenciales en AWS.
- Exfiltración de base de datos — `RDS audit` o `MongoDB audit` + `VPC Flow`: queries y transferencia de red.