Sobre el programa
Security Operations Center desde adentro. El foco está en los aspectos
prácticos: cómo se detectan y clasifican amenazas, qué herramientas
se usan, cómo se leen logs en entornos Windows, y cuál es el lenguaje
operativo del equipo de seguridad. En 20 horas, los participantes salen con criterio
operativo y vocabulario compartido con el SOC.
Horas académicas
Código Wawiwa
Quick win
SOCOPS es el puente entre un equipo IT y el mundo SecOps — construye
el vocabulario y criterio operativo base antes de entrar a programas más
intensivos como CSIR40 o SOC L1.
Lo que aprenderás
Tres bloques de competencias concretas orientadas a la operación diaria
de un equipo de Security Operations.
Operación del SOC
Entender cómo funciona un SOC: roles, flujos de trabajo, herramientas y métodos. Explicar los aspectos operativos relevantes para un analista de primer nivel — desde la generación de alertas hasta el escalamiento.
SIEM práctico con Splunk
Instalar y operar una instancia de Splunk en entorno virtual. Practicar actividades SIEM reales: crear búsquedas, explorar
logs, identificar patrones anómalos y correlacionar eventos de seguridad en un entorno controlado.
Windows Security Events
Aprender las fuentes de eventos de seguridad en entornos Windows: Windows Event Viewer, los logs más relevantes para un analista, y la terminología básica de Incident Response y Cyber Forensics aplicada al contexto del SOC.
Estructura del programa
20 horas distribuidas en módulos progresivos. Formato flexible: sesiones de 4 horas en 5 semanas o intensivo en 2 días.
El SOC por dentro
Estructura, roles y flujos de un SOC operativo. Diferencias entre Tier 1, Tier 2 y escalamiento. Ciclo de vida de una alerta.
SIEM con Splunk
Setup de instancia Splunk en entorno virtual. Búsquedas, dashboards y correlación de eventos. Casos de uso prácticos.
Windows Security Logs
Fuentes de eventos Windows. Event Viewer: qué mirar, cómo leerlo y qué indica un evento crítico para el analista.
IR y Forensics: el vocabulario
Terminología operativa de Incident Response y Cyber Forensics aplicada al trabajo diario del SOC. Cómo comunicarse con el
equipo IR durante un incidente.
A quién va dirigido
Audiencia principal
- Profesionales y equipos con background en IT
- Early-stage cyber professionals que quieren entrar al mundo SOC
- Equipos IT que van a colaborar con un SOC externo o interno
- Operadores que necesitan contexto para trabajar con un MSSP
Prerequisitos
- Conocimiento sólido de infraestructura IT: redes y sistemas operativos
- Familiaridad con file systems, Windows Registry y protocolos de red comunes
- Experiencia básica con procesos y tecnologías IT
a infraestructura IT. Si tu equipo tiene poco background en redes y sistemas,
considera empezar por
CSIR40
y volver a SOCOPS después.
Modelo de entrega
Formato
Cohorte cerrada de 10 a 20 participantes. Remoto (Zoom/Teams) o presencial en CDMX/Querétaro.
Duración
20 horas académicas. Distribución flexible: 4h × 5 semanas o formato intensivo en 2 días.
Certificación
Certificado Wawiwa al completar el programa. Instructores QMA con experiencia en operaciones SOC en entornos enterprise.
Ruta de continuidad
SOCOPS es el punto de entrada ideal al mundo SecOps. Después, el equipo tiene el vocabulario y criterio base para avanzar a capacidades operativas más profundas.
Siguiente recomendado
CSIR40 — Incident Response (40h)
Toma el criterio SOC de este programa y lo lleva al proceso completo de respuesta a incidentes: detección, contención, evidencia y reporte.
Track SOC
SOC L1 — Analyst Tier 1 (40h)
Profundiza en triage de alertas, administración de incidentes y procesos de respuesta específicos del analista Tier 1.
Track avanzado
SOC L2 — Analyst Tier 2 (40h)
Para analistas que escalan a Tier 2: MITRE ATT&CK, orquestación del triage y liderazgo operativo del SOC.
Preguntas frecuentes
¿Por qué solo 20 horas y no un programa más largo?
El formato de 20 horas es intencional. SOCOPS está diseñado como
un puente — construye el vocabulario y criterio operativo base sin saturar.
Es el primer paso para equipos que luego van a CSIR40, SOC L1 o programas más
intensivos. Hacer 150 horas antes de saber si el equipo necesita ir por ese camino
es un costo innecesario.
¿Necesito saber usar Splunk antes del curso?
No. El programa incluye la instalación y configuración de
Splunk en un entorno virtual durante la sesión. Los participantes salen
con una instancia funcional y la experiencia de haberla operado en escenarios
prácticos.
¿Cómo se complementa con CSIR40?
Son complementarios en dirección opuesta: SOCOPS parte desde la
operación del SOC (cómo funciona, qué herramientas usa,
cómo se generan los eventos). CSIR40 toma esa base y la lleva al proceso
de respuesta cuando algo se convierte en incidente. Juntos cubren el ciclo
completo detectar — triagar — escalar — responder.
¿Es útil para equipos que ya trabajan con QMA como MSSP?
Sí, especialmente. Un equipo cliente que entiende cómo opera
un SOC colabora de forma mucho más efectiva durante un incidente.
Facilita la comunicación, reduce tiempos de escalamiento y mejora la
calidad de los datos que el equipo entrega al MSSP durante la respuesta.
Agenda la cohorte para tu equipo
20–30 minutos para definir audiencia, nivel de partida, calendario y propuesta. Sin compromiso.