Entrevistas técnicas para puestos SOC
🧱 CIBERMURO · Guía práctica
Entrevistas técnicas para puestos SOC: qué se evalúa y checklist
📘 1. Introducción
La entrevista técnica para un puesto de analista SOC (Tier 1) evalúa fundamentos, metodología y capacidad para analizar alertas.
Se prioriza el razonamiento estructurado y la identificación de indicadores en logs frente a la memorización.
👤 2. Qué se espera de un SOC Tier 1
- Se realiza triage de alertas y se decide si se trata de falso positivo o incidente real.
- Se documenta evidencia (logs, IPs, dominios, tiempos) y se escala cuando procede.
- Se entiende el impacto básico y se aplica una respuesta inicial según procedimiento.
🌐 3. Redes y protocolos que se preguntan
- TCP vs UDP: fiabilidad (TCP) vs rapidez (UDP).
- 3-way handshake: SYN → SYN-ACK → ACK.
- Puertos críticos: 22 (SSH), 25 (SMTP), 53 (DNS), 80 (HTTP), 443 (HTTPS), 445 (SMB), 3389 (RDP).
⚠️ 4. Ataques comunes y qué se ve en logs
| Ataque | Indicador típico | Acción inicial |
|---|---|---|
| Phishing | dominio raro, URL sospechosa, urgencia, adjunto inesperado | verificar remitente/URL, aislar usuario si hay clic, escalar |
| Fuerza bruta | múltiples intentos fallidos desde misma IP/ASN | bloqueo/limitación, MFA, revisar cuentas objetivo |
| Ransomware | renombrado masivo, picos de I/O, nota de rescate | aislamiento inmediato, preservar evidencia, activar backups |
| SQLi / XSS | patrones en URL/inputs (OR 1=1, <script>), alertas WAF | validación/sanitización, reglas WAF, correlación de logs |
| MITM | anomalías ARP, certificados extraños, HTTPS degradado | forzar HTTPS/TLS, revisar red Wi-Fi, monitorizar ARP |
🧰 5. Herramientas que se citan en entrevistas
- SIEM: correlación de eventos y búsqueda en logs.
- EDR: visibilidad en endpoints y respuesta (aislamiento, procesos, hashes).
- IDS/IPS: detección (IDS) y prevención (IPS) en red.
- Wireshark: análisis básico de paquetes para confirmar hipótesis.
✅ 6. Checklist rápido (antes de la entrevista)
- Se explica TCP/UDP y el 3-way handshake sin leer apuntes.
- Se memorizan puertos críticos: 22, 25, 53, 80, 443, 445, 3389.
- Se identifica un phishing por URL, dominio, urgencia y contexto.
- Se define falso positivo y falso negativo con un ejemplo.
- Se describe un triage: qué se mira primero, qué se documenta y cuándo se escala.
- Se conoce la finalidad de SIEM, EDR e IDS/IPS (a nivel práctico).
- Se prepara un “caso” explicado en 60–90 segundos: alerta → evidencia → decisión.
🏁 7. Cierre
Una entrevista SOC se supera cuando se demuestra base técnica, método de análisis y capacidad de comunicación. Se estructura la respuesta, se reconoce lo que no se sabe y se explica cómo se verifica con evidencia.