SOC (ang. Security Operations Center) — to centrum operacji bezpieczeństwa, czyli zespół (lub wydzielone środowisko), którego zadaniem jest monitorowanie, wykrywanie, analizowanie i reagowanie na incydenty bezpieczeństwa w infrastrukturze IT organizacji.
Główne zadania SOC:
- Monitorowanie bezpieczeństwa (24/7): Analiza logów z systemów, serwerów, aplikacji, sieci, firewalli, EDR/XDR itp. Wykorzystanie narzędzi typu SIEM (np. Splunk, QRadar, Sentinel, ArcSight).
- Wykrywanie zagrożeń: Korelacja zdarzeń w celu identyfikacji anomalii lub wzorców ataków. Użycie reguł detekcji (np. Sigma, YARA, Suricata).
- Reagowanie na incydenty (Incident Response): Triaging, analiza, izolacja zagrożonych systemów, eskalacja do CSIRT/CERT. Dokumentacja i raportowanie incydentów.
- Threat hunting: Proaktywne wyszukiwanie zagrożeń, które mogły umknąć automatycznym mechanizmom. Analiza TTPs wg frameworków jak MITRE ATT&CK.
- Udoskonalanie ochrony: Wdrażanie poprawek i nowych reguł detekcji. Współpraca z zespołami IT, DevSecOps i red teamem.
Typowa struktura SOC:
- Tier 1 (Analyst L1) – wstępna analiza alertów, triage, filtrowanie false positives.
- Tier 2 (Analyst L2) – głębsza analiza incydentów, korelacja danych, rekomendacje działań.
- Tier 3 (Threat Hunter / IR Expert) – zaawansowane analizy, malware analysis, hunting, forensics.
- SOC Manager / Lead – koordynacja działań, raportowanie, strategia bezpieczeństwa.