SOC (Security Operation Center) — это централизованное подразделение или команда, отвечающая за мониторинг, анализ, обнаружение и реагирование на киберугрозы в режиме реального времени.
Основные функции SOC
- Мониторинг безопасности — непрерывный контроль событий в ИТ-инфраструктуре (сети, серверы, приложения, конечные устройства).
- Обнаружение угроз — выявление аномалий, атак и вредоносной активности с помощью SIEM-систем, IDS/IPS, EDR и других инструментов.
- Анализ инцидентов — расследование подозрительных событий, определение их критичности и источников.
- Реагирование на инциденты — блокировка атак, устранение уязвимостей, восстановление систем.
- Проактивная защита — поиск уязвимостей, threat hunting, обновление правил сигнатур.
- Отчётность и compliance — документирование инцидентов, соответствие нормативным требованиям (GDPR, ISO 27001, NIST и др.).
Состав SOC-команды
- Аналитики безопасности (Tier 1–3) — от первичного анализа до глубокого расследования.
- Инженеры SOC — настройка и поддержка инструментов (SIEM, SOAR, EDR).
- Менеджеры инцидентов — координация реагирования.
- Threat Intelligence-специалисты — анализ тактик, техник и процедур (TTPs) злоумышленников.
Инструменты SOC
- SIEM (Splunk, IBM QRadar, Microsoft Sentinel) — сбор и корреляция логов.
- EDR/XDR (CrowdStrike, SentinelOne) — защита конечных точек.
- SOAR (Phantom, TheHive) — автоматизация реагирования.
- Системы сканирования (Nessus, OpenVAS) — поиск уязвимостей.
Цель SOC — минимизировать время обнаружения (MTTD) и реагирования (MTTR) на кибератаки, снижая риски для бизнеса.