SOC
SOC (Security Operations Center) — центр мониторинга ИБ: команда, процессы и инструменты, которые круглосуточно ловят и разбирают атаки.
Что такое SOC
SOC расшифровывается как Security Operations Center — центр мониторинга и реагирования на инциденты информационной безопасности. Это не программа и не «комната с большими экранами», а связка трёх вещей: люди + процессы + технологии, работающая непрерывно.
Сразу разведём три совершенно разных SOC, которые гуглятся одинаково:
| Что | Расшифровка | Область |
|---|---|---|
| SOC | Security Operations Center | ИБ — эта статья |
| SOC 2 | Service Organization Control 2 | Аудиторский отчёт AICPA о контролях провайдера |
| SoC | System on a Chip | Микроэлектроника: процессор, GPU и память на одном кристалле |
Если вам от провайдера требуют «SOC 2 Type II», речь о втором — это отчёт независимого аудитора по безопасности, доступности и конфиденциальности сервиса, распространённый в западной практике.
Зачем нужен
SIEM генерирует алерты, но алерт сам себя не расследует. Между «система заметила аномалию» и «атака остановлена» стоит человек, который отличит реальную атаку от ложного срабатывания, соберёт контекст и примет решение. SOC — это и есть организованная форма такой работы, доступная 24/7, потому что атакующие не работают с 9 до 18.
Как устроен
Классическая многоуровневая схема:
- L1, мониторинг. Первая линия: разбирает поток алертов, отсекает ложные, эскалирует подозрительное. Работает по плейбукам. Самая выгорающая роль — здесь спасает автоматизация.
- L2, расследование. Полноценный разбор инцидента: что за атака, как вошли, что успели, где ещё наследили.
- L3, threat hunting и форензика. Проактивный поиск угроз, которых не увидела автоматика, глубокий анализ, разработка правил корреляции.
- Инженеры SOC. Держат в рабочем состоянии SIEM, коннекторы, парсеры логов.
- Руководитель SOC. Метрики, взаимодействие с бизнесом и регулятором.
Ключевые метрики — MTTD (среднее время обнаружения) и MTTR (среднее время реагирования). Именно они, а не число отражённых атак, показывают, работает ли SOC.
Технологический стек
- SIEM — сбор и корреляция событий, ядро всей конструкции.
- SOAR — автоматизация реакции: типовые действия по плейбуку без участия человека.
- EDR/XDR — телеметрия и реагирование на конечных точках.
- TI (Threat Intelligence) — фиды индикаторов компрометации.
- IDS/IPS, WAF, DLP — источники событий.
- Тикет-система — без неё инциденты теряются, а метрики не считаются.
Свой или внешний
| Внутренний SOC | Внешний (MSSP) | |
|---|---|---|
| Стоимость входа | Высокая: 24/7 — это минимум 5–6 аналитиков | Подписка |
| Знание контекста | Глубокое | Требует времени на погружение |
| Экспертиза | Растёт медленно | Готовая, широкая |
| Данные | Не покидают контур | Логи уходят провайдеру |
| Когда выбирают | Крупный бизнес, банки, гостайна | Средний бизнес, старт с нуля |
Гибрид — распространённый компромисс: L1 отдают внешнему провайдеру, L2/L3 держат внутри.
Российский контекст
Для субъектов критической информационной инфраструктуры (187-ФЗ) SOC — не опция. Требуется подключение к ГосСОПКА — государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также передача сведений об инцидентах в НКЦКИ в установленные сроки. Функции корпоративного центра ГосСОПКА можно реализовать самостоятельно либо через лицензированного провайдера.
Что нужно от инфраструктуры
SOC бесполезен без данных. Прежде чем строить центр, обеспечьте: сбор логов с серверов, контейнеров и сетевого оборудования в централизованное хранилище, синхронное время по NTP (иначе таймлайн не собрать), достаточную глубину хранения и отдельный от прода доступ — на скомпрометированном сервере логи чистят первым делом.
Связанные термины
- SIEM — основной инструмент SOC
- Инцидент ИБ — то, чем занимается SOC
- Информационная безопасность — общая рамка
- IDS и IPS — источник событий для мониторинга
- Уведомления и алерты — как SOC узнаёт о проблеме
Готовы запустить GPU-задачу?
Запустить GPU-сервер