Security

SOC

SOC (Security Operations Center) — центр мониторинга ИБ: команда, процессы и инструменты, которые круглосуточно ловят и разбирают атаки.

Что такое SOC

SOC расшифровывается как Security Operations Center — центр мониторинга и реагирования на инциденты информационной безопасности. Это не программа и не «комната с большими экранами», а связка трёх вещей: люди + процессы + технологии, работающая непрерывно.

Сразу разведём три совершенно разных SOC, которые гуглятся одинаково:

Что Расшифровка Область
SOCSecurity Operations Center ИБ — эта статья
SOC 2Service Organization Control 2 Аудиторский отчёт AICPA о контролях провайдера
SoCSystem on a Chip Микроэлектроника: процессор, GPU и память на одном кристалле

Если вам от провайдера требуют «SOC 2 Type II», речь о втором — это отчёт независимого аудитора по безопасности, доступности и конфиденциальности сервиса, распространённый в западной практике.

Зачем нужен

SIEM генерирует алерты, но алерт сам себя не расследует. Между «система заметила аномалию» и «атака остановлена» стоит человек, который отличит реальную атаку от ложного срабатывания, соберёт контекст и примет решение. SOC — это и есть организованная форма такой работы, доступная 24/7, потому что атакующие не работают с 9 до 18.

Как устроен

Классическая многоуровневая схема:

  • L1, мониторинг. Первая линия: разбирает поток алертов, отсекает ложные, эскалирует подозрительное. Работает по плейбукам. Самая выгорающая роль — здесь спасает автоматизация.
  • L2, расследование. Полноценный разбор инцидента: что за атака, как вошли, что успели, где ещё наследили.
  • L3, threat hunting и форензика. Проактивный поиск угроз, которых не увидела автоматика, глубокий анализ, разработка правил корреляции.
  • Инженеры SOC. Держат в рабочем состоянии SIEM, коннекторы, парсеры логов.
  • Руководитель SOC. Метрики, взаимодействие с бизнесом и регулятором.

Ключевые метрики — MTTD (среднее время обнаружения) и MTTR (среднее время реагирования). Именно они, а не число отражённых атак, показывают, работает ли SOC.

Технологический стек

  • SIEM — сбор и корреляция событий, ядро всей конструкции.
  • SOAR — автоматизация реакции: типовые действия по плейбуку без участия человека.
  • EDR/XDR — телеметрия и реагирование на конечных точках.
  • TI (Threat Intelligence) — фиды индикаторов компрометации.
  • IDS/IPS, WAF, DLP — источники событий.
  • Тикет-система — без неё инциденты теряются, а метрики не считаются.

Свой или внешний

Внутренний SOC Внешний (MSSP)
Стоимость входа Высокая: 24/7 — это минимум 5–6 аналитиков Подписка
Знание контекста Глубокое Требует времени на погружение
Экспертиза Растёт медленно Готовая, широкая
Данные Не покидают контур Логи уходят провайдеру
Когда выбирают Крупный бизнес, банки, гостайна Средний бизнес, старт с нуля

Гибрид — распространённый компромисс: L1 отдают внешнему провайдеру, L2/L3 держат внутри.

Российский контекст

Для субъектов критической информационной инфраструктуры (187-ФЗ) SOC — не опция. Требуется подключение к ГосСОПКА — государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также передача сведений об инцидентах в НКЦКИ в установленные сроки. Функции корпоративного центра ГосСОПКА можно реализовать самостоятельно либо через лицензированного провайдера.

Что нужно от инфраструктуры

SOC бесполезен без данных. Прежде чем строить центр, обеспечьте: сбор логов с серверов, контейнеров и сетевого оборудования в централизованное хранилище, синхронное время по NTP (иначе таймлайн не собрать), достаточную глубину хранения и отдельный от прода доступ — на скомпрометированном сервере логи чистят первым делом.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер