КИБЕРВИКИПЕДИЯ
SECURITY VISION

SOC — это команда специалистов и инфраструктура (программы, серверы), которые круглосуточно отслеживают и реагируют на киберинциденты в организации.

Подробное описание

Основные функции SOC:

• Мониторинг– анализ логов с firewall, IDS, антивирусов через SIEM-системы (например, Splunk).
• Обнаружение аномалий– поиск подозрительной активности (например, bruteforce-атаки).
• Расследование инцидентов– определение масштаба взлома.
• Реагирование– блокировка атак, восстановление систем.
• Отчетность– документирование инцидентов для улучшения защиты.

Уровни специалистов в SOC:

1. L1 (Аналитики)– первичный анализ алертов.
2. L2 (Инженеры)– глубокий анализ сложных атак.
3. L3 (Киберразведка, Threat Hunting)– поиск скрытых угроз.
4. SOC Manager– управление процессом.

Технологии в SOC:

• SIEM (Splunk, IBM QRadar)
• EDR (CrowdStrike, SentinelOne)
• Системы анализа трафика (Darktrace)

Бытовые аналогии:

1. Пожарная часть– реагирует на угрозы 24/7.
2. Скорая помощь– диагностирует и лечит "больные" системы.
3. Центр управления полетами– контролирует безопасность "воздушного пространства" сети.
4. Охранник в торговом центре– следит за камерами и реагирует на угрозы.
5. Диспетчер такси– координирует процессы в реальном времени.
6. Автосервис с диагностикой– находит и чинит неисправности.
7. Штаб во время учений– собирает данные и принимает решения.
8. Антивирус, но с людьми внутри– как если бы Doctor Web сидел у вас в серверной.
9. МЧС– реагирует на киберкатастрофы.
10. Дежурный врач в больнице– всегда на связи для экстренных случаев.