SOC Security Operations Center.

Um SOC é a equipa e o conjunto de ferramentas que monitoriza, deteta, analisa e responde a eventos de segurança em tempo real. Analistas por níveis (T1 deteção, T2 investigação, T3 threat hunting), 8x5 ou 24x7. Interno, externalizado (MSSP) ou híbrido. Sem um SOC, o SIEM é um arquivo de logs; com um SOC, é um sistema de alerta precoce.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

Um SOC é a equipa e o conjunto de ferramentas que monitoriza, deteta, analisa e responde a eventos de segurança em tempo real. Analistas por níveis (T1 deteção, T2 investigação, T3 threat hunting), 8x5 ou 24x7. Interno, externalizado (MSSP) ou híbrido. Sem um SOC, o SIEM é um arquivo de logs; com um SOC, é um sistema de alerta precoce.

O que um SOC realmente faz

Um Security Operations Center é a função que converte telemetria bruta em decisões e ações. A shortDefinition o apresenta como a equipe somada ao conjunto de ferramentas; na prática, o valor está no modelo operacional que os conecta. O SIEM coleta e correlaciona logs, o EDR registra o comportamento dos endpoints e o SOAR executa playbooks, mas nada disso produz segurança por si só. O SOC é o que lê o alerta às 02:00, decide se é um falso positivo ou o primeiro sinal de uma intrusão, e aciona a alavanca certa para contê-la.

No dia a dia, um SOC executa quatro ciclos: monitorar (observar os consoles e os fluxos), detectar (confirmar que um sinal é real), responder (conter, erradicar, recuperar) e melhorar (ajustar as detecções para que o mesmo ruído não retorne). O último ciclo é o que os SOC imaturos pulam, e é por isso que se afogam em alertas. Um SOC saudável se mede por resultados como o tempo médio de detecção e o tempo médio de resposta, e não por quantos alertas encerrou.

Níveis, equipe e cobertura

O modelo clássico divide os analistas em níveis. O Tier 1 faz a triagem da fila de alertas e decide o que merece um exame mais detalhado. O Tier 2 investiga incidentes confirmados, constrói a linha do tempo e conduz a contenção. O Tier 3 realiza uma caça proativa a ameaças e desenvolve novo conteúdo de detecção em vez de esperar que um alerta dispare. Ao redor deles ficam engenheiros de detecção, respondedores de incidentes e um gestor de SOC responsável pelo processo e pelas métricas.

A cobertura é uma escolha deliberada com um custo real. Um SOC 8x5 vigia durante o horário comercial; um SOC 24x7 segue o sol ou organiza turnos noturnos para que um atacante não possa contar com um fim de semana tranquilo. A resposta certa depende da sua exposição a ameaças, das suas obrigações regulatórias e do que você consegue sustentar sem esgotar a equipe.

Construir, terceirizar ou combinar

Existem três modelos de fornecimento, e a maioria das organizações acaba em algum ponto intermediário.

Comparação dos modelos de fornecimento de SOC
ModeloQuem o operaMais adequado para
InternoSeus próprios analistas e ferramentasAmbientes de alta sensibilidade que desejam controle e contexto completos
Terceirizado (MSSP)Um Managed Security Service ProviderEquipes que precisam de cobertura 24x7 rapidamente sem contratar um quadro completo
HíbridoResponsáveis internos mais um MSSP ou MDR para fora do horário comercialA maioria das organizações de médio porte que equilibram custo, cobertura e controle

Terceirizar a vigilância não terceiriza a responsabilidade. Um MSSP pode cobrir o turno da noite, mas a sua equipe continua sendo dona do inventário de ativos, das decisões de resposta que afetam o seu negócio e do relacionamento com o restante da TI. O modo de falha comum consiste em tratar um MSSP como algo que se configura e se esquece, para depois descobrir, durante um incidente, que ninguém mapeou os seus sistemas mais críticos nem combinou quem pode isolar um host.

Onde o SOC se situa na governança

O SOC é uma capacidade operacional, mas não vive no vácuo. Ele executa a parte de detecção e resposta de frameworks como o conjunto de funções do NIST Cybersecurity Framework (identificar, proteger, detectar, responder, recuperar) e fornece evidências que sustentam os controles ISO/IEC 27001 de registro de logs, monitoramento e gestão de incidentes. Sob regulamentações como NIS2 e DORA, a capacidade de detectar e notificar incidentes rapidamente já não é opcional, e o SOC costuma ser o lugar onde essa capacidade é operacionalizada. Para os profissionais, isso significa que um SOC é julgado não apenas pela sua taxa técnica de detecção, mas pela sua capacidade de produzir a linha do tempo, as evidências e as notificações que auditores e reguladores esperam.

Frequently asked questions

01Qual é a diferença entre um SOC e um SIEM?

Um SIEM é uma plataforma que agrega e correlaciona logs. Um SOC é a equipe e o processo que monitoram essa plataforma e agem sobre o que encontram. O SIEM é a ferramenta; o SOC é o que a torna útil.

02Preciso de um SOC 24x7?

Nem sempre. Os atacantes preferem noites e fins de semana, então o 24x7 reduz o tempo de permanência, mas é caro de manter internamente. Muitas organizações cobrem internamente o horário comercial e recorrem a um provedor MSSP ou MDR para fora do horário.

03O que significam os níveis de um SOC?

O Tier 1 faz a triagem dos alertas, o Tier 2 investiga e contém incidentes confirmados, e o Tier 3 caça de forma proativa e constrói novas detecções. Os níveis descrevem a escalada e a profundidade de competências, não necessariamente pessoas distintas em uma equipe pequena.

04Um MSSP é a mesma coisa que um SOC?

Um MSSP é uma forma de entregar um SOC, terceirizando o monitoramento e a resposta a um provedor. Você também pode construir o SOC internamente ou operar um modelo híbrido. De qualquer forma, a responsabilidade pelo seu ambiente permanece com você.

05Quais métricas mostram que um SOC está funcionando?

O tempo médio de detecção e o tempo médio de resposta são as métricas de resultado centrais, ao lado da cobertura de detecção e da taxa de falsos positivos. O volume de alertas por si só nada diz sobre a eficácia.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.