A sigla SOC vem do agrônomo de Security Operations Center que traduzido ao pé da letra seria Centro de Operações de Segurança.
Um SOC é uma instalação que abriga uma equipe de segurança da informação responsável por monitorar e analisar continuamente a postura de segurança de uma organização.
O objetivo da equipe do SOC é:
- Detectar
- Analisar
- Responder a incidentes de segurança cibernética usando uma combinação de soluções de tecnologia e um forte conjunto de processos.
Os centros de operações de segurança normalmente contam com analistas e engenheiros de segurança, além de gerentes que supervisionam as operações de segurança. Além disso a equipe do SOC trabalha em conjunto com as equipes organizacionais de resposta a incidentes para garantir que os problemas de segurança sejam resolvidos rapidamente após a descoberta.
Os SOCs monitoram e analisam a atividade em redes, servidores, terminais, bancos de dados, aplicativos, sites e outros sistemas, procurando atividades anômalas que possam ser indicativas de um incidente ou comprometimento da segurança. O SOC é responsável por garantir que possíveis incidentes de segurança sejam corretamente identificados, analisados, defendidos, investigados e relatados.

Como funciona um SOC?
Mas em vez de focar no desenvolvimento de estratégia de segurança, projetar arquitetura de segurança ou implementar medidas de proteção, a equipe do SOC é responsável pelo componente operacional contínuo da segurança da informação corporativa. A equipe de SOC é composta principalmente por analistas de segurança que trabalham juntos para detectar, analisar, responder, relatar e prevenir incidentes de segurança da informação. Recursos adicionais de alguns SOCs podem incluir análise forense avançada, análise de criptografia e engenharia reversa de malware para analisar incidentes.
O primeiro passo estabelecer o SOC de uma organização é definir claramente uma estratégia que incorpore objetivos específicos de negócios de vários departamentos, bem como informações e suporte de executivos. Uma vez desenvolvida a estratégia, a infraestrutura necessária para dar suporte a essa estratégia deve ser implementada.
Uma infraestrutura de SOC normalmente inclui:
- Firewalls
- IPS / IDS
- Soluções de detecção de violação
- Probes
- Sistema de gerenciamento de informações e eventos de segurança (SIEM)
A tecnologia deve estar em vigor para coletar dados por meio de:
- Fluxos de dados
- Telemetria
- Captura de pacotes
- Syslog
- e outros métodos
Para que a atividade dos dados possa ser correlacionada e analisada pela equipe do SOC. O centro de operações de segurança também monitora redes e pontos de extremidade quanto a vulnerabilidades, a fim de proteger dados confidenciais e cumprir as regulamentações do setor ou do governo.