Detection & Response Glossar
Security Operations Center (SOC)
Ein Security Operations Center (SOC) ist die zentrale Einheit für Echtzeit-Überwachung, Erkennung und Reaktion auf Cybersicherheitsvorfälle. SOCs vereinen Menschen, Prozesse und Technologie - SIEM, EDR, SOAR - um Bedrohungen 24/7 zu erkennen und zu bekaempfen.
Ein Security Operations Center (SOC) ist das “Nervenzentrum” der Cybersicherheit einer Organisation. SOC-Analysten überwachen kontinuierlich Sicherheitssignale, untersuchen Anomalien und reagieren auf Vorfälle - idealerweise bevor ein Angreifer signifikanten Schaden anrichten kann.
SOC-Reifegrade
Nicht jedes Unternehmen braucht ein Tier-1/2/3-SOC mit 50 Analysten:
SOC-Reifegrad-Modell:
Level 0 - Kein SOC:
→ Keine aktive Überwachung, keine zentralen Logs
→ Vorfälle werden reaktiv nach Nutzermeldung behandelt
→ Risiko: Durchschnittliche Entdeckungszeit > 200 Tage
Level 1 - Grundlegendes SOC (SIEM-basiert):
→ SIEM mit Standard-Use-Cases (Windows Events, Firewall, AD)
→ Alert-Triage durch IT-Admins (kein dediziertes SOC-Team)
→ Business Hours only
→ Geeignet für: KMU bis 500 Mitarbeiter
Level 2 - Reifes SOC:
→ Dedizierte SOC-Analysten (Tier 1 + Tier 2)
→ Benutzerdefinierte Detection Rules
→ IR-Playbooks für häufige Szenarien
→ 24/7-Betrieb (intern oder MSSP)
→ Threat Hunting als separate Funktion
Level 3 - Advanced SOC:
→ Tier 3: Threat Intelligence und proaktives Hunting
→ Red Team Integration (Purple Team Exercises)
→ Eigene Malware-Analyse-Kapazitaet
→ Automation/Orchestration via SOAR
→ Geeignet für: KRITIS, Großkonzerne, hochwertige ZieleSOC-Technologie-Stack
Kerntechnologien eines modernen SOC:
SIEM (Security Information and Event Management):
Aufgabe: Log-Aggregation, Korrelation, Alerting
Beispiele: Microsoft Sentinel, Splunk, Elastic SIEM, IBM QRadar
Datenquellen: Windows Events, Linux Syslog, Firewall, EDR, Cloud
EDR/XDR (Endpoint/Extended Detection and Response):
Aufgabe: Endpoint-Telemetrie, Verhaltensanalyse, automatische Isolation
Beispiele: CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint
SOAR (Security Orchestration, Automation and Response):
Aufgabe: Automatisierung repetitiver Aufgaben (IP-Sperrung, Ticket-Erstellung)
Beispiele: Palo Alto XSOAR, Splunk SOAR, Microsoft Sentinel Automation
Threat Intelligence Platform (TIP):
Aufgabe: IOC-Management, Threat-Feed-Integration
Beispiele: MISP (Open Source), ThreatConnect, Anomali
Vulnerability Management:
Aufgabe: Schwachstellen-Inventar für Kontext bei Alerts
Beispiele: Tenable Nessus, Qualys, Rapid7KMU-Alternative: MSSP und MDR
Für die meisten deutschen KMU ist ein eigenes 24/7-SOC wirtschaftlich nicht sinnvoll:
Modelle für KMU-Sicherheitsmonitoring:
MSSP (Managed Security Service Provider):
→ Externer Anbieter übernimmt SOC-Aufgaben
→ SLA: Alert-Reaktionszeit < 15-30 Minuten (24/7)
→ Kosten: EUR 500-3.000/Monat (abh. von Endpunkt-Anzahl und Scope)
MDR (Managed Detection and Response):
→ Wie MSSP, aber mit aktiverer IR-Komponente
→ MDR-Anbieter kann Endpunkte isolieren, Bedrohungen entfernen
→ "Wir kommen zu Ihnen" statt "Wir senden Ihnen Alerts"
→ Empfehlung für KMU ohne eigenes Security-Team
Co-Managed SOC:
→ Unternehmen betreibt SIEM, MSSP liefert Analysten und Expertise
→ Flexibler als reines Outsourcing
→ Wissensaufbau internSOC-Metriken
Ein gutes SOC misst sich an konkreten Kennzahlen:
- MTTD (Mean Time to Detect): Zeit bis zur Erkennung eines Vorfalls - Ziel: < 24h
- MTTR (Mean Time to Respond): Zeit bis zur Behebung - Ziel: je nach Schwere < 1h-24h
- False Positive Rate: Anteil falsch-positiver Alerts - Ziel: < 10%
- Alert-Volumen pro Analyst: > 100 Alerts/Tag = Burnout-Risiko, Automatisierung benötigt
- Erkennungsabdeckung: Welche MITRE ATT&CK-Taktiken werden detektiert?
