SOC (Security Operations Center)
Organisatorische Einheit die 24/7 IT-Sicherheit überwacht, Vorfälle erkennt und reagiert. Das SOC ist das Team - es nutzt SIEM als technische Erkennungsplattform und SOAR für Automatisierung. Für den ausführlichen Aufbau eines SOC: Security Operations Center Artikel im Wiki.
Ein Security Operations Center (SOC) ist das operative Herzstück der Cybersicherheit eines Unternehmens. “Wir haben ein SIEM” ist kein SOC - ein SIEM ohne Analysten ist wie eine Alarmanlage ohne Wachdienst: es piept, aber niemand reagiert. Ein echtes SOC kombiniert Menschen, Prozesse und Technologie zur kontinuierlichen Erkennung und Reaktion auf Sicherheitsvorfälle.
SOC-Kernfunktionen
- Monitoring und Triage: Kontinuierliche Überwachung aller sicherheitsrelevanten Systeme; Alerts von False Positives trennen und nach Schwere priorisieren
- Incident Response: Bei bestätigten Incidents: Containment, Eradication und Recovery; Kommunikation mit Management und Behörden
- Threat Intelligence: IOCs in das Monitoring integrieren; Emerging Threats proaktiv berücksichtigen
- Vulnerability Management: Schwachstellen-Scanning koordinieren; Patches anhand von Threat Intelligence priorisieren
- Detection Engineering: Neue Detection Rules entwickeln; bestehende Regeln tunen um False Positives zu reduzieren; Threat Hunting
SOC-Tier-Modell
Tier 1 - Alert Analyst (L1)
Eingehende Alerts prüfen, Triage durchführen (Real oder False Positive?), Standard-Playbooks ausführen, bei bestätigtem Incident eskalieren. Hohe Alert-Volumen, Schichtbetrieb.
Tier 2 - Incident Responder (L2)
Tiefgehende Analyse eskalierter Incidents, Digital Forensics (Memory-Dumps, Log-Analyse), Containment und Eradication koordinieren, IR-Berichte schreiben. Erfordert Malware-Analyse- und EDR-Expertise.
Tier 3 - Threat Hunter und Detection Engineer (L3)
Proaktives Threat Hunting ohne Alert-Trigger, Detection Rules entwickeln und validieren, Red-Team-Findings in Detection umsetzen, Threat Intelligence produzieren. Verhältnis: ca. 1 L3 pro 4-6 L1/L2-Analysten.
SOC-Modelle
Intern (In-house SOC): Eigene Mitarbeiter, maximale Kontrolle, hohe Kosten (Mindest-Investition: ~€500.000/Jahr für ein 24/7-SOC mit 5 Analysten)
Managed SOC / MSSP: Auslagerung an einen Managed Security Service Provider. Kosteneffizienter für KMU, erfordert aber klare SLAs für Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR).
Hybrid: Kombination aus internen Ressourcen (Tier 2/3 und Eskalation) und externem MSSP (24/7-Monitoring, Tier 1)
SOC-Reifegradstufen
| Stufe | Merkmale |
|---|---|
| Level 1 | Nur reaktiv, manuelle Prozesse, keine Standardisierung |
| Level 2 | SIEM eingeführt, erste Playbooks, partielle Automatisierung |
| Level 3 | Threat Hunting, SOAR, KPIs definiert |
| Level 4 | Proaktiv, vollautomatisierte Responses, Threat Intelligence integriert |
KPIs für SOC-Effektivität
- MTTD (Mean Time to Detect): Zeit zwischen Angriffsstart und Erkennung - Ziel: Minuten/Stunden statt Wochen
- MTTR (Mean Time to Respond): Zeit zwischen Erkennung und Eindämmung
- False Positive Rate: Anteil falscher Alarme - zu hoch führt zu Alert Fatigue
- Alert Fatigue: Kritisch - mehr als 100 Alerts/Tag für einen L1-Analysten ist ein Qualitätsproblem
Ausführlicher Guide: SOC aufbauen - Strategie, Tools und Betrieb
