Cosa fa#
Presidia l'infrastruttura aziendale H24, monitora log e alert, esegue triage, gestisce e coordina la risposta agli incidenti di sicurezza. Opera tramite un sistema di ticketing (es. Jira, TheHive) per tracciare ogni evento dalla segnalazione alla chiusura.
TL;DR#
Il SOC è strutturato su tre tier con responsabilità crescenti. Il tier 1 monitora H24 e filtra il rumore. Il tier 2 indaga e correla. Il tier 3 caccia minacce e costruisce le difese. Attorno ai tier esistono ruoli specializzati per malware, forensics, rete, email, threat intelligence e gestione.
Struttura a tier#
Tier 1 — Analisti di primo livello#
Lavorano H24 su tre turnazioni. Sono il primo punto di contatto con gli alert.
Attività principali:
- Monitoraggio continuo di log e alert nel SIEM
- Triage iniziale — classificare l'alert e scartare i falsi positivi
- Escalation verso il tier 2 per gli alert confermati
- Revisione e tuning del SIEM per ridurre il rumore
Tier 2 — Analisti di secondo livello#
Lavorano H8, reperibili fuori orario.
Attività principali:
- Revisione approfondita del triage segnalato dal tier 1
- Correlazione eventi e analisi contestuale
- Report sugli incidenti
- Tuning avanzato del SIEM
Tier 3 — Analisti senior / Threat Hunter#
Know-how avanzato, spesso interfaccia con i clienti.
Attività principali:
- Threat hunting — cercano minacce non ancora rilevate dagli alert automatici
- Creazione di playbook (procedure operative per tipi di incidente)
- Interazione con clienti e stakeholder
- Definizione delle strategie di detection
Ruoli specializzati#
| Ruolo | Responsabilita' |
|---|---|
| Analista malware | Analisi tecnica di campioni malware, reverse engineering, sandbox |
| Analista forense | Raccolta e conservazione prove digitali, garantisce la catena-di-custodia |
| Analista Threat Intelligence | Raccoglie informazioni su minacce, attori e IOC da feed esterni |
| Ingegnere SIEM | Gestione, configurazione e ottimizzazione del SIEM (es. wazuh-architecture) |
| Analista di rete | Difende la rete, gestisce firewall, IDS/IPS, proxy, VPN, contrasta DoS/DDoS/MiTM |
| Analista email security | Mitiga phishing, configura SPF/DKIM/DMARC, gestisce user awareness e phishing simulato |
| SOC Manager | Supervisione operativa, coordinamento risorse, definisce KPI e SLA, gestisce il budget |
| Team Leader | Coordinamento tra SOC Manager e analisti |
| CISO | Chief Information Security Officer — figura di vertice della sicurezza informatica aziendale |
Modelli di deployment#
SOC Interno#
Vantaggi:
- Massima conoscenza dell'infrastruttura
- Controllo totale su processi e dati
- Minor rischio di dispersione di dati sensibili
Svantaggi:
- Costi elevati (personale H24, formazione continua)
- Difficolta' nel trovare personale qualificato
- Scalabilita' complessa
SOC Esterno (MSSP)#
Vantaggi:
- Ready to go — esperti gia' operativi con SIEM e EDR configurati
- Riduzione dei tempi di onboarding
- Costi prevedibili
Svantaggi:
- Dipendenza dal fornitore esterno
- Possibile disallineamento con le esigenze specifiche dell'organizzazione
- Rischio per i dati sensibili trasmessi all'esterno
SOC Ibrido#
Il modello piu' diffuso nelle aziende mature. Il fornitore esterno gestisce triage e copertura H24, l'azienda mantiene internamente strategia e threat intelligence.
Vantaggi:
- Equilibrio tra controllo e costi
- Scalabilita' semplificata
- La parte strategica rimane interna
Svantaggi:
- Possibile sovrapposizione di responsabilita' e lacune di copertura
- Difficolta' di coordinamento tra i due team
- Richiede procedure ben definite e robuste per funzionare
SLA e KPI nel SOC#
Non sono concetti esclusivi del SOC ma sono centrali nella gestione operativa.
SLA (Service Level Agreement): il contratto — definisce gli impegni formali tra fornitore e cliente. KPI (Key Performance Indicator): le metriche — misurano se gli SLA vengono rispettati.
| Scenario | SLA (impegno) | KPI (misurazione) |
|---|---|---|
| Rilevazione incidente | Rilevare entro X minuti | MTTD — Mean Time to Detect |
| Triage iniziale | Classificare entro 30 minuti dall'alert | Tempo medio triage — se > 30 min, SLA violato |
| Contenimento minaccia | Contenere entro 2 ore | MTTR — Mean Time to Respond |
SOC vs NOC#
| SOC | NOC | |
|---|---|---|
| Focus | Sicurezza informatica | Operativita' della rete |
| Attivita' | Monitoring alert, triage, IR | Installazione/config apparati, disponibilita' servizi |
| Gestisce | Incidenti di sicurezza | Router, switch, firewall (lato operativo), load balancer |
| Tool tipici | SIEM, EDR, Wireshark | NMS, dashboard uptime, monitoraggio latenza |
Il NOC non si occupa di sicurezza in senso stretto. Tuttavia, a seconda del livello di maturita' dell'organizzazione, puo' collaborare con il SOC — ad esempio rilevando un picco anomalo di traffico che poi il SOC indaga come potenziale attacco.
Collegato a#
- log — il SOC consuma log da tutte le fonti
- wazuh-architecture — SIEM usato in lab
- incident-response-lifecycle — il processo che il SOC segue
- mitre-attack-framework — linguaggio per classificare le minacce
- glossario-cyber — definizioni di IOC, TTP, MTTD, MTTR, CIRT, CERT
