Izgradnja SOC-a (2/4): Od logova do odgovora - anatomija modernog SOC-a

Šta čini SOC – i zašto nije samo “tehnički tim”

Security Operations Centar (SOC) je više od prostorije s ekranima i alatima. To je funkcija koja spaja tehnologiju, procese i ljude s ciljem da se prijetnje otkriju i neutralizuju prije nego izazovu štetu. U idealnom scenariju, SOC pruža centralizovan pogled na sigurnosne događaje, povezuje različite izvore logova i omogućava timovima da brzo reaguju.

SOC se tipično sastoji od tri osnovna sloja:

1. Sakupljanje i korelacija podataka – logovi sa servera, mrežnih uređaja, endpointa i aplikacija.

2. Analiza i detekcija – prepoznavanje anomalija, korištenje pravila, korelacija događaja.

3. Odgovor i eskalacija – izolacija, mitigacija, izvještavanje i post-incident analiza.

Uloge u SOC timu

Efikasan SOC podrazumijeva jasno definisane uloge i procese:

• Analitičar nivoa 1 (L1): prati alarme, filtrira “false positives” i prosljeđuje sumnjive događaje.

• Analitičar nivoa 2 (L2): dublja analiza, korelacija i određivanje prioriteta.

• Incident Handler / Responder: vodi postupak mitigacije i komunikaciju.

• Threat Hunter: proaktivno traži prijetnje koje su zaobišle automatizovane sisteme.

• SOC Lead / Manager: usklađuje rad tima, metrike i izvještavanje prema menadžmentu.

Tehnološki slojevi modernog SOC-a

1. Prikupljanje i normalizacija logova Koristi se SIEM (Security Information and Event Management) sistem koji sakuplja podatke iz više izvora. Open-source primjer: Wazuh, koji može integrisati servere, mrežne senzore i EDR agente.

2. Analiza i vizualizacija Podaci se analiziraju kroz ELK Stack (Elasticsearch, Logstash, Kibana) ili slične alate, koji omogućavaju brzu pretragu i vizuelni prikaz anomalija.

3. Incident management Slučajevi se vode kroz sistem kao što je TheHive, uz mogućnost automatizacije analize (npr. Cortex moduli).

4. Threat intelligence i korelacija Korištenje alata kao što je MISP (Malware Information Sharing Platform) omogućava SOC-u da povezuje lokalne događaje sa globalnim indikatorima kompromitacije (IoCs).

5. Network & Endpoint monitoring Mrežni sloj (npr. Zeek, Suricata) i endpoint sloj (npr. Velociraptor) doprinose vidljivosti i omogućavaju analizu ponašanja napadača.

Procesi: od sumnje do odgovora

Efikasan SOC prati jasan tok aktivnosti (incident lifecycle):

1. Detekcija: automatska pravila i korelacija logova.

2. Analiza: verifikacija i klasifikacija događaja.

3. Odgovor: blokiranje, izolacija, obavještavanje korisnika.

4. Oporavak: vraćanje sistema u normalu.

5. Učenje: dokumentacija i prilagođavanje pravila.

Svaki od ovih koraka treba biti dokumentovan i mjerljiv — kroz metrike poput MTTD (Mean Time to Detect) i MTTR (Mean Time to Respond).

CSEC kontekst

CSEC već raspolaže ključnim dijelovima jednog budućeg SOC-a:

• DecoyNet honeypot mreža: pasivna detekcija napada u BiH.

• ShadowServer podaci: uvid u ranjive sisteme i zaražene IP adrese.

• CVE Tracker: lokalna baza ranjivosti za korelaciju i prioritizaciju.

Integracijom ovih izvora u open-source SIEM okruženje može se kreirati operativni SOC model za BiH, s fokusom na akademski, civilni i SME sektor.

Zaključak: struktura prije tehnologije

SOC nije samo skup alata — to je sistem koordinisanog reagovanja. Prije instalacije bilo kojeg softvera, potrebno je postaviti procese, definisati uloge i metrike.U narednom tekstu predstavljamo konkretan open-source blueprint: kombinaciju alata koji omogućavaju da se SOC izgradi korak po korak.