// Security Operations Center
SOC — centralni nervni sistem sigurnosti
SOC (Security Operations Center) je centralizovana jedinica koja neprekidno nadgleda, analizira i odgovara na sigurnosne incidente. To je "mozak" cyber sigurnosti svake organizacije — tim + tehnologija + procesi koji rade 24/7.
SOC se sastoji od analitičara podijeljenih u nivoe (tier-ovi): Tier 1 — analitičari koji prate alarme i vrše trijaž; Tier 2 — iskusniji koji dublje istražuju incidente i potvrđuju/odbacuju lažne alarme; Tier 3 — eksperti za threat hunting, forenziku i kompleksne incidente. Srce svakog SOC-a je SIEM platforma koja prima logove iz svih izvora (firewalli, serveri, endpoints, cloud) i korelira ih u smislene alarme.
SOC koristi playbook-ove — standardizovane procedure za svaki tip incidenta — kako bi osigurao konzistentan i brz odgovor na prijetnje.
Misija, Vizija, Koncept
Misija
Misija
Pružiti 24/7 vidljivost, detekciju i odgovor na sigurnosne incidente za organizacije koje nemaju vlastite kapacitete ili ih žele nadograditi.
Vizija
Vizija
Izgraditi SOC akademiju koja obrazuje novu generaciju analitičara sposobnih da rade na Tier 1, 2 i 3 nivou u realnim operativnim centrima.
Koncept
Koncept
SOC Lab simulira realni Security Operations Center — s SIEM platformom, video wall-om i tier-strukturom analitičara — pružajući studentima iskustvo rada u okruženju identičnom korporativnom SOC-u.
Infrastruktura
| Komponenta | Opis i namjena |
|---|---|
| SIEM server (dedicirani) | Dell PowerEdge R750 / Lenovo SR250 — hosting ELK Stack-a ili Wazuha, min. 128GB RAM |
| SOC video wall | HDMI video wall procesor + 4–6 monitora 4K — centralni prikaz dashboarda i alarma |
| NAS storage (logovi) | QNAP NAS min. 8TB — čuvanje logova min. 12 mj, forenzičke slike, PCAP datoteke |
| UPS sistem | APC Smart-UPS 2200VA+ — zaštita od nestanka struje, SOC ne smije biti nedostupan |
| Rack ormar (42U) | Organizacija sve SOC infrastrukture, patch panel, PDU, kabelski menadžment |
| Network TAP | Pasivno kopiranje mrežnog prometa za real-time analizu bez utjecaja na performanse |
| OOB management (IPMI) | ATEN KN2116VA KVM over IP — upravljanje serverima čak i kad su OS neresponzivni |
Hardware
Tier 1 — Monitor
Praćenje SIEM alarma u realnom vremenu
Trijažiranje incidenata (lažni alarm ili ne)
Eskalacija ozbiljnih događaja na Tier 2
Dokumentacija i ticketing
Tier 2/3 — Analitičar
Dubinska analiza eskaliranih incidenata
Threat hunting i IoC analiza
Koordinacija incident response-a
Kompleksne forenzičke istrage
Malware analiza i reverse engineering
Razvoj novih detekcijskih sposobnosti
Tier 3 — Ekspert
Kompleksne forenzičke istrage
Malware analiza i RE
Threat intelligence mapiranje
Razvoj detekcijskih sposobnosti
Software
FREE
Wazuh + ELK Stack
Open-source SIEM/XDR — centralizovani logovi, alarmi, dashboardi
FREE
TheHive + MISP + Cortex
Incident management, threat sharing i automatizovana analiza IoC-a
FREE
Suricata + Zeek
Mrežni IDS — deep packet inspection i flow analiza
FREE
Velociraptor
Endpoint visibility i threat hunting direktno na endpointima
FREE
Shuffle SOAR
Automatizacija odgovora na incidente — no-code playbook builder
5.000+€/god
Splunk Enterprise
Enterprise SIEM s naprednom korelacijom, ML i Phantom SOAR integracijom
~4.300€/god
Nessus Professional
Vulnerability scanning — redovite provjere svih sistema u okruženju