SOC 24/7: o que é, como funciona e por que importa

Pentest mostra o que está quebrado hoje. Mas e amanhã? E daqui a três meses, quando alguém configurar mal um bucket S3? E numa madrugada de sábado, quando um ransomware começar a se mover? É para isso que existe o SOC — o Security Operations Center.

O que é um SOC

Um SOC é uma operação contínua que monitora, detecta, analisa e responde a eventos de segurança da informação em toda a infraestrutura de uma organização. "Contínua" aqui significa literalmente 24 horas por dia, 7 dias por semana, 365 dias por ano — porque ataques não respeitam horário comercial.

O que um SOC monitora

• Endpoints (workstations, servidores) via EDR/XDR
• Rede (tráfego norte-sul e leste-oeste) via NDR ou IDS
• Identidade (Active Directory, Azure AD, IdPs) — autenticações anômalas, escalada de privilégios
• Cloud (AWS, Azure, GCP) — CloudTrail, GuardDuty, atividade administrativa
• Aplicações — WAF, logs de aplicação, anomalias de comportamento
• Email e colaboração (M365, Google Workspace) — phishing, exfiltração
• Inteligência de ameaças externa correlacionada com indicadores internos

Estrutura típica de um SOC

Analista L1 (Triagem)

Recebe alertas em tempo real, faz triagem inicial, separa falsos positivos de eventos suspeitos. Trabalha em turnos. KPI: tempo até a primeira ação (TTI).

Analista L2 (Investigação)

Investiga incidentes complexos, correlaciona eventos, executa contenção inicial. Costuma escrever playbooks e melhorar regras de detecção.

Analista L3 / Threat Hunter

Caça ameaças antes de gerar alerta — usa hipóteses baseadas em TTPs do MITRE ATT&CK, threat intelligence e baseline de comportamento. Lida com APTs.

SOC Manager

Gestão operacional, métricas, relatórios para liderança, integração com TI, comunicação com clientes externos quando o SOC é MSSP.

Métricas que importam: MTTD e MTTR

Duas siglas resumem a eficácia de um SOC:

• MTTD (Mean Time To Detect): tempo médio entre o início do ataque e a detecção. Pesquisas globais mostram que a média histórica é alta — em torno de 200 dias para detectar um vazamento. Um SOC maduro reduz isso para horas.
• MTTR (Mean Time To Respond): tempo médio entre detecção e contenção/erradicação. Em ataques de ransomware, cada hora vale muito.

SOC interno x SOC gerenciado (MSSP/MDR)

Montar um SOC interno 24/7 exige, no mínimo:

• 5 a 8 analistas em escala de turno
• SIEM (Splunk, Sentinel, Elastic) com licenciamento por volume
• EDR/XDR em todos os endpoints
• SOAR para automação
• Threat intelligence feeds
• Processos de plantão, escalação, comunicação de crise

Para a maior parte das empresas, o investimento é alto demais para a maturidade que se obtém em uma operação inicial. Daí o padrão de mercado: contratar um SOC gerenciado (MSSP ou MDR) que entrega operação madura como serviço, e construir capacidades internas em paralelo.

Diferença entre MSSP e MDR

• MSSP (Managed Security Service Provider): geralmente monitora, alerta e escalona; resposta fica com o cliente.
• MDR (Managed Detection and Response): monitora e responde, inclusive contendo o incidente diretamente em endpoints.

A True Hacking opera em modelo próximo a MDR — não só alertamos, contemos.

Como avaliar um SOC antes de contratar

1. Peça a matriz MITRE ATT&CK que o SOC cobre
2. Pergunte o tempo médio de resposta contratual (SLA)
3. Verifique a localização e idioma dos analistas
4. Solicite um playbook de exemplo (ex.: ransomware)
5. Confirme a integração com seu stack atual (Microsoft, Crowdstrike, etc.)
6. Pergunte sobre threat hunting proativo — não apenas resposta a alertas

Conclusão

Pentest acha o buraco. SOC vigia a casa. Empresas sérias têm os dois — porque achar o problema sem ninguém olhando o ambiente continuamente é como instalar fechadura nova e deixar a porta aberta de noite.