SOC (Security Operations Center) הוא מרכז תפעול אבטחת מידע — צוות שמנטר את כל המערכות שלכם 24 שעות ביממה, מזהה איומים, ומגיב לאירועי אבטחה בזמן אמת. עבור רוב העסקים, הקמת SOC פנימי היא לא ריאלית: צריך 6-8 אנליסטים, כלים יקרים, ותקציב של מיליוני שקלים. הפתרון: SOC כשירות.
מה SOC עושה בפועל
SOC מנוהל מבצע ארבע פעולות עיקריות, ברצף:
1. איסוף (Collection)
לוגים מכל מקום: Firewall, שרתים, תחנות עבודה, M365, VPN, שירותי ענן. הכל נשלח ל-SIEM — מערכת שאוספת, מנרמלת, ומאחסנת מיליוני אירועים ביום.
2. זיהוי (Detection)
חוקים, Machine Learning, ו-Threat Intelligence משולבים כדי לזהות דפוסים חשודים: - כניסה מארץ זרה - העברת כמות חריגה של מידע - שימוש בכלי Hacking - ניסיונות Brute Force - Lateral Movement ברשת
3. חקירה (Investigation)
אנליסט SOC חוקר כל התראה: האם זה אירוע אמיתי (True Positive) או התרעת שווא (False Positive)? מה ההיקף? מי מושפע? מה וקטור הכניסה?
4. תגובה (Response)
אם האירוע אמיתי: - בידוד תחנה נגועה - חסימת IP או Domain - איפוס סיסמאות - הודעה למנהלי IT - תיעוד ודוח אירוע
SOC פנימי מול SOC מנוהל
| פרמטר | SOC פנימי | SOC מנוהל | |---------|-----------|-----------| | צוות | 6-8 אנליסטים | כלול | | עלות שנתית | ₪2M-5M | ₪60,000-300,000 | | זמן הקמה | 6-12 חודשים | 2-4 שבועות | | כלים | רכישה נפרדת | כלול | | כיסוי | בשעות עבודה (בד"כ) | 24/7/365 | | Threat Intelligence | מוגבל | גלובלי |
לעסק עד 500 עובדים, SOC מנוהל הוא כמעט תמיד הבחירה הנכונה — כלכלית וטכנית.
טכנולוגיות שמפעילות SOC
**SIEM (Security Information and Event Management)** הלב של ה-SOC. אוסף לוגים, מנתח, ומייצר התראות. כלים נפוצים: Microsoft Sentinel, Splunk, IBM QRadar.
**SOAR (Security Orchestration, Automation and Response)** אוטומציה של תהליכי תגובה. במקום שאנליסט יחסום IP ידנית — SOAR עושה את זה אוטומטית תוך שניות.
**Threat Intelligence** מידע מודיעיני על איומים: IOCs (Indicators of Compromise), TTPs (טקטיקות של תוקפים), ומקורות מודיעין גלובליים. מה שהופך זיהוי מ-"משהו חריג" ל-"זו מתקפת APT29".
**EDR/XDR Integration** SOC ללא EDR הוא חצי עיוור. ה-EDR על תחנות הקצה מספק את ה-telemetry — ה-SOC מנתח אותו.
מתי עסק צריך SOC
- דרישה רגולטורית (ISO 27001, תיקון 13, SOC 2)
- אחרי אירוע אבטחה — "לא רוצים שזה יקרה שוב"
- עבודה עם לקוחות בינלאומיים שדורשים ניטור
- ביטוח סייבר שדורש ניטור 24/7 כתנאי
- צמיחה מהירה שמגדילה את משטח ההתקפה
עלויות SOC מנוהל
| גודל ארגון | עלות חודשית | מה כלול | |------------|-------------|---------| | 20-50 עובדים | ₪5,000-8,000 | SIEM + ניטור + התראות | | 50-200 עובדים | ₪8,000-15,000 | + Threat Hunting + IR | | 200-500 עובדים | ₪15,000-25,000 | + SOAR + Forensics |
איך DLTS מספקת SOC
SOC מנוהל שלנו בנוי על Microsoft Sentinel עם שילוב EDR מתקדם: - **ניטור 24/7** — צוות אנליסטים מכסה כל שעה - **זמן תגובה** — התראה קריטית מטופלת תוך 15 דקות - **Threat Hunting** — חיפוש פרואקטיבי של איומים ברשת שלכם - **דוחות חודשיים** — סיכום אירועים, מגמות, והמלצות - **IR** — תגובה לאירוע עד לבידוד ושחזור
[בקשו הדגמה של ה-SOC שלנו](/contact)
שאלות נפוצות
**האם SOC מחליף EDR?** לא. EDR הוא כלי — SOC הוא שירות. EDR מגן על תחנה בודדת. SOC רואה את התמונה המלאה: מייל + רשת + ענן + Endpoint. SOC משתמש ב-EDR כמקור מידע.
**מה קורה בלילה או בשבת?** SOC מנוהל פועל 24/7/365. אירוע שקורה בשבת בלילה מטופל באותו זמן תגובה כמו יום ראשון בעשר בבוקר.
**כמה זמן לוקח להקים SOC מנוהל?** 2-4 שבועות: חיבור מקורות לוג, כתיבת חוקים ראשוניים, כיול התראות (הפחתת False Positives), ותקופת Burn-in.
SOC פנימי vs SOC כשירות — ההחלטה
| | SOC פנימי | SOC כשירות (MDR/MSSP) | |---|---|---| | עלות שנתית | 1.5-3M ILS (צוות + כלים) | 150-500K ILS | | זמן הקמה | 6-12 חודשים | שבועות | | 24/7 | צריכים 5+ אנליסטים | כלול | | מומחיות | צריכים לגייס ולשמר | כלול | | מתאים ל- | Enterprise (500+) | **SMB (20-500)** |
מה לדרוש מ-SOC כשירות
- **SLA:** זמן זיהוי (MTTD) < 15 דקות, זמן תגובה (MTTR) < 1 שעה
- **Coverage:** 24/7/365 — לא רק שעות עבודה
- **כלים:** SIEM + EDR + Threat Intelligence
- **דוחות:** חודשי עם Incidents, Trends, Recommendations
- **Escalation:** מי מטפל? מה קורה ב-Severity 1?
קראו גם: [SIEM לעסקים](/blog/siem-la-asakim) | [Threat Hunting](/blog/threat-hunting-la-asakim)