Cos'è un SOC (Security Operations Center)
Un SOC (Security Operations Center) è il presidio, fatto di persone, processi e tecnologia, che monitora l'infrastruttura aziendale 24·7, rileva gli incidenti di sicurezza e ne coordina la risposta. Può essere interno o gestito da un fornitore (SOC as a Service): la seconda opzione costa in media una frazione di un SOC interno H24.
A cosa serve un SOC
Un Security Operations Center è il punto in cui convergono i segnali di sicurezza di tutta l’azienda. Il suo compito non è solo «vedere»: è decidere e agire quando qualcosa non torna, a qualunque ora. Senza un SOC, gli alert restano in code che nessuno guarda di notte, esattamente quando i threat actor preferiscono colpire. Un SOC è insieme una funzione (monitorare e rispondere) e una struttura (il team che la esercita), e si misura non sulla mole di dati raccolti ma sulla velocità con cui trasforma un segnale in una decisione.
I numeri che definiscono un presidio efficace, con i target operativi del SOC Fortgale:
- 24·7·365copertura continua · stesso fuso del cliente
- <15 minTTD mediano · dalla telemetria all'alert
- <30 minTTC mediano · dalla detection all'azione
- >90%rumore ridotto entro 30 giorni
Persone, processi, tecnologia
Un SOC efficace è fatto di tre cose: analisti (triage, indagine, decisione), processi (runbook, escalation, governance) e tecnologia (SIEM, EDR/XDR, threat intelligence). Manca uno dei tre e il presidio si indebolisce: tutta la tecnologia del mondo non serve se nessuno presidia la console alle 3 di notte, e gli analisti più bravi vanno in stallo senza runbook chiari e senza intelligence che dia priorità.
- Persone · analisti su più livelli (tier 1 triage, tier 2 indagine, tier 3 hunting e response), con il mandato di decidere e agire.
- Processi · runbook di detection e response, catene di escalation, governance, reporting verso il business e gli enti (CSIRT, NIS2).
- Tecnologia · il SIEM che correla i log, l’EDR/XDR che vede gli endpoint, la threat intelligence che dà contesto a ciò che si osserva.
Il principio operativo. Un SOC non vale per quanti alert produce, ma per quanti incidenti chiude. La tecnologia rileva e riduce il rumore, ma è l'analista senior con l'autorità di agire a trasformare un segnale in contenimento.
Come lavora un SOC: il ciclo operativo
Il valore di un SOC sta nella catena che porta da un evento grezzo a un incidente chiuso, ininterrotta, ad ogni ora. È un ciclo che si ripete: più è breve, meno tempo ha l’avversario per muoversi lateralmente.
Il punto di svolta è il triage: un alert isolato non ferma nulla. È l’analista che lo qualifica, lo collega ad altri segnali e decide se è un falso positivo o l’inizio di un’intrusione.
Cosa monitora un SOC
Un presidio completo osserva l’intera superficie esposta, non un solo dominio:
- Endpoint · PC, server, laptop, via EDR/XDR.
- Rete · traffico, flussi, anomalie di comunicazione e comando-controllo.
- Cloud e SaaS · configurazioni, accessi, attività su Microsoft 365, identità.
- Identità e accessi · autenticazioni anomale, privilege escalation, abuso di sessione.
- Applicazioni critiche e, su richiesta, sistemi OT/ICS.
Tutto questo confluisce in un SIEM, dove viene correlato con regole mappate su MITRE ATT&CK e arricchito dalla threat intelligence. Sul ruolo della piattaforma vedi Cos’è un SIEM.
Interno o gestito?
Costruire un SOC interno H24 richiede anni, talenti rari e oltre un milione di euro l’anno tra analisti su tre turni, licenze SIEM e infrastruttura. Il problema non è solo il costo: è la sostenibilità della copertura continua con un team piccolo, dove ferie, malattie e turnover lasciano scoperti proprio i momenti in cui gli attacchi avvengono.
Attenzione al «24·7 sulla carta». Coprire H24 davvero richiede almeno 5-6 analisti a tempo pieno solo per i turni notturni e festivi. Molti SOC interni in realtà presidiano in orario d'ufficio e si affidano alla reperibilità: una finestra cieca proprio quando i threat actor colpiscono.
Il SOC gestito (SOC as a Service) offre la stessa copertura a una frazione del costo, operativo in settimane invece che anni, con threat intelligence proprietaria inclusa. Nel modello Fortgale il presidio è italiano, nello stesso fuso e sotto le stesse regole del cliente: la conformità diventa un sottoprodotto dell’operatività. Approfondisci il servizio: SOC gestito Fortgale.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: un SOC esiste per rendere quel secondo atto possibile, ad ogni ora.
SOC interno vs SOC gestito
| Dimensione | SOC interno | SOC gestito (SOCaaS) |
|---|---|---|
| Costo annuo | Oltre 1 M€ (5+ analisti, SIEM, infra) | Canone, ~30% del costo interno |
| Avvio | Mesi/anni | 2-4 settimane |
| Copertura H24 | Difficile (turni, ferie) | Inclusa 24·7·365 |
| Threat intelligence | Da costruire | Proprietaria, inclusa |
Nell'Operation Storming Tide il SOC Fortgale ha rilevato e contenuto un'intrusione multi-stadio fuori dall'orario d'ufficio: il valore di un presidio davvero 24·7·365, dove il 76% degli attacchi avviene di notte o nei weekend.
Leggi l'analisi →Domande frequenti.
Qual è la differenza tra SOC e MDR?
Il SOC è il presidio operativo (team, processi, governance, reporting); l'MDR è la componente di rilevamento e risposta tecnologica. Nel modello Fortgale il SOC gestito include l'MDR. Vedi Cos'è un MDR.
Cosa significa SOC as a Service?
È un SOC erogato in abbonamento da un fornitore esterno: monitoraggio H24, analisti, SIEM e response inclusi, senza costruire la struttura internamente. Ideale per chi non ha le competenze o il budget per un SOC proprio.
Un SOC gestito supporta la compliance NIS2?
Sì: monitoraggio continuo, raccolta IOC per la notifica al CSIRT entro 24 ore, documentazione e reporting per la governance. Vedi NIS2 spiegata.
Cosa monitora un SOC?
Endpoint, rete, cloud, identità e accessi, applicazioni critiche e, su richiesta, sistemi OT/ICS, il tutto correlato in un SIEM con regole mappate su MITRE ATT&CK.
Cosa sono i livelli (tier) di un SOC?
Il tier 1 fa triage e smista gli alert; il tier 2 indaga e qualifica gli incidenti; il tier 3 (analisti senior, threat hunter, incident responder) gestisce i casi complessi e dà la caccia proattiva. Un SOC efficace non si ferma al primo livello: serve l'autorità di decisione che solo i tier alti hanno.
Cos'è il MTTD e il MTTR di un SOC?
Sono le metriche che misurano la velocità del presidio: il MTTD (Mean Time To Detect) è il tempo medio per rilevare un attacco, il MTTR (Mean Time To Respond) il tempo medio per contenerlo. Più sono bassi, meno tempo ha l'avversario per muoversi nella rete. Sono i numeri su cui valutare un SOC, non la quantità di alert prodotti.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: SOC gestito Fortgale.
Risorse correlate: Cos'è un MDR · Perché un SOC gestito vs interno · NIS2 spiegata
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.