Risorse · Guida · SOC · 5 min di lettura

Cos'è un SOC (Security Operations Center)

In breve

Un SOC (Security Operations Center) è il presidio, fatto di persone, processi e tecnologia, che monitora l'infrastruttura aziendale 24·7, rileva gli incidenti di sicurezza e ne coordina la risposta. Può essere interno o gestito da un fornitore (SOC as a Service): la seconda opzione costa in media una frazione di un SOC interno H24.

A cosa serve un SOC

Un Security Operations Center è il punto in cui convergono i segnali di sicurezza di tutta l’azienda. Il suo compito non è solo «vedere»: è decidere e agire quando qualcosa non torna, a qualunque ora. Senza un SOC, gli alert restano in code che nessuno guarda di notte, esattamente quando i threat actor preferiscono colpire. Un SOC è insieme una funzione (monitorare e rispondere) e una struttura (il team che la esercita), e si misura non sulla mole di dati raccolti ma sulla velocità con cui trasforma un segnale in una decisione.

I numeri che definiscono un presidio efficace, con i target operativi del SOC Fortgale:

  • 24·7·365
    copertura continua · stesso fuso del cliente
  • <15 min
    TTD mediano · dalla telemetria all'alert
  • <30 min
    TTC mediano · dalla detection all'azione
  • >90%
    rumore ridotto entro 30 giorni

Persone, processi, tecnologia

Un SOC efficace è fatto di tre cose: analisti (triage, indagine, decisione), processi (runbook, escalation, governance) e tecnologia (SIEM, EDR/XDR, threat intelligence). Manca uno dei tre e il presidio si indebolisce: tutta la tecnologia del mondo non serve se nessuno presidia la console alle 3 di notte, e gli analisti più bravi vanno in stallo senza runbook chiari e senza intelligence che dia priorità.

  • Persone · analisti su più livelli (tier 1 triage, tier 2 indagine, tier 3 hunting e response), con il mandato di decidere e agire.
  • Processi · runbook di detection e response, catene di escalation, governance, reporting verso il business e gli enti (CSIRT, NIS2).
  • Tecnologia · il SIEM che correla i log, l’EDR/XDR che vede gli endpoint, la threat intelligence che dà contesto a ciò che si osserva.

Il principio operativo. Un SOC non vale per quanti alert produce, ma per quanti incidenti chiude. La tecnologia rileva e riduce il rumore, ma è l'analista senior con l'autorità di agire a trasformare un segnale in contenimento.

Come lavora un SOC: il ciclo operativo

Il valore di un SOC sta nella catena che porta da un evento grezzo a un incidente chiuso, ininterrotta, ad ogni ora. È un ciclo che si ripete: più è breve, meno tempo ha l’avversario per muoversi lateralmente.

CICLO SOC · MONITORARE → RISPONDERE MONITORARE telemetria 24·7 RILEVARE SIEM · MITRE TRIAGE analista decide RISPONDERE isola · blocca IMPARARE tuning · report il ciclo si chiude: l'esperienza affina la detection
Il ciclo operativo di un SOC: monitora la telemetria, rileva, l'analista fa triage e decide, la response contiene, l'esperienza affina le regole.

Il punto di svolta è il triage: un alert isolato non ferma nulla. È l’analista che lo qualifica, lo collega ad altri segnali e decide se è un falso positivo o l’inizio di un’intrusione.

Cosa monitora un SOC

Un presidio completo osserva l’intera superficie esposta, non un solo dominio:

  • Endpoint · PC, server, laptop, via EDR/XDR.
  • Rete · traffico, flussi, anomalie di comunicazione e comando-controllo.
  • Cloud e SaaS · configurazioni, accessi, attività su Microsoft 365, identità.
  • Identità e accessi · autenticazioni anomale, privilege escalation, abuso di sessione.
  • Applicazioni critiche e, su richiesta, sistemi OT/ICS.

Tutto questo confluisce in un SIEM, dove viene correlato con regole mappate su MITRE ATT&CK e arricchito dalla threat intelligence. Sul ruolo della piattaforma vedi Cos’è un SIEM.

Interno o gestito?

Costruire un SOC interno H24 richiede anni, talenti rari e oltre un milione di euro l’anno tra analisti su tre turni, licenze SIEM e infrastruttura. Il problema non è solo il costo: è la sostenibilità della copertura continua con un team piccolo, dove ferie, malattie e turnover lasciano scoperti proprio i momenti in cui gli attacchi avvengono.

Attenzione al «24·7 sulla carta». Coprire H24 davvero richiede almeno 5-6 analisti a tempo pieno solo per i turni notturni e festivi. Molti SOC interni in realtà presidiano in orario d'ufficio e si affidano alla reperibilità: una finestra cieca proprio quando i threat actor colpiscono.

Il SOC gestito (SOC as a Service) offre la stessa copertura a una frazione del costo, operativo in settimane invece che anni, con threat intelligence proprietaria inclusa. Nel modello Fortgale il presidio è italiano, nello stesso fuso e sotto le stesse regole del cliente: la conformità diventa un sottoprodotto dell’operatività. Approfondisci il servizio: SOC gestito Fortgale.


Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: un SOC esiste per rendere quel secondo atto possibile, ad ogni ora.

Confronto

SOC interno vs SOC gestito

DimensioneSOC internoSOC gestito (SOCaaS)
Costo annuoOltre 1 M€ (5+ analisti, SIEM, infra)Canone, ~30% del costo interno
AvvioMesi/anni2-4 settimane
Copertura H24Difficile (turni, ferie)Inclusa 24·7·365
Threat intelligenceDa costruireProprietaria, inclusa
Prova field-observed · SOC in azione

Nell'Operation Storming Tide il SOC Fortgale ha rilevato e contenuto un'intrusione multi-stadio fuori dall'orario d'ufficio: il valore di un presidio davvero 24·7·365, dove il 76% degli attacchi avviene di notte o nei weekend.

Leggi l'analisi →
FAQ

Domande frequenti.

Qual è la differenza tra SOC e MDR?

Il SOC è il presidio operativo (team, processi, governance, reporting); l'MDR è la componente di rilevamento e risposta tecnologica. Nel modello Fortgale il SOC gestito include l'MDR. Vedi Cos'è un MDR.

Cosa significa SOC as a Service?

È un SOC erogato in abbonamento da un fornitore esterno: monitoraggio H24, analisti, SIEM e response inclusi, senza costruire la struttura internamente. Ideale per chi non ha le competenze o il budget per un SOC proprio.

Un SOC gestito supporta la compliance NIS2?

Sì: monitoraggio continuo, raccolta IOC per la notifica al CSIRT entro 24 ore, documentazione e reporting per la governance. Vedi NIS2 spiegata.

Cosa monitora un SOC?

Endpoint, rete, cloud, identità e accessi, applicazioni critiche e, su richiesta, sistemi OT/ICS, il tutto correlato in un SIEM con regole mappate su MITRE ATT&CK.

Cosa sono i livelli (tier) di un SOC?

Il tier 1 fa triage e smista gli alert; il tier 2 indaga e qualifica gli incidenti; il tier 3 (analisti senior, threat hunter, incident responder) gestisce i casi complessi e dà la caccia proattiva. Un SOC efficace non si ferma al primo livello: serve l'autorità di decisione che solo i tier alti hanno.

Cos'è il MTTD e il MTTR di un SOC?

Sono le metriche che misurano la velocità del presidio: il MTTD (Mean Time To Detect) è il tempo medio per rilevare un attacco, il MTTR (Mean Time To Respond) il tempo medio per contenerlo. Più sono bassi, meno tempo ha l'avversario per muoversi nella rete. Sono i numeri su cui valutare un SOC, non la quantità di alert prodotti.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: SOC gestito Fortgale.

Risorse correlate: Cos'è un MDR · Perché un SOC gestito vs interno · NIS2 spiegata

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.