Průměrná doba, po kterou útočník zůstává v síti oběti nedetekován, se pohybuje okolo 150-200 dní. Za tuto dobu stačí zmapovat celou infrastrukturu, ukrást citlivá data, vybudovat perzistenci a připravit se na finální úder. Kratší doba detekce přímo koreluje s nižšími náklady na incident — a právě zde hraje SOC klíčovou roli.
Security Operations Center je specializovaný tým — nebo v případě outsourcovaného SOC specializovaná firma — jehož výhradní náplní je nepřetržité sledování bezpečnostního stavu organizace, detekce hrozeb a koordinace reakce na incidenty. Tento článek vysvětluje, co SOC dělá, jaké typy existují a jak poznat, kdy přišel čas ho pořídit.
Co Security Operations Center dělá
SOC je centrum dohledu, analýzy a reakce. Analytici SOC pracují ve směnách a nepřetržitě monitorují tok bezpečnostních událostí ze všech zdrojů v organizaci. Klíčové aktivity SOC zahrnují:
Monitoring a detekce
SOC agreguje logy a bezpečnostní události z celé infrastruktury — síťová zařízení, servery, koncové stanice, cloudová prostředí, e-mailové systémy, aplikace — do centrálního SIEM systému (Security Information and Event Management). SIEM koreluje události z různých zdrojů a identifikuje podezřelé vzory, které by jednotlivé systémy samy neodhalily.
Příklad: VPN přihlášení zaměstnance z České republiky v 8 ráno a o 20 minut později přihlášení ze stejného účtu z Ruska je samo o sobě podezřelé, ale každý z těchto logů zvlášť by rutinní kontrolu prošel. SIEM to detekuje jako "impossible travel" — fyzicky nemožné cestování — a SOC analytik incident prošetří.
Třídění a analýza incidentů
Moderní SIEM systémy generují tisíce upozornění denně. Zkušení SOC analytici třídí (triage) tato upozornění, odlišují falešně pozitivní výsledky od skutečných hrozeb a pro skutečné incidenty eskalují reakci. Kvalitní SOC dokáže reagovat na skutečný incident do minut od jeho detekce — a tím dramaticky zkrátit dobu dopadu.
Threat Intelligence
SOC pracuje s aktuálními informacemi o hrozbách — nové zranitelnosti, aktivní útočné skupiny, jejich taktiky a indikátory kompromitace (IoC). Tyto informace jsou integrovány do SIEM jako tzv. threat intelligence feedy, které umožňují detekovat útočníkovu infrastrukturu nebo malware podle jejich digitálního otisku ještě před tím, než útok způsobí škodu.
Incident Response
Při potvrzeném incidentu SOC koordinuje reakci — izolaci postižených systémů, forenzní analýzu, komunikaci s IT týmem a vedením. V případě outsourcovaného SOC nebo MDR může tým přímo zasahovat do prostředí zákazníka a zastavit útok v reálném čase. Více o procesu reakce na incidenty najdete v článku Incident Response plán.
Typy SOC — interní, outsourcovaný a hybridní
Interní SOC
Vlastní SOC provozovaný zaměstnanci firmy. Výhody: plná kontrola, hluboká znalost interního prostředí, žádné sdílení dat s třetí stranou. Nevýhody: extrémně vysoké náklady — vybudování funkčního 24/7 SOC vyžaduje minimálně 6-10 specializovaných analytiků (pro pokrytí směn), SIEM a další technologie, a ročně vyjde na desítky milionů korun. Realisticky dostupné pouze pro velké korporace, banky nebo kritickou infrastrukturu.
Outsourcovaný SOC (SOC as a Service / MDR)
Firma svěřuje SOC funkce externímu poskytovateli. Poskytovatel zajišťuje analytiky, technologie i procesy — zákazník platí měsíční poplatek za úroveň služby (SLA). Výhody: dramaticky nižší cena než interní SOC, okamžitá dostupnost zkušených analytiků, přístup k pokročilým nástrojům a threat intelligence. Nevýhody: sdílení dat s třetí stranou vyžaduje důkladné smluvní ošetření, menší kontrola nad denními operacemi.
MDR (Managed Detection and Response) je modernější varianta outsourcovaného SOC, která klade větší důraz na aktivní reakci — nejen detekci a upozornění, ale přímé zastavení útoku v prostředí zákazníka. MDR je v roce 2025 pro malé a střední firmy nejrychleji rostoucí kategorií managed security služeb.
Hybridní SOC
Kombinace interního týmu a externího poskytovatele. Typicky: interní bezpečnostní tým zodpovídá za strategii, znalost prostředí a část monitoringu, zatímco externě zajišťuje 24/7 pokrytí mimo pracovní dobu, víkendy a svátky, nebo specializované schopnosti (forenzní analýza, threat hunting). Pro mnoho středních firem jde o nejlepší poměr ceny a výkonu.
MDR vs SOC — v čem je rozdíl
Termíny SOC a MDR se používají někdy zaměnitelně, ale jejich původní výklady se liší. Tradiční outsourcovaný SOC se soustředí na monitoring a detekci — generuje upozornění a zprávy, ale aktivní reakci přenechává zákazníkovi. MDR jde dál — poskytovatel MDR nejen detekuje hrozbu, ale přímo zasahuje: izoluje kompromitovaný endpoint, blokuje útočníkovu IP, zastavuje podezřelý proces. Tato schopnost aktivní reakce je pro firmy bez vlastního IR týmu klíčová.
Kdy má SOC nebo MDR smysl — a co hledat u poskytovatele
Pro většinu středně velkých firem přichází potřeba SOC nebo MDR v momentě, kdy:
- Firma provozuje kritické systémy nebo zpracovává citlivá data (zdravotnictví, finance, výroba, energetika).
- Firma podléhá NIS2 nebo jiné regulaci, která vyžaduje monitoring a schopnost rychlé detekce incidentů.
- Interní IT tým nemá kapacitu ani specializaci na bezpečnostní monitoring.
- Firma již zažila bezpečnostní incident a chce zajistit, aby se neopakoval bez povšimnutí.
Na co se ptát při výběru poskytovatele SOC/MDR
- Jaká je garantovaná doba detekce (MTTD) a reakce (MTTR)? Kvality SOC jsou přímo měřitelné — ptejte se na konkrétní čísla, ne marketingové fráze.
- Jaké prostředí a technologie pokrývá? On-premise, cloud (AWS, Azure, GCP), SaaS aplikace, OT/ICS prostředí?
- Jaká je úroveň aktivní reakce? Pouze upozornění, nebo přímý zásah do prostředí?
- Kde jsou analytici a kde jsou data? Datová suverenita a GDPR compliance jsou důležité — zejména pro regulované odvětví.
- Jaké jsou SLA a co se stane při jejich nesplnění?
- Jak probíhá onboarding a integrace s vaším prostředím?
Pokud zvažujete, zda SOC nebo MDR potřebujete, a chcete porovnat možnosti pro vaši firmu, kontaktujte tým SecureOn.cz. Nabízíme managed security služby přizpůsobené potřebám a rozpočtu středně velkých firem — od základního monitoringu po plnohodnotný MDR s 24/7 reakcí. Zjistěte více o našich službách na secureon.cz.