SOC Managed Service Providers Managed Cloud Security Services4 min read· 884 words

Cloud-Native SOC arkitektur for AWS og Azure miljøer

Publisert: 30. mars 2026·Oppdatert: 29. mars 2026·Gjennomgått av Opsios ingeniørteam

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

Kjører du et skybasert miljø med et tankesett for lokal sikkerhetsdrift?Tradisjonelle SOC-arkitekturer ble designet for datasentermiljøer – sentraliserte brannmurer, nettverksbasert deteksjon og serverfokusert overvåking. Skymiljøer krever en fundamentalt annen tilnærming: API-basert synlighet, identitetssentrert deteksjon og elastisk loggbehandling som skaleres med skyarbeidsbelastningene dine.

Viktige takeaways

Cloud-native SOC bruker cloud-native verktøy:Azure Sentinel, AWS Security Lake, GuardDuty og Defender erstatter tradisjonelle lokale SIEM og IDS.
Identitet er den primære deteksjonsoverflaten:I skyen involverer de fleste angrep kompromittering av legitimasjon og IAM-manipulasjon i stedet for nettverksinntrenging.
Loggarkitektur bestemmer SOC effektivitet:Hva du samler inn, hvordan du normaliserer det, og hvor lenge du beholder det, definerer hvilke trusler du kan oppdage.
Automatisering er viktig, ikke valgfritt:Skymiljøer endres for raskt for manuelle sikkerhetsoperasjoner.

Cloud-Native SOC Referansearkitektur

Lag	AWS	Azure	Formål
Loggsamling	CloudTrail, VPC Flowlogger, GuardDuty	Aktivitetslogg, NSG Flowlogger, Defender	Inntak av rå sikkerhetsdata
SIEM / Analytics	Security Lake + Athena / OpenSearch	Microsoft Sentinel	Normalisering, korrelasjon, deteksjon
Trusseldeteksjon	GuardDuty, inspektør, Macie	Defender for Cloud, Defender for Identity	Cloud-native trusseldeteksjon
SOAR / Automatisering	Step Functions, Lambda, EventBridge	Logiske apper, Azure funksjoner	Automatisert respons og orkestrering
Posture Management	Security Hub, Config	Defender for Cloud (CSPM)	Konfigurasjonsovervåking
Identitetssikkerhet	IAM Access Analyzer, CloudTrail	Entra ID Protection, Sentinel UEBA	Identitetstrusseldeteksjon

AWS Sikkerhetsoperasjonsarkitektur

Sentralisert logging med AWS Security Lake

AWS Security Lake normaliserer sikkerhetsdata fra CloudTrail, VPC Flow Logger, Route 53 DNS logger, S3 tilgangslogger og GuardDuty funn inn i Open Cybersecurity Schema Framework (OCSF). Denne normaliseringen er kritisk – den lar SOC-analytikere spørre på tvers av alle datakilder ved å bruke et konsistent skjema i stedet for å lære hver tjenestes unike loggformat. Security Lake lagrer data i S3 med parkettformat, noe som muliggjør kostnadseffektiv langsiktig oppbevaring og raske analytiske spørringer gjennom Athena.

Flerkontosikkerhet med AWS Organisasjoner

Enterprise AWS miljøer bruker flere kontoer (utvikling, iscenesettelse, produksjon, delte tjenester). En skybasert SOC sentraliserer sikkerhetsdata fra alle kontoer til en dedikert sikkerhetskonto. GuardDuty, Security Hub og CloudTrail er konfigurert med delegert administrator i sikkerhetskontoen, og gir enhetlig synlighet på tvers av hele AWS-organisasjonen. Denne arkitekturen sikrer at ingen konto er en blind flekk.

Automatisert respons med EventBridge og Lambda

AWS EventBridge fanger opp sikkerhetshendelser fra GuardDuty, Security Hub og CloudTrail i sanntid. Lambda-funksjoner utfører automatiserte responshandlinger: isolerer kompromitterte EC2-forekomster ved å endre sikkerhetsgrupper, tilbakekalle kompromitterte IAM-legitimasjon, aktivere rettsmedisinske øyeblikksbilder av kompromitterte volumer og varsle SOC-teamet gjennom SNS eller PagerDuty. Denne automatiseringen gir sub-minutt respons for kjente trusselmønstre.

Azure Sikkerhetsoperasjonsarkitektur

Microsoft Sentinel som skybasert SIEM

Microsoft Sentinel er Azures skybaserte SIEM-plattform bygget på Azure Monitor Log Analytics. Den henter inn data fra Azure aktivitetslogger, Azure AD (Entra ID) påloggingslogger, Microsoft 365 revisjonslogger, Defender-varsler og tredjepartskilder gjennom innebygde koblinger. Sentinels betal-per-inntak-modell skalerer med miljøet ditt uten kapasitetsplanlegging. Innebygde ML-modeller oppdager unormal påloggingsatferd, umulig reise og ukjente påloggingsegenskaper.

Defender for Cloud-integrasjon

Microsoft Defender for Cloud tilbyr CSPM (Cloud Security Posture Management) og CWPP (Cloud Workload Protection Platform)-funksjoner som inngår i Sentinel. CSPM skanner kontinuerlig Azure konfigurasjoner mot sikkerhetsstandarder. CWPP gir kjøretidsbeskyttelse for VM-er, containere, databaser og App Service. Defender-varsler integreres naturlig med Sentinel, og skaper en enhetlig deteksjons- og responspipeline.

Automatisert svar med Logic Apps

Sentinel-spillebøker (bygget på Azure Logic Apps) automatiserer responsarbeidsflyter. Når Sentinel oppdager en kompromittert konto, kan en spillebok automatisk deaktivere kontoen i Entra ID, tilbakekalle alle aktive økter, utløse MFA-reregistrering, varsle SOC-teamet og opprette en hendelsesbillett – alt innen sekunder etter oppdagelse.

Deteksjonsteknikk for Cloud

Identitetsfokuserte gjenkjenningsregler

Skymiljøer er identitetsentriske – de fleste angrep involverer kompromiss med legitimasjon i stedet for nettverksutnyttelse. Prioriterte gjenkjenningsregler inkluderer: umulig reise (pålogging fra geografisk fjerne steder i løpet av minutter), MFA-tretthetsangrep (gjentatte MFA-meldinger), rettighetseskalering (IAM policy-endringer, rolleantakelsesmønstre), tjenestekontoavvik (API-anrop fra uvanlige IP-er eller ved uvanlige applikasjonsangrep), (OA).

Skyspesifikk angrepsdeteksjon

Deteksjonsregler må dekke skyspesifikke angrepsteknikker: S3 bøttepolicymodifikasjoner, EC2 forekomst metadatatilgang (IMDS-utnyttelse), rolleantagelseskjeder på tvers av kontoer, Lambda funksjonskodeinjeksjon gjennom miljøvariabler og Kubernetes pod sikkerhetspolicy omgåelse. Disse teknikkene har ingen ekvivalent i tradisjonelle lokale miljøer og krever spesialbygd deteksjonslogikk.

Hvordan Opsio bygger Cloud-Native SOC

AWS + Azure + GCP ekspertise:Vi bygger SOC-arkitekturer for alle de tre store skyplattformene, inkludert multiskymiljøer.
OCSF-normalisering:Konsekvent loggskjema på tvers av alle skykilder for effektiv gjenkjenning på tvers av plattformer.
300+ skydeteksjonsregler:Formålsbygde deteksjoner for skyspesifikke angrepsteknikker kartlagt til MITER ATT&CK Cloud Matrix.
Spillebøker med automatiserte svar:Forhåndsbygd responsautomatisering for vanlige skytrusler med kundespesifikk tilpasning.
Multi-konto/multi-abonnement:Sentralisert sikkerhetssynlighet på tvers av komplekse nettskyorganisasjoner.

Ofte stilte spørsmål

Bør jeg bruke AWS Security Lake eller Microsoft Sentinel?

Hvis miljøet ditt primært er AWS, gir Security Lake + en SIEM (Sentinel kan innta fra Security Lake) den dypeste AWS synlighet. Hvis miljøet ditt er Azure-primært eller Microsoft-tungt, er Sentinel det naturlige valget. For multiskyer kan begge fungere som primær SIEM med datainntak på tvers av skyer. Opsio hjelper deg å velge basert på ditt spesifikke miljø.

Hvor mye koster en skybasert SOC å bygge?

Plattformkostnadene (SIEM, lagring, beregning for analyser) er vanligvis USD 3 000–20 000 per måned, avhengig av datavolum. Driftskostnader (analytikere, prosesser, kontinuerlig forbedring) er separate. Totalkostnaden for en skybasert SOC (plattform + operasjoner) er vanligvis $10 000–50 000/måned for mellommarkedsorganisasjoner. SOCaaS samler begge til én enkelt forutsigbar kostnad.

Kan jeg kjøre en skybasert SOC uten SIEM?

For små miljøer kan skybaserte deteksjonstjenester (GuardDuty, Defender for Cloud) pluss grunnleggende loggaggregering gi grunnleggende sikkerhetsovervåking uten full SIEM-distribusjon. Men uten SIEMs korrelasjons- og etterforskningsevner, mister du muligheten til å oppdage komplekse flertrinnsangrep og gjennomføre grundige hendelsesundersøkelser.

Om forfatteren

Fredrik Karlsson

Group COO & CISO at Opsio