Så fungerar SOC som tjänst i praktiken

En SOC-tjänst är inte en svart låda. Som kund behöver ni förstå hur den fungerar för att ställa rätt krav och utvärdera leverantörer.

Datainsamling och integration

Första steget är att koppla era datakällor till leverantörens plattform. Det innebär vanligtvis:

• Loggkällor: Brandväggar, proxyservrar, DNS-loggar, Active Directory/Entra ID, molnplattformsloggar (AWS CloudTrail, Azure Activity Log, GCP Audit Logs)
• Endpoint-agenter: EDR/XDR-agenter på servrar och klienter (CrowdStrike, Microsoft Defender for Endpoint, SentinelOne)
• Molntelemetri: Konfigurationsförändringar, API-anrop, nätverksflöden i er molnmiljö
• Identitetsdata: Inloggningsförsök, privilegierade sessioner, MFA-händelser

Hos Opsio hanterar vi integrationen via standardiserade konnektorer och API:er. Vi ser i produktion att den kritiska framgångsfaktorn inte är antalet datakällor — utan att rätt datakällor är anslutna med rätt detaljnivå. En Active Directory-logg utan inloggningshändelser är värdelös.

Detektion och analys

Insamlad data normaliseras och korreleras i SIEM-plattformen. Detektionsregler — både signaturbaserade och beteendebaserade — genererar larm som rankas efter allvarlighetsgrad.

Här skiljs professionella SOC-tjänster från produkter som bara skickar e-post vid larm:

Respons och eskalering

Vid en bekräftad incident aktiveras en responskedja. Beroende på SLA-nivå och överenskommen behörighetsnivå kan SOC-teamet:

1. Isolera drabbade endpoints från nätverket

2. Blockera skadliga IP-adresser och domäner i brandväggar

3. Inaktivera komprometterade användarkonton

4. Samla forensisk data för utredning

5. Eskalera till er incidentansvarige med fullständig tidslinje

Vår erfarenhet från Opsios SOC i Karlstad och Bangalore visar att den genomsnittliga tiden från detektion till första åtgärd (MTTR) för kritiska incidenter bör ligga under en timme. Det är skillnaden mellan en begränsad incident och en fullskalig kris.

Managerad molnsäkerhet

NIS2 och det regulatoriska trycket

NIS2-direktivet, som trädde i kraft i EU under 2024 och nu genomförs i svensk lagstiftning, förändrar spelplanen för cybersäkerhet. Direktivet utökar kretsen av berörda organisationer dramatiskt och ställer tydliga krav:

• 24-timmars incidentrapportering vid betydande säkerhetsincidenter
• Riskhanteringsåtgärder som är proportionerliga och dokumenterade
• Ledningsansvar — styrelsen kan inte delegera bort ansvaret
• Sanktioner som kan uppgå till 2 % av global årsomsättning eller 10 miljoner euro

För en organisation som inte har dygnet-runt-övervakning är 24-timmarsfristen för incidentrapportering närmast omöjlig att uppfylla. Om ingen tittar på larmen under natten och helgen — hur ska ni veta att en incident inträffat?

SOC som tjänst löser den operativa sidan av NIS2-kraven: kontinuerlig övervakning, dokumenterad incidenthantering och spårbara responsåtgärder. Men notera: tjänsten ersätter inte ert ansvar. Ni behöver fortfarande en intern incidentprocess, en utsedd säkerhetsansvarig och styrelsens engagemang.

GDPR-aspekten tillkommer. Säkerhetsloggar innehåller ofta personuppgifter — IP-adresser, användarnamn, inloggningstider. Enligt Integritetsskyddsmyndighetens (IMY) vägledning krävs personuppgiftsbiträdesavtal med SOC-leverantören, och ni bör kräva att loggdata lagras inom EU/EES.

Molnsäkerhet och compliance

Vad ni ska kräva av en SOC-leverantör

Marknaden för managerade säkerhetstjänster är bred, och kvalitetsskillnaderna är stora. Här är de kriterier vi rekommenderar svenska organisationer att utvärdera:

Teknisk kapacitet

• SIEM-plattform: Vilken plattform används? Hur hanteras skalning och lagring? Microsoft Sentinel, Splunk och Elastic är vanliga val — var och en med olika styrkor.
• XDR-integration: Kan leverantören korrelera data från endpoint, nätverk, moln och identitet i en och samma vy?
• SOAR-automatisering: Vilka automatiserade responsåtgärder finns? Automatisk blockering av kända skadliga indikatorer bör vara standard.
• Threat intelligence: Varifrån kommer hotinformationen? Egna flöden, OSINT, kommersiella leverantörer?

Operativ mognad

• Analytikernas kompetensnivå: Fråga efter certifieringar (GCIA, GCIH, OSCP), erfarenhet och personalstyrka.
• SLA-definitioner: Vad är garanterad MTTD och MTTR? Hur mäts det? Vad händer vid SLA-brott?
• Eskaleringsprocess: Hur snabbt kontaktas er organisation? Via vilka kanaler? Vem fattar beslut om aktiva åtgärder?
• Rapportering: Månadsrapporter med trendanalys, inte bara larmstatistik.

Regulatorisk anpassning

• Datalagring inom EU/EES, helst i Sverige (eu-north-1 eller Sweden Central)
• Personuppgiftsbiträdesavtal enligt GDPR
• Stöd för NIS2-rapportering med dokumenterade incidenttidslinjer
• ISO/IEC 27001-certifiering och/eller SOC 2-attestering hos leverantören

Jämförelse: internt SOC vs. SOC som tjänst

För de flesta svenska organisationer med 100–5 000 anställda är SOC som tjänst det enda realistiska alternativet. Det handlar inte om att det är billigare — det handlar om att kompetensen inte finns att rekrytera.

Vanliga fallgropar — vad vi ser i produktion

På Opsios SOC stöter vi regelbundet på mönster som underminerar säkerheten, oavsett om organisationen har en managerad tjänst eller försöker hantera det internt:

Loggbrist i molnmiljöer. Organisationer migrerar till AWS eller Azure men aktiverar inte tillräcklig loggning. CloudTrail utan management events, Azure utan diagnostikloggar på nätverksnivå — det skapar blinda fläckar som angripare utnyttjar.

Larmtrötthet utan triage. Ett SIEM som genererar tusentals larm per dag utan kvalificerad triage ger sämre säkerhet, inte bättre. Analytikerna slutar läsa larmen. En bra SOC-tjänst filtrerar bort bruset och eskalerar det som faktiskt kräver uppmärksamhet.

Incidentplaner som aldrig testats. Många organisationer har en incidenthanteringsplan i ett Word-dokument som ingen öppnat sedan den skrevs. En SOC-tjänst hjälper — men bara om responsplanerna övas och uppdateras regelbundet.

Otydliga ansvarsfördelningar. Om det inte är kristallklart vem som får isolera en server klockan tre på natten — er SOC-leverantör eller er interna IT — kommer kritiska minuter att gå förlorade.

Managerade molntjänster

MDR: den operativa kärnan i SOC som tjänst

Managed Detection and Response (MDR) är inte bara ett marknadsföringsbegrepp — det är den funktion som skiljer en riktig SOC-tjänst från en glorifierad logginsamlare. MDR innebär att leverantören inte bara övervakar utan aktivt agerar vid hot:

• Detection: Proaktiv threat hunting utöver regelbaserad detektion
• Response: Definierade, avtalade responsåtgärder som verkställs utan att ni behöver vakna
• Forensik: Djupanalys efter incident för att förstå attackvektorn och stänga den

Enligt Gartners Market Guide for Managed Detection and Response Services har MDR-marknaden vuxit kraftigt de senaste åren, drivet av just den kompetensbrist och det regulatoriska tryck som svenska organisationer upplever.

Vår rekommendation: kräv att MDR-komponenten ingår i baserbjudandet — inte som en tilläggstjänst. Övervakning utan respons är som ett brandlarm utan brandkår.

Managerad DevOps

Så kommer ni igång

En SOC-tjänst implementeras typiskt i tre faser:

Fas 1 — Inventering och design (1–2 veckor)

Kartlägg befintliga datakällor, identifiera kritiska system, definiera eskalerings- och responsmodell. Här avgörs vilka loggar som behövs och vilka SLA:er som är rimliga.

Fas 2 — Integration och tuning (2–4 veckor)

Koppla in datakällor, kalibrera detektionsregler mot er miljö, eliminera kända falska positiva. Den här fasen är avgörande — en SOC-tjänst som inte förstår er normalläge kommer att generera irrelevanta larm.

Fas 3 — Operativ drift och kontinuerlig förbättring (löpande)

Dygnet-runt-övervakning aktiveras. Månadsrapporter levereras. Detektionsregler uppdateras löpande baserat på nya hot och förändringar i er miljö. Kvartalsvis genomgång av SLA-uppfyllnad.

Vanliga frågor

Vad kostar SOC som tjänst för ett medelstort svenskt företag?

Kostnaden varierar beroende på antal endpoints, datakällor och SLA-nivå. Räkna med att en managerad SOC-tjänst kostar en bråkdel av att bemanna ett eget SOC med 8–12 analytiker plus SIEM-licenser. De flesta leverantörer erbjuder månadskostnad baserad på antal övervakade tillgångar.

Hur snabbt kan en SOC-tjänst upptäcka och svara på hot?

En välfungerande SOC-tjänst har en detektionstid (MTTD) på minuter och en responstid (MTTR) på under en timme för kritiska incidenter. Utan aktiv övervakning kan det enligt flera säkerhetsrapporter ta dagar eller veckor innan intrång upptäcks.

Uppfyller SOC som tjänst NIS2-kraven?

En SOC-tjänst är ett verktyg för att uppfylla NIS2, men inte en automatisk garanti. NIS2 kräver bland annat 24-timmars incidentrapportering, riskhanteringsåtgärder och ledningsansvar. En kvalificerad leverantör hjälper er uppfylla de tekniska kraven, men ansvaret ligger kvar hos er organisation.

Kan vi behålla intern IT och ändå använda SOC som tjänst?

Absolut — det är den vanligaste modellen. Er interna IT hanterar drift och utveckling medan SOC-tjänsten tar hand om hotövervakning, incidentanalys och respons. Det avlastar IT-teamet utan att ta bort deras kontroll.

Hur säkerställer vi att loggar och data hanteras enligt GDPR?

Kräv att leverantören lagrar loggdata inom EU/EES, helst i Sverige. Kontrollera att personuppgiftsbiträdesavtal finns på plats och att leverantören kan visa hur data klassificeras, krypteras och raderas. SOC-leverantörer med drift i EU har enklare att uppfylla dessa krav.