Vad en SOC-tjänst faktiskt gör

Begreppet "SOC" missbrukas ofta i marknadsföring. Vissa leverantörer säljer glorifierad logghantering som "SOC-tjänst". Låt oss vara precisa om vad en riktig SOC-funktion levererar.

Kontinuerlig övervakning och korrelering

Kärnan i en SOC är att samla loggar och telemetri från hela er IT-miljö — servrar, nätverksutrustning, molnplattformar, endpoint-agenter, identitetssystem — och korrelera dessa i ett SIEM (Security Information and Event Management). En enskild händelse, som en misslyckad inloggning, är sällan intressant i sig. Men samma misslyckade inloggning kombinerad med en lyckad inloggning från ovanlig geografi följt av skapande av en ny administratörskonto — det är en attackkedja som SOC-analytikern identifierar och eskalerar.

Hotintelligens och kontextualisering

En effektiv SOC konsumerar hotintelligens-flöden (threat intelligence feeds) som innehåller kända skadliga IP-adresser, domäner, filhashar och taktiker (mappade mot MITRE ATT&CK-ramverket). Detta gör att SOC-analytikern inte bara ser vad som händer, utan kan bedöma vem som troligen ligger bakom och varför.

Incidenthantering — inte bara larm

Här skiljer sig en genuin SOC-tjänst från ren övervakning. När en incident bekräftas aktiverar SOC-teamet en incidenthanteringsprocess: isolering av drabbade system, insamling av forensiska bevis, koordinering med er IT-avdelning och, vid behov, eskalering till CERT-SE eller Integritetsskyddsmyndigheten (IMY) om personuppgifter berörs.

Proaktiv hotjakt (Threat Hunting)

Utöver reaktiv larmhantering utför en mogen SOC aktiv hotjakt — systematisk sökning efter tecken på intrång som inte utlöst något larm. Detta baseras på hypoteser från aktuell hotintelligens: "Vi vet att APT-gruppen X använder teknik Y mot nordiska tillverkningsföretag. Finns det spår av detta i vår kunders miljöer?"

Intern SOC vs. Managed SOC: En ärlig jämförelse

Det är frestande att tänka "vi bygger vår egen SOC". I verkligheten är det genomförbart bara för de största organisationerna. Här är en ärlig jämförelse:

Opsios perspektiv

Vi driver SOC/NOC dygnet runt från Karlstad och Bangalore. Det innebär att vi har europeisk och indisk analytikerkapacitet som överlappar tidszoner — kl. 03:00 svensk tid har vi fullt bemannade analytiker online, inte en jour-telefon. Den kombinationen gör att vi kan erbjuda genuin 24/7-täckning till en kostnad som inte kräver att ni anställer åtta personer.

Managerade molntjänster

SOC-tjänst och NIS2: Vad svensk lag kräver

NIS2-direktivet (EU 2022/2555), implementerat i svensk rätt, ställer explicita krav på organisationer som klassificeras som väsentliga eller viktiga entiteter. De krav som direkt berör SOC-funktionen:

Incidentrapportering med strikta tidsramar:

• Tidig varning till tillsynsmyndigheten inom 24 timmar efter att en betydande incident upptäcks
• Fullständig incidentrapport inom 72 timmar
• Slutrapport inom en månad

Utan en SOC-funktion som aktivt övervakar er miljö upptäcker ni troligen inte incidenten förrän långt efter att tidsfristen börjat ticka — om ni ens upptäcker den alls.

Riskhanteringsåtgärder som kräver SOC-kapacitet:

• Hantering av säkerhetsincidenter (Artikel 21.2b)
• Övervakning och loggning (Artikel 21.2g i sektorsspecifika tolkningar)
• Sårbarhetshantering och kontinuerlig riskbedömning

Enligt Gartners analyser av NIS2-implementering förväntas de flesta europeiska tillsynsmyndigheter tolka kraven strikt — att "vi har en brandvägg" inte räcker som bevis på adekvat incidentdetektering.

Kärnteknologier i en modern SOC-tjänst

SIEM — navet i operationen

SIEM-plattformen (exempelvis Microsoft Sentinel, Splunk, Elastic Security eller Chronicle SIEM från Google) aggregerar loggar från alla datakällor, normaliserar dem till ett gemensamt format och kör korrelationsregler som identifierar misstänkt beteende. Valet av SIEM-plattform bör styras av er befintliga molnstrategi:

• AWS-tungt? Överväg en SIEM som har nativ integration med CloudTrail, GuardDuty och Security Hub.
• Azure-tungt? Microsoft Sentinel är det naturliga valet med djup integration mot Entra ID och Defender-sviten.
• Multi-cloud? En leverantörsoberoende SIEM som Elastic eller Splunk ger större flexibilitet.

SOAR — automatiserad orkestrering

SOAR (Security Orchestration, Automation and Response) automatiserar repetitiva uppgifter: berika ett larm med kontextdata, skapa ärende i ärendehanteringssystemet, isolera en komprometterad endpoint. Detta frigör analytikernas tid för de komplexa bedömningar som kräver mänsklig expertis.

EDR/XDR — endpoint och utökat skydd

Endpoint Detection and Response (EDR) ger djup insyn i vad som sker på enskilda enheter — processer, nätverksanslutningar, filoperationer. Extended Detection and Response (XDR) utökar detta till nätverk, e-post och molntjänster. Data från EDR/XDR matas in i SIEM och ger SOC-analytikern den granulära kontext som behövs för att avgöra om en händelse är ett verkligt intrång eller en falsk positiv.

Hotintelligens-plattformar

Kommersiella och öppen-källkods-flöden (MISP, AlienVault OTX, branschspecifika ISAC:er) ger SOC:en information om aktiva kampanjer, nya sårbarheter och angriparnas infrastruktur. Denna data berikar SIEM-larmen och höjer triage-kvaliteten.

Managerad DevOps

Fem tecken på att ni behöver en SOC-tjänst nu

1. Ni har ingen som tittar på larmen. Era brandväggar och endpoint-verktyg genererar larm, men ingen har tid att gå igenom dem systematiskt. Larm utan uppföljning är meningslösa.

2. Ni omfattas av NIS2. Om er organisation klassificeras som väsentlig eller viktig entitet behöver ni kunna visa att ni har en fungerande incidentdetekterings- och rapporteringsförmåga.

3. Ni har börjat flytta arbetsbelastningar till molnet. Molnmigration skapar nya attackytor som kräver annan typ av övervakning än traditionell nätverkssäkerhet. CloudTrail-loggar som ingen analyserar är lika värdelösa som en avstängd brandvarnare.

4. Ni har upplevt en incident och saknade insyn. Om er senaste incidentutredning bestod av "vi vet inte hur de kom in och inte hur länge de var inne" — då saknar ni den grundläggande synlighet som en SOC ger.

5. Er IT-avdelning är överbelastad. Att lägga säkerhetsövervakning ovanpå ett team som redan hanterar drift, support och projekt leder till att säkerheten alltid prioriteras sist.

Molnmigrering

Så väljer ni rätt SOC-tjänst: Kritiska frågor att ställa

Managed SOC-marknaden i Sverige växer snabbt, och kvaliteten varierar enormt. Här är frågorna ni bör ställa till varje potentiell leverantör:

Om bemanning och kompetens

• Hur ser bemanningen ut kl. 03:00 en söndag? Om svaret är "vi har en jour-telefon" — det är inte 24/7 SOC.
• Vilka certifieringar har analytikerna? GIAC-certifieringar (GCIH, GCIA, GCFE) och erfarenhet av incidenthantering är viktigare än generella IT-certifieringar.
• Hur hanterar ni personalrotation? En SOC där analytikerna slutar efter sex månader tappar kontinuitet och verksamhetskunskap.

Om teknik och integration

• Vilken SIEM-plattform används? Och har den nativ integration med era molnplattformar?
• Hur hanteras falska positiva? En omogen SOC drunknar i falska larm och missar de riktiga. Fråga efter deras false positive rate efter tuning-perioden.
• Kan ni integrera med vårt befintliga ärendehanteringssystem? SOC-larm som hamnar i en separat portal istället för ert ITSM-verktyg riskerar att ignoreras.

Om process och SLA

• Vad är ert SLA för MTTD och MTTR? Mean Time to Detect och Mean Time to Respond — detta är de enda KPI:er som verkligen betyder något.
• Hur rapporterar ni till oss? Månadsrapporter med trendanalys, inte bara en lista på larm.
• Vad händer vid en allvarlig incident? Inkluderar tjänsten aktiv incidenthantering (containment, eradication) eller bara larmeskalering?

SOC-tjänst i en multi-cloud-verklighet

De flesta av Opsios kunder kör arbetsbelastningar på mer än en molnplattform. Det skapar specifika utmaningar för säkerhetsövervakning:

AWS-miljöer genererar telemetri via CloudTrail (API-anrop), VPC Flow Logs (nätverkstrafik), GuardDuty (hotdetektering) och Security Hub (aggregerad säkerhetsposture). Allt detta ska integreras i SIEM.

Azure-miljöer erbjuder Activity Logs, NSG Flow Logs, Microsoft Defender for Cloud och, om ni använder det, Microsoft Sentinel som SIEM.

Kubernetes-kluster (oavsett plattform) kräver separat övervakning av container runtime, API server audit logs och nätverkspolicyer. Enligt CNCF Annual Survey kör en majoritet av produktionsmiljöerna nu Kubernetes, vilket gör container-säkerhet till en icke-förhandlingsbar del av SOC-uppdraget.

En managed SOC-tjänst som Opsios hanterar denna komplexitet åt er — vi normaliserar loggar från alla plattformar till en gemensam vy och applicerar korrelationsregler som fungerar tvärs molngränser.

Cloud FinOps

Vad SOC-tjänst kostar — och vad det kostar att inte ha

Kostnaden för en managed SOC-tjänst styrs primärt av:

• Antal datakällor (loggar per sekund / events per second)
• SLA-nivå (larmresponstid, inkluderad incidenthantering)
• Komplexitet i miljön (multi-cloud, hybrid, OT/IoT)
• Regulatoriska krav (NIS2-rapportering, GDPR-incidenthantering)

Jämför alltid med alternativkostnaden. Enligt Flexeras State of the Cloud har organisationer konsekvent rapporterat att bristande insyn i sin molnmiljö leder till oväntade kostnader — och en säkerhetsincident som upptäcks efter veckor istället för minuter kan innebära fullständig kryptering av produktionsmiljön, veckors driftstopp och GDPR-sanktioner från IMY.

Det finns ett enkelt räknesätt: vad kostar en dags driftstopp för er? Multiplicera det med det typiska antalet dagar det tar att återhämta sig från en ransomware-attack utan tidig detektering (ofta 2–4 veckor). Jämför sedan med årskostnaden för en managed SOC.

Vanliga frågor

Vad kostar en SOC-tjänst för svenska företag?

Priset varierar kraftigt beroende på antal datakällor, SLA-nivå och om tjänsten inkluderar incidenthantering eller enbart övervakning. En managed SOC-tjänst startar typiskt från 25 000–50 000 SEK/månad för medelstora företag, medan en egen intern SOC kan kosta mångdubbelt mer i personalkostnader. Begär alltid en scoping-workshop innan ni jämför offerter.

Behöver vi en SOC-tjänst för att uppfylla NIS2?

NIS2-direktivet kräver att väsentliga och viktiga entiteter har förmåga att upptäcka, rapportera och hantera säkerhetsincidenter. En SOC-tjänst är det mest direkta sättet att uppfylla dessa krav — särskilt rapporteringskravet på 24 timmar för tidig varning och 72 timmar för fullständig incidentrapport.

Vad är skillnaden mellan SIEM och SOC?

SIEM (Security Information and Event Management) är ett tekniskt verktyg som samlar och korrelerar loggar. En SOC-tjänst är en operativ funktion som använder SIEM som ett av flera verktyg, men som också inkluderar analytiker, processramverk, hotintelligens och aktiv incidenthantering. SIEM utan SOC är som en brandvarnare utan brandkår.

Kan vi ha SOC-tjänst i molnet om vi kör multi-cloud?

Ja, och det är faktiskt där managed SOC visar sin styrka. En bra leverantör integrerar loggar från AWS (CloudTrail, GuardDuty), Azure (Sentinel, Defender) och GCP (Chronicle) i ett enhetligt SIEM. Opsio kör detta dagligen för kunder med arbetsbelastningar i eu-north-1 (Stockholm) och Sweden Central.

Hur snabbt kan en SOC-tjänst vara operativ?

En managed SOC-tjänst kan vara i drift inom 2–6 veckor beroende på miljöns komplexitet. Fas ett brukar vara onboarding av kritiska datakällor (brandväggar, endpoint, identitet), följt av tuning av larmregler under 30–60 dagar för att minska falska positiva.