SOC, SIEM, SOAR — wdrożenie i Managed SOC zgodny z NIS2 i DORA | Virtline

SOC — operator monitoruje alerty SIEM 24/7" class="wp-image-9799" loading="lazy" width="1024" height="405" srcset="https://www.virtline.com/wp-content/uploads/2026/05/monitoring-noc-server-room-768x303.webp 768w, https://www.virtline.com/wp-content/uploads/2026/05/monitoring-noc-server-room-1024x405.webp 1024w" sizes="auto, (max-width: 1024px) 100vw, 1024px"/>

SOC, SIEM i SOAR — od logów do automatycznej reakcji na incydent

SIEM, SOAR i UBA były przez lata sprzedawane jako osobne narzędzia. W praktyce każdy nowoczesny SOC (Security Operations Center) łączy te trzy warstwy w jednej platformie: SIEM zbiera i koreluje logi, UBA wykrywa anomalie zachowania, a SOAR uruchamia zautomatyzowaną reakcję — od izolacji endpointa po powiadomienie zespołu i otwarcie ticketa. Klient kupujący „tylko SIEM” zostaje z surowymi alertami, których nikt nie analizuje. Klient kupujący „tylko SOAR” automatyzuje nic, bo nie ma danych wejściowych.

Virtline wdraża zintegrowane środowiska SOC dla firm objętych NIS2 (art. 21 ust. 2 — monitorowanie, detekcja, reagowanie), DORA (art. 10 — detekcja anomalii w działalności ICT) oraz ISO/IEC 27001:2023 (Annex A.5.24, A.5.25, A.8.16 — logowanie i monitorowanie). Bazujemy na platformach klasy enterprise (Microsoft Sentinel, Wazuh, OpenSearch, Splunk) oraz rozwiązaniach klasy MSP dla mniejszych klientów (RocketCyber, ConnectWise SIEM). Dostarczamy SOC jako usługę (managed) lub wdrożenie on-prem z transferem kompetencji do zespołu klienta.

Trzy warianty wdrożenia SOC w Virtline

1. SOC jako usługa (Managed SOC) — Virtline świadczy monitoring automatyczny w trybie ciągłym z własnym zespołem analityków. Klient nie kupuje licencji SIEM ani nie zatrudnia inżynierów — dostaje gotową usługę z SLA na czas reakcji. Idealne dla firm 50-500 stanowisk bez wewnętrznego cyber-działu.

2. SOC on-prem z transferem kompetencji — wdrażamy platformę (Microsoft Sentinel, Wazuh, Splunk) w infrastrukturze klienta i szkolimy zespół IT. Po 3-6 miesiącach klient samodzielnie utrzymuje środowisko, my pełnimy rolę 3rd-line support. Dla mid-marketu, który chce mieć dane in-house.

3. Hybrid SOC — klient utrzymuje platformę, my dostarczamy SOC-as-a-Service na warstwie analizy i reakcji. Optymalne kosztowo dla firm, które mają licencje korporacyjne (np. E5) i chcą wykorzystać już opłacone narzędzia.

Integracje z platformami SIEM i SOAR

Pracujemy z platformami klasy enterprise oraz rozwiązaniami open-source. Dobór narzędzia zależy od skali, modelu licencjonowania klienta oraz wymagań regulacyjnych. Najczęściej wdrażamy:

• SIEM enterprise — Microsoft Sentinel (chmurowy, integracja z M365/Azure), Splunk Enterprise Security, IBM QRadar (sektor bankowy i ubezpieczeniowy), Elastic Security (Elastic Stack), LogRhythm (organizacje z wysokimi wymogami compliance).
• SIEM open-source / MSP — Wazuh (open-source, low TCO dla 50-500 endpointów), OpenSearch Security, RocketCyber i ConnectWise SIEM (modele MSP dla rynku SMB).
• SOAR — Palo Alto Cortex XSOAR (najszerszy zbiór playbooks i integracji), Splunk SOAR (dawniej Phantom, naturalne dopełnienie Splunk ES), IBM Security QRadar SOAR (dawniej Resilient, dla środowisk QRadar).
• UBA / UEBA — Microsoft Defender for Identity, Exabeam, Securonix (wykrywanie nadużyć kont uprzywilejowanych i ruchu lateralnego).
• Threat Intelligence — MISP (open-source), AlienVault OTX, Recorded Future, Mandiant (komercyjne feedy z atrybucją do grup APT).

Niezależnie od wybranej platformy zachowujemy ten sam model wdrożenia: scoping → onboarding źródeł → reguły korelacji → playbooks SOAR → raportowanie zgodności.

Mapping SOC na wymagania NIS2, DORA i ISO 27001

SOC jest centralnym mechanizmem dowodowym dla audytu — pokazuje, że organizacja realnie monitoruje, wykrywa i reaguje na incydenty. W typowym audycie wskazujemy następujące powiązania:

• NIS2 art. 21 ust. 2 lit. b) i e) — monitorowanie, detekcja i reagowanie na incydenty. SOC jako organizacyjna i techniczna realizacja obowiązku.
• NIS2 art. 23 — obowiązek zgłaszania incydentów do CSIRT NASK w trybie 24h (wczesne ostrzeżenie) i 72h (powiadomienie incydentu). SOAR automatyzuje przygotowanie zgłoszenia.
• DORA art. 10 — wykrywanie anomalii w działalności ICT. UBA i reguły korelacyjne SIEM jako dowód spełnienia.
• DORA art. 17 — proces zarządzania incydentami ICT (klasyfikacja, eskalacja, przegląd po incydencie). Playbooks SOAR i runbooks SOC pokrywają wymagany cykl życia.
• DORA art. 18 — klasyfikacja incydentów według wpływu i raportowanie do właściwego organu nadzoru (KNF, EBA, ESMA, EIOPA). SOC dostarcza dane do klasyfikacji.
• ISO/IEC 27001:2023 Annex A.5.24 — planowanie i przygotowanie zarządzania incydentami bezpieczeństwa informacji.
• ISO/IEC 27001:2023 Annex A.5.25 — ocena i decyzja o zdarzeniach bezpieczeństwa informacji.
• ISO/IEC 27001:2023 Annex A.5.26 — reagowanie na incydenty bezpieczeństwa informacji (playbooks SOAR).
• ISO/IEC 27001:2023 Annex A.5.27 — wyciąganie wniosków z incydentów (lessons learned, post-incident review).
• ISO/IEC 27001:2023 Annex A.5.28 — zbieranie dowodów (forensic-grade logi z SIEM).
• ISO/IEC 27001:2023 Annex A.5.29 — bezpieczeństwo informacji w trakcie zakłóceń (ciągłość SOC nawet w trybie DR).
• ISO/IEC 27001:2023 Annex A.5.30 — gotowość ICT do ciągłości działania.
• ISO/IEC 27001:2023 Annex A.8.16 — monitorowanie. SOC jako operacyjna realizacja kontroli.

Dla kogo wdrażamy SOC

• Banki, instytucje finansowe, firmy inwestycyjne, ubezpieczyciele (DORA art. 10)
• Operatorzy infrastruktury krytycznej (NIS2 essential entities)
• Dostawcy usług ICT obsługujący klientów regulowanych (NIS2 important entities)
• Firmy produkcyjne z OT/IT integracją wymagającą monitoringu
• Organizacje, które ubiegają się o certyfikat ISO 27001:2023 i muszą wdrożyć Annex A.5.24-A.5.25
• Firmy SMB, które chcą mieć usługę SOC w ramach abonamentu zamiast budować własny zespół