Básicamente, lo que hacemos en un SOC en un primer nivel es analizar los datos que recibimos de diversos dispositivos de la red del cliente. Por ejemplo, podemos ver en todo momento los accesos que se están realizando a la base de datos principal, los errores del servidor, las peticiones y consultas, etc.
Cuando comienza un ataque, algunos de estos parámetros pueden ser anormales, y eso nos permite detectarlo de forma temprana. Por ejemplo, un pico de consultas a una base de datos puede ser un primer indicio de un ataque, o una solicitud de servicio a una página de acceso por credenciales inusual. Todo eso necesita de un conocimiento avanzado y experiencia profunda en ciberseguridad, y es algo natural en nuestra cartera de servicios.
Asimismo, se analizan los informes de datos por parámetros e intervalos de tal forma que se puedan descubrir vulnerabilidades y solventarlas.
Respuesta
Otra de las labores del SOC es ofrecer una respuesta rápida frente a un ataque. En el momento en el que se detecta una intrusión o un intento de penetración, se ponen en marcha los distintos mecanismos que sean capaces de detener el ataque o mitigarlo en la medida de lo posible. En cualquier caso, siempre se tratará de gestionar la situación de forma temprana, lo que aumenta considerablemente las posibilidades de éxito y limita con mayor eficacia las pérdidas.