Я работаю в российском офисе.

Я тут сегодня наткнулся в книжке MITRE на категорию SOC уровня страны (типо где участвует более 50 млн активов). Где такое вообще возможно?

С трудом могу представить только США

А что такого? Например, в РЖД работает больше миллиона человек (миллион двести тысяч, если память не изменяет), в Почте России - 42 000 почтовых отделений связи и т.д.

И это только у нас

У Налоговой службы огромный ЦОД только под big-data аналитику в Тушино.

Только где громкие проекты

Там логов нет, только инциденты

Это госсопка

Или финсерт

Ну в налоговой, понятное дело, не стремятся афишировать свои возможности ;)

Китай, Индия

Но у них же не SOC как таковой, а именно аналитика, близкая к BI.

По инцидентам, отраслям, гео, категориям

Масштаб страны и стратегические решения

Вот теперь понимаю..

Если интересно, как сделано у нас - можно посмотреть здесь: https://www.cisco.com/c/dam/m/ru_ru/training-events/2019/cisco-connect/pdf/cisco_internal_cybersecurity.pdf

Как-то за обедом Сисадмин спросил Инь Фу Во:

– Учитель, почему вы каждое утро тратите полчаса на изучение логов? Не лучше ли поставить автоматический анализатор?

Мастер Инь показал на палочки для еды и сказал:

– Ты, возможно, слышал, что северные варвары не знают палочек. Они едят свою пищу ложками. И используют автоматические анализаторы логов. Поэтому срок их жизни мал, а их сервера нетрудно взломать.

Ещё Инь Фу Во сказал:

– А у западных варваров принято есть руками. И логов они вообще не изучают. Поэтому все они безобразно толстые, а их сервера – проходной двор. Мы, в отличие от варваров, кушаем палочками.

Сисадмин неторопливо доел рис с креветками и просветлённый ушёл читать логи.

Классика же