Die zentrale Aufgabe des SOC besteht in der operativen Gewährleistung der IT-Sicherheit.

Das SOC trägt die Verantwortung für den Betrieb der zentralen RWTH-Firewall sowie der Firewalls in den Rechenzentren und an den Instituten.
Dazu gehören das Einpflegen von Regelsets und die umfassende Prüfung der Logdateien.

Zusätzlich umfasst das SOC folgende Tätigkeiten:

• Die Analyse von Logdaten, die durch aktive Netzkomponenten und Server generiert werden.
  • Während der Analyse gefundene Auffälligkeiten werden den Benutzern und/oder Administratoren des Netzes zur Kenntnis gebracht.
  • Des Weiteren wird das SOC operative Maßnahmen zur Erhöhung der Sicherheit bei Vorliegen entsprechender Erkenntnisse umsetzen.
     
• Durchführung von Schwachstellenscans und Erstellung von Reports für die Serveradministratoren.
• Betrieb des Blast-O-Mat zur automatischen Sperrung auffälliger Systeme.
• Verwaltung der Netflow-Generatoren und -Kollektoren zur Analyse verdächtiger Aktivitäten.
• Einsatz von Capture-Systemen zur detaillierten Analyse von Netzwerkverbindungen.
• Implementierung und Betrieb eines SIEM-Systems zur Automatisierung der Log-Datenanalyse.
• Zukünftige Implementierung einer DNS-Firewall, um bspw. Command-and-Control Kommunikation zu erkennen bzw. zu unterbinden (Voraussetzung ist die Nutzung der RWTH DNS-Server)

Das SOC fungiert zudem als Schnittstelle zum DFN-CERT: Informationen über Sicherheitsvorfälle werden vom DFN-CERT bereitgestellt und im SOC entsprechend verarbeitet. Betroffene Nutzer werden anschließend durch das SOC informiert.