Die zentrale Aufgabe des Security Operation Centers (SOC) besteht in der operativen Gewährleistung der IT-Sicherheit.

Das SOC trägt die Verantwortung für den Betrieb der zentralen RWTH-Firewall sowie der Firewalls in den Rechenzentren und an den Instituten.
Dazu gehören das Einpflegen von Regelsets und die umfassende Prüfung der Logdateien.

Das SOC fungiert zudem als Schnittstelle zum DFN-CERT: Informationen über Sicherheitsvorfälle werden vom DFN-CERT bereitgestellt und im SOC entsprechend verarbeitet. Betroffene Nutzer werden anschließend durch das SOC informiert.

Zusätzlich umfasst das SOC folgende Tätigkeiten:

• Die Analyse von Logdaten, die durch aktive Netzkomponenten und Server generiert werden.
  • Während der Analyse gefundene Auffälligkeiten werden den Benutzern und/oder Administratoren des Netzes zur Kenntnis gebracht.
  • Des Weiteren wird das SOC operative Maßnahmen zur Erhöhung der Sicherheit bei Vorliegen entsprechender Erkenntnisse umsetzen.
     
• Durchführung von Schwachstellenscans und Erstellung von Reports für die Serveradministratoren.
• Betrieb des Blast-O-Mat zur automatischen Sperrung auffälliger Systeme.
• Verwaltung der Netflow-Generatoren und -Kollektoren zur Analyse verdächtiger Aktivitäten.
• Einsatz von Capture-Systemen zur detaillierten Analyse von Netzwerkverbindungen.
• Implementierung und Betrieb eines SIEM-Systems zur Automatisierung der Log-Datenanalyse.
• Implementierung einer DNS-Firewall, um bspw. Command-and-Control Kommunikation zu erkennen bzw. zu unterbinden (Voraussetzung ist die Nutzung der RWTH DNS-Server)