SOC Standard Operating Procedures

Vendor-agnostic SOC SOPs — Bilingual EN/TH — Build a SOC from Zero
ระเบียบปฏิบัติมาตรฐานสำหรับ SOC — ภาษาอังกฤษ/ไทย — สร้าง SOC ตั้งแต่ศูนย์

📍 Start Here / เริ่มต้นที่นี่¶

New to SOC? Read these two documents first — they'll guide you through everything else.

เพิ่งเริ่มต้น? อ่าน 2 เอกสารนี้ก่อน แล้วจะรู้ว่าต้องอ่านอะไรต่อ

	Document	English	ภาษาไทย
1️⃣	SOC 101 — SOC คืออะไร?	Read	อ่าน
2️⃣	Quickstart Guide — สร้าง SOC ใน 30 นาที	Read	อ่าน
📖	Glossary — คำศัพท์ที่ต้องรู้	Read	อ่าน

📊 What's Inside / สิ่งที่มีในโปรเจกต์นี้¶

Category	Count	Highlights
📄 Documents (EN+TH)	279	Bilingual, vendor-agnostic SOPs
🛡️ IR Playbooks	53	PB-01 Phishing → PB-50 Unauthorized Scanning, MITRE mapped
🔍 Sigma Detection Rules	54	Ready-to-import SIEM rules
🧬 YARA Rules	15	File-based threat detection
📋 Templates	6	Incident report, shift log, RFC, dashboards
🧰 Interactive Tools	2	SOC Maturity Scorer + MITRE Heatmap
📊 Dashboard JSON	2	Grafana (14 panels) + Kibana (11 panels)

🏗️ Building a SOC from Zero / สร้าง SOC ตั้งแต่ศูนย์¶

Start here if you're building a brand-new SOC. Follow the numbered order.

#	Document	English	ภาษาไทย
1	SOC Building Roadmap 🗺️	Read	อ่าน
2	Budget & Staffing 💰	Read	อ่าน
3	Technology Stack Selection 🔧	Read	อ่าน
4	Infrastructure Setup 🖥️	Read	อ่าน
5	Use Case Prioritization 🎯	Read	อ่าน
6	Analyst Training Path (6 months) 🎓	Read	อ่าน
7	SOC Infrastructure Activation ⚡	Read	อ่าน

🛡️ Incident Response / การตอบสนองต่อเหตุการณ์¶

Core Framework / กรอบงานหลัก¶

Document	English	ภาษาไทย
IR Framework (NIST-based)	Read	อ่าน
Severity Matrix (P1–P4)	Read	อ่าน
📋 Incident Classification	Read	อ่าน
🚨 Escalation Matrix	Read	อ่าน
Tier 1 Runbook — Alert Triage	Read	อ่าน
Tier 2 Runbook — Investigation	Read	อ่าน
Tier 3 Runbook — Threat Hunting	Read	อ่าน
Communication Templates (6)	Read	อ่าน

Investigation & Evidence / การสืบสวนและหลักฐาน¶

Document	English	ภาษาไทย
🔬 Forensic Investigation	Read	อ่าน
Evidence Collection	Read	อ่าน
🎯 Threat Hunting Playbook	Read	อ่าน
Interview Guide (T1/T2/Lead)	Read	อ่าน

Recovery & Automation / การกู้คืนและอัตโนมัติ¶

Document	English	ภาษาไทย
🏥 Disaster Recovery / BCP	Read	อ่าน
SOAR Playbook Templates (6)	Read	อ่าน
Lessons Learned Template	Read	อ่าน
📘 Playbook Development Guide	Read	อ่าน

53 Playbooks — Grouped by Category¶

All playbooks are bilingual (EN+TH) and MITRE ATT&CK mapped.

📧 Email & Social Engineering — Phishing, BEC, account takeover, deepfake

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 01 | Phishing | [📄](05_Incident_Response/Playbooks/Phishing.en.md) | [📄](05_Incident_Response/Playbooks/Phishing.th.md) | | 17 | Business Email Compromise | [📄](05_Incident_Response/Playbooks/BEC.en.md) | [📄](05_Incident_Response/Playbooks/BEC.th.md) | | 42 | Email Account Takeover | [📄](05_Incident_Response/Playbooks/Email_Account_Takeover.en.md) | [📄](05_Incident_Response/Playbooks/Email_Account_Takeover.th.md) | | 48 | Deepfake Social Engineering | [📄](05_Incident_Response/Playbooks/Deepfake_Social_Engineering.en.md) | [📄](05_Incident_Response/Playbooks/Deepfake_Social_Engineering.th.md) |

🦠 Malware & Ransomware — Ransomware, scripts, wipers, LOLBins, rootkits

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 02 | Ransomware | [📄](05_Incident_Response/Playbooks/Ransomware.en.md) | [📄](05_Incident_Response/Playbooks/Ransomware.th.md) | | 03 | Malware Infection | [📄](05_Incident_Response/Playbooks/Malware_Infection.en.md) | [📄](05_Incident_Response/Playbooks/Malware_Infection.th.md) | | 10 | Exploit | [📄](05_Incident_Response/Playbooks/Exploit.en.md) | [📄](05_Incident_Response/Playbooks/Exploit.th.md) | | 11 | Suspicious Script | [📄](05_Incident_Response/Playbooks/Suspicious_Script.en.md) | [📄](05_Incident_Response/Playbooks/Suspicious_Script.th.md) | | 38 | Wiper Attack | [📄](05_Incident_Response/Playbooks/Wiper_Attack.en.md) | [📄](05_Incident_Response/Playbooks/Wiper_Attack.th.md) | | 39 | Living Off The Land | [📄](05_Incident_Response/Playbooks/Living_Off_The_Land.en.md) | [📄](05_Incident_Response/Playbooks/Living_Off_The_Land.th.md) | | 45 | Rootkit / Bootkit | [📄](05_Incident_Response/Playbooks/Rootkit_Bootkit.en.md) | [📄](05_Incident_Response/Playbooks/Rootkit_Bootkit.th.md) |

🔑 Identity & Access — Brute force, credential theft, privilege escalation, MFA bypass

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 04 | Brute Force | [📄](05_Incident_Response/Playbooks/Brute_Force.en.md) | [📄](05_Incident_Response/Playbooks/Brute_Force.th.md) | | 05 | Account Compromise | [📄](05_Incident_Response/Playbooks/Account_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/Account_Compromise.th.md) | | 06 | Impossible Travel | [📄](05_Incident_Response/Playbooks/Impossible_Travel.en.md) | [📄](05_Incident_Response/Playbooks/Impossible_Travel.th.md) | | 07 | Privilege Escalation | [📄](05_Incident_Response/Playbooks/Privilege_Escalation.en.md) | [📄](05_Incident_Response/Playbooks/Privilege_Escalation.th.md) | | 14 | Insider Threat | [📄](05_Incident_Response/Playbooks/Insider_Threat.en.md) | [📄](05_Incident_Response/Playbooks/Insider_Threat.th.md) | | 15 | Rogue Admin | [📄](05_Incident_Response/Playbooks/Rogue_Admin.en.md) | [📄](05_Incident_Response/Playbooks/Rogue_Admin.th.md) | | 26 | MFA Bypass / Token Theft | [📄](05_Incident_Response/Playbooks/MFA_Bypass.en.md) | [📄](05_Incident_Response/Playbooks/MFA_Bypass.th.md) | | 36 | Credential Dumping | [📄](05_Incident_Response/Playbooks/Credential_Dumping.en.md) | [📄](05_Incident_Response/Playbooks/Credential_Dumping.th.md) |

🌐 Network & Web — DDoS, lateral movement, C2, DNS tunneling, web attacks

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 09 | DDoS Attack | [📄](05_Incident_Response/Playbooks/DDoS_Attack.en.md) | [📄](05_Incident_Response/Playbooks/DDoS_Attack.th.md) | | 12 | Lateral Movement | [📄](05_Incident_Response/Playbooks/Lateral_Movement.en.md) | [📄](05_Incident_Response/Playbooks/Lateral_Movement.th.md) | | 13 | C2 Communication | [📄](05_Incident_Response/Playbooks/C2_Communication.en.md) | [📄](05_Incident_Response/Playbooks/C2_Communication.th.md) | | 18 | Web Attack | [📄](05_Incident_Response/Playbooks/Web_Attack.en.md) | [📄](05_Incident_Response/Playbooks/Web_Attack.th.md) | | 22 | API Abuse | [📄](05_Incident_Response/Playbooks/API_Abuse.en.md) | [📄](05_Incident_Response/Playbooks/API_Abuse.th.md) | | 24 | DNS Tunneling | [📄](05_Incident_Response/Playbooks/DNS_Tunneling.en.md) | [📄](05_Incident_Response/Playbooks/DNS_Tunneling.th.md) | | 25 | Zero-Day Exploit | [📄](05_Incident_Response/Playbooks/Zero_Day_Exploit.en.md) | [📄](05_Incident_Response/Playbooks/Zero_Day_Exploit.th.md) | | 34 | Network Discovery | [📄](05_Incident_Response/Playbooks/Network_Discovery.en.md) | [📄](05_Incident_Response/Playbooks/Network_Discovery.th.md) | | 37 | SQL Injection | [📄](05_Incident_Response/Playbooks/SQL_Injection.en.md) | [📄](05_Incident_Response/Playbooks/SQL_Injection.th.md) | | 43 | Watering Hole | [📄](05_Incident_Response/Playbooks/Watering_Hole.en.md) | [📄](05_Incident_Response/Playbooks/Watering_Hole.th.md) | | 44 | Drive-By Download | [📄](05_Incident_Response/Playbooks/Drive_By_Download.en.md) | [📄](05_Incident_Response/Playbooks/Drive_By_Download.th.md) | | 50 | Unauthorized Scanning | [📄](05_Incident_Response/Playbooks/Unauthorized_Scanning.en.md) | [📄](05_Incident_Response/Playbooks/Unauthorized_Scanning.th.md) |

☁️ Cloud & Infrastructure — AWS, Azure, cloud IAM, cryptojacking, shadow IT

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 16 | Cloud IAM Anomaly | [📄](05_Incident_Response/Playbooks/Cloud_IAM.en.md) | [📄](05_Incident_Response/Playbooks/Cloud_IAM.th.md) | | 23 | Cryptomining | [📄](05_Incident_Response/Playbooks/Cryptomining.en.md) | [📄](05_Incident_Response/Playbooks/Cryptomining.th.md) | | 27 | Cloud Storage Exposure | [📄](05_Incident_Response/Playbooks/Cloud_Storage_Exposure.en.md) | [📄](05_Incident_Response/Playbooks/Cloud_Storage_Exposure.th.md) | | 29 | Shadow IT | [📄](05_Incident_Response/Playbooks/Shadow_IT.en.md) | [📄](05_Incident_Response/Playbooks/Shadow_IT.th.md) | | 31 | AWS EC2 Compromise | [📄](05_Incident_Response/Playbooks/AWS_EC2_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/AWS_EC2_Compromise.th.md) | | 32 | AWS S3 Compromise | [📄](05_Incident_Response/Playbooks/AWS_S3_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/AWS_S3_Compromise.th.md) | | 33 | Azure AD Compromise | [📄](05_Incident_Response/Playbooks/Azure_AD_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/Azure_AD_Compromise.th.md) | | 41 | VPN Abuse | [📄](05_Incident_Response/Playbooks/VPN_Abuse.en.md) | [📄](05_Incident_Response/Playbooks/VPN_Abuse.th.md) | | 47 | Cloud Cryptojacking | [📄](05_Incident_Response/Playbooks/Cloud_Cryptojacking.en.md) | [📄](05_Incident_Response/Playbooks/Cloud_Cryptojacking.th.md) |

📦 Data & Supply Chain — Exfiltration, log clearing, supply chain, data staging

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 08 | Data Exfiltration | [📄](05_Incident_Response/Playbooks/Data_Exfiltration.en.md) | [📄](05_Incident_Response/Playbooks/Data_Exfiltration.th.md) | | 20 | Log Clearing | [📄](05_Incident_Response/Playbooks/Log_Clearing.en.md) | [📄](05_Incident_Response/Playbooks/Log_Clearing.th.md) | | 21 | Supply Chain Attack | [📄](05_Incident_Response/Playbooks/Supply_Chain_Attack.en.md) | [📄](05_Incident_Response/Playbooks/Supply_Chain_Attack.th.md) | | 35 | Data Collection | [📄](05_Incident_Response/Playbooks/Data_Collection.en.md) | [📄](05_Incident_Response/Playbooks/Data_Collection.th.md) | | 49 | Typosquatting | [📄](05_Incident_Response/Playbooks/Typosquatting.en.md) | [📄](05_Incident_Response/Playbooks/Typosquatting.th.md) |

📱 Physical & Mobile — Lost device, mobile, OT/ICS, USB, SIM swap

| # | Playbook | EN | TH | |:---:|:---|:---:|:---:| | 19 | Lost/Stolen Device | [📄](05_Incident_Response/Playbooks/Lost_Device.en.md) | [📄](05_Incident_Response/Playbooks/Lost_Device.th.md) | | 28 | Mobile Device Compromise | [📄](05_Incident_Response/Playbooks/Mobile_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/Mobile_Compromise.th.md) | | 30 | OT/ICS Incident | [📄](05_Incident_Response/Playbooks/OT_ICS_Incident.en.md) | [📄](05_Incident_Response/Playbooks/OT_ICS_Incident.th.md) | | 40 | USB Removable Media | [📄](05_Incident_Response/Playbooks/USB_Removable_Media.en.md) | [📄](05_Incident_Response/Playbooks/USB_Removable_Media.th.md) | | 46 | SIM Swap | [📄](05_Incident_Response/Playbooks/SIM_Swap.en.md) | [📄](05_Incident_Response/Playbooks/SIM_Swap.th.md) |

🎯 MITRE ATT&CK Coverage / ความครอบคลุม MITRE ATT&CK¶

Our 53 playbooks cover 12 of 14 MITRE ATT&CK tactics mapped across the full kill chain:

Tactic	ID	Playbooks	Coverage
Reconnaissance	TA0043	PB-50	🟡
Resource Development	TA0042	PB-49	🟡
Initial Access	TA0001	PB-01, 10, 17, 42, 43, 44	🟢🟢🟢
Execution	TA0002	PB-02, 03, 11, 39	🟢🟢
Persistence	TA0003	PB-45, 42	🟢
Privilege Escalation	TA0004	PB-07, 36	🟢
Defense Evasion	TA0005	PB-15, 20, 39, 45	🟢🟢
Credential Access	TA0006	PB-04, 05, 26, 36	🟢🟢
Discovery	TA0007	PB-06, 34	🟢
Lateral Movement	TA0008	PB-12	🟡
Collection	TA0009	PB-35	🟡
Command & Control	TA0011	PB-13, 24	🟢
Exfiltration	TA0010	PB-08	🟡
Impact	TA0040	PB-02, 09, 23, 38, 47	🟢🟢

🟢🟢🟢 = 4+ playbooks | 🟢🟢 = 2-3 playbooks | 🟢 = 2 playbooks | 🟡 = 1 playbook

🔍 Detection & Threat Intelligence / การตรวจจับและข่าวกรองภัยคุกคาม¶

Sigma Detection Rules (36 Rules)¶

Ready-to-import rules mapped to MITRE ATT&CK. See full index: README | ดัชนี (TH)

Category	Rule Examples	Count
Windows	Failed logins, admin group add, log clearing, PowerShell	8
Cloud	Impossible travel, root login, MFA bypass, mining	10
Network	DNS tunneling, beaconing, large upload, OT anomaly	5
Web/API	SQLi, WAF exploit, API abuse, zero-day, rate limit	5
File/Proc	Ransomware rename, USB bulk copy, crypto indicators	5

YARA Rules (15 Rules)¶

File-based threat detection: YARA Index | File Signatures

Threat Intelligence¶

Document	English	ภาษาไทย
Threat Intelligence Lifecycle	Read	อ่าน
TI Feeds Integration	Read	อ่าน
Detection Rule Testing SOP	Read	อ่าน
Detection Engineering Lifecycle	Read	อ่าน

📊 Operations / การปฏิบัติงาน¶

👥 Team & Daily Operations / ทีมและงานประจำวัน¶

Document	English	ภาษาไทย
SOC Team Structure	Read	อ่าน
Shift Handoff SOP	Read	อ่าน
SOC Checklists (Daily/Weekly/Monthly)	Read	อ่าน
SOC Metrics & KPIs	Read	อ่าน
📈 KPI Dashboard Template	Read	อ่าน
📊 Log Source Matrix	Read	อ่าน
Log Source Onboarding	Read	อ่าน
🤖 SOC Automation Catalog	Read	อ่าน
🔧 Alert Tuning SOP	Read	อ่าน
📊 SOC Capacity Planning	Read	อ่าน

🔍 Security Monitoring / การเฝ้าระวัง¶

Document	English	ภาษาไทย
🌐 Network Security Monitoring	Read	อ่าน
☁️ Cloud Security Monitoring	Read	อ่าน
🔒 Data Loss Prevention (DLP)	Read	อ่าน
🕵️ Insider Threat Program	Read	อ่าน

📡 Threat Intelligence & Hunting / ข่าวกรองภัยคุกคาม¶

Document	English	ภาษาไทย
Threat Intelligence Lifecycle	Read	อ่าน
TI Feeds Integration	Read	อ่าน
🌍 Threat Landscape Report	Read	อ่าน
Detection Rule Testing SOP	Read	อ่าน
Detection Engineering Lifecycle	Read	อ่าน

🏛️ Risk & Governance / ความเสี่ยงและธรรมาภิบาล¶

Document	English	ภาษาไทย
🛡️ Vulnerability Management	Read	อ่าน
🔗 Third-Party Risk	Read	อ่าน
🎯 SOC Maturity Assessment	Read	อ่าน
SOC Assessment Checklist	Read	อ่าน
SLA Template	Read	อ่าน
Vendor/Tool Evaluation	Read	อ่าน

📜 Policies & Processes / นโยบายและกระบวนการ¶

Document	English	ภาษาไทย
Data Handling Protocol	Read	อ่าน
Change Management SOP	Read	อ่าน
Access Control Policy	Read	อ่าน
Communication SOP	Read	อ่าน

🔧 Platform & Tools / แพลตฟอร์มและเครื่องมือ¶

Document	English	ภาษาไทย
Data Governance & Retention	Read	อ่าน
Deployment Procedures	Read	อ่าน
Integration Hub	Read	อ่าน
Troubleshooting	Read	อ่าน

🎯 Testing & Training / การทดสอบและฝึกอบรม¶

Simulation & Purple Team / การจำลองและทดสอบ¶

Document	English	ภาษาไทย
🟣 Purple Team Exercise Guide	Read	อ่าน
Purple Team Exercises (9 exercises)	Read	อ่าน
Tabletop Exercises (5 scenarios)	Read	อ่าน
🎣 Phishing Simulation Program	Read	อ่าน
Simulation Guide	Read	อ่าน
Atomic Test Map (MITRE)	Read	อ่าน

Analyst Training / การฝึกอบรม¶

Document	English	ภาษาไทย
👤 SOC Analyst Onboarding (90-day)	Read	อ่าน
Analyst Onboarding (5-day path)	Read	อ่าน
Training Checklist	Read	อ่าน
📋 Playbook Quick Reference	EN	TH

🏛️ Compliance & Reporting / การปฏิบัติตามกฎหมายและรายงาน¶

Compliance¶

Document	English	ภาษาไทย
Compliance Mapping (ISO 27001 / NIST CSF / PCI DSS)	Read	อ่าน
ISO 27001 Controls Mapping	Read	อ่าน
PCI-DSS SOC Requirements	Read	อ่าน
NIST CSF 2.0 Mapping	Read	อ่าน
PDPA Incident Response (72-hr notification)	Read	อ่าน
PDPA Compliance	Read	อ่าน
📝 Compliance Gap Analysis	Read	อ่าน
Data Governance Policy	Read	อ่าน

Reports & Dashboards¶

Document	English	ภาษาไทย
Monthly SOC Report	Read	อ่าน
Quarterly Business Review	Read	อ่าน
Executive Dashboard	Read	อ่าน

Templates / แบบฟอร์มพร้อมใช้¶

Template	English	ภาษาไทย
Incident Report	Read	อ่าน
Shift Handover Log	Read	อ่าน
Change Request (RFC)	Read	อ่าน

🛠️ Tools / เครื่องมือ¶

Interactive (Open in Browser)¶

Tool	Description
SOC Maturity Scorer	Self-assessment: 7 domains, 56 questions, bilingual EN/TH, scored 1–5
MITRE ATT&CK Heatmap	Coverage map: 19 techniques, gap analysis, click-to-detail

Dashboards (Import to SIEM)¶

Dashboard	Format	Panels
Grafana SOC Operations	JSON (Import → Dashboards)	14
Kibana SOC Operations	NDJSON (Import → Saved Objects)	11
ATT&CK Navigator Layer	JSON (Import → Navigator)	—

CLI Scripts¶

Script	Usage
export_docs.py	`python3 tools/export_docs.py` — Merge all docs into single Markdown
new_playbook.py	`python3 tools/new_playbook.py` — Generate new playbook from template
check_links.py	`python3 tools/check_links.py` — Validate internal links
validate_sigma.py	`python3 tools/validate_sigma.py` — Lint Sigma rules

📚 Full Manual / คู่มือฉบับเต็ม¶

For offline reading or printing, download the consolidated manual:

📖 SOC_Manual_Consolidated.md — All 279 documents in one file

📋 Version & Tracking / เวอร์ชันและการติดตาม¶

Resource	Description
📝 CHANGELOG.md	All changes by version (Keep a Changelog format)
📋 VERSION_TRACKER.md	Every document's version, last update, and next review date
Current Version	v2.13.0 (2026-03-06)

Contributing / การมีส่วนร่วม¶

Standardization — Keep procedures vendor-agnostic where possible
Bilingual — Maintain both English (.en.md) and Thai (.th.md) versions
Review — Changes should be reviewed by SOC Managers or Lead Engineers
Versioning — Update CHANGELOG.md and VERSION_TRACKER.md with every change

👤 About the Author / ผู้เขียน¶

Nutthakorn Chalaemwongwan [Pop]
🛡️ SOC Architect · Cybersecurity Educator · Open-Source Advocate

"Security is a process, not a product." — I created this repository to democratize SOC knowledge, making enterprise-grade security operations accessible to everyone — in both English and Thai.

🎓 Training & Consulting / อบรมและที่ปรึกษา¶

Looking to build, improve, or scale your Security Operations Center? I offer hands-on, practical training and consulting services:

📖 View Full Course Catalog → — 6 หลักสูตร, detailed modules, learning outcomes

🎯 Service	Description
🏗️ SOC Building Workshop	ออกแบบและจัดตั้ง SOC ตั้งแต่ศูนย์ — architecture, staffing, tools, processes
📚 SOC Analyst Bootcamp	หลักสูตร intensive สำหรับ Tier 1–3 — triage, investigation, hunting, SOAR
🔥 Incident Response Drill	ซ้อม tabletop exercise + purple team ด้วย scenario จริง
📊 SOC Maturity Assessment	ประเมิน SOC ปัจจุบัน 7 domains พร้อมแผน roadmap ปรับปรุง
📋 Compliance & Gap Analysis	ประเมิน ISO 27001 / NIST CSF / PDPA gap พร้อม remediation plan
🎤 Speaking & Workshops	บรรยาย, workshop, guest lecture ด้าน cybersecurity

📬 Contact / ช่องทางติดต่อ¶

📌 View my full profile, certifications, and experience on LinkedIn

⭐ If this repository helps your SOC, please give it a star!
สร้างด้วย 🛡️ เพื่อ SOC community ไทยและทั่วโลก