คู่มือเริ่มต้นด่วน — สร้าง SOC ใน 30 นาที (Quickstart Guide)
คู่มือนี้แสดง เส้นทางที่เร็วที่สุด ในการอ่านเอกสารทั้ง Repository ทำตามขั้นตอนเพื่อทำความเข้าใจและตั้ง SOC ตั้งแต่เริ่มต้น
แผนที่การอ่าน (Reading Roadmap)
graph TD
START[🚀 เริ่มตรงนี้] --> S1[1. SOC 101]
S1 --> S2[2. โครงสร้างทีม]
S2 --> S3[3. ติดตั้งโครงสร้างพื้นฐาน]
S3 --> S4[4. กรอบ IR]
S4 --> S5[5. Playbook 5 ชุดแรก]
S5 --> S6[6. กฎตรวจจับ]
S6 --> S7[7. ระบบกะ]
S7 --> S8[8. KPI และรายงาน]
S8 --> S9[9. ทดสอบ Purple Team]
S9 --> S10[10. ฝึกอบรม Analyst]
style START fill:#e74c3c,color:#fff
style S5 fill:#2ecc71,color:#fff
style S10 fill:#3498db,color:#fff
ขั้นตอนการอ่าน (Step-by-Step Reading Order)
🔴 สัปดาห์ที่ 1 — ทำความเข้าใจ (อ่านอย่างเดียว)
| ขั้นตอน |
เวลา |
เอกสาร |
สิ่งที่จะเรียนรู้ |
| 1 |
15 นาที |
SOC 101 |
SOC คืออะไร องค์ประกอบหลัก ขั้นตอนการเติบโต |
| 2 |
10 นาที |
คำศัพท์สำคัญ |
ศัพท์เทคนิค (SIEM, EDR, IOC, TTP เป็นต้น) |
| 3 |
10 นาที |
โครงสร้างทีม SOC |
บทบาท จำนวนคน เส้นทางอาชีพ |
🟠 สัปดาห์ที่ 2 — วางแผน (ออกแบบ SOC ของคุณ)
🟡 สัปดาห์ที่ 3 — สร้าง (ทำกระบวนการหลัก)
| ขั้นตอน |
เวลา |
เอกสาร |
สิ่งที่จะเรียนรู้ |
| 7 |
20 นาที |
กรอบ IR |
วิธีจัดการ Incident ตั้งแต่ต้นจนจบ |
| 8 |
30 นาที |
Playbook 5 ชุดแรก (ดูด้านล่าง) |
วิธีตอบสนองต่อการโจมตีที่พบบ่อย |
| 9 |
15 นาที |
Detection Rules |
กฎ Sigma สำเร็จรูปพร้อม Deploy |
| 10 |
10 นาที |
Integration Hub |
วิธีเชื่อมต่อเครื่องมือเข้าด้วยกัน |
🟢 สัปดาห์ที่ 4 — เปิดใช้งาน (Go Live)
Playbook 5 ชุดที่ต้องเริ่มก่อน
เริ่มจากชุดนี้ — ครอบคลุม 80% ของ Incident ในโลกจริง:
SOC Maturity Roadmap
graph TD
subgraph Phase1["Phase 1: คลาน (เดือน 1-3)"]
A1[Deploy SIEM]
A2[นำเข้า Log 10 แหล่ง]
A3[จ้างคน 3-5 คน]
A4[กำหนดขั้นตอน Escalation]
end
subgraph Phase2["Phase 2: เดิน (เดือน 3-6)"]
B1[เปิดใช้ Detection Rules 10 กฎ]
B2[เปิดใช้ Playbook 5 ชุด]
B3["จัดตารางกะ (8x5)"]
B4["FP Rate < 30%"]
end
subgraph Phase3["Phase 3: วิ่ง (เดือน 6-12)"]
C1[ใช้ Playbook ครบ 50 ชุด]
C2[EDR ครบทุก Endpoint]
C3[Purple Team ครั้งแรก]
C4[รายงาน KPI รายเดือน]
end
subgraph Phase4["Phase 4: วิ่งเร็ว (ปี 1-2)"]
D1[โปรแกรม Threat Hunting]
D2[Threat Intel Feeds]
D3[SOAR Automation]
D4[MITRE ATT&CK Coverage Map]
end
subgraph Phase5["Phase 5: บิน (ปี 2+)"]
E1["SOC-CMM Level 3+"]
E2["Triage อัตโนมัติ 80%+"]
E3[Detection-as-Code CI/CD]
E4[SOC Assessment ประจำปี]
end
Phase1 --> Phase2 --> Phase3 --> Phase4 --> Phase5
style Phase1 fill:#e74c3c,color:#fff
style Phase2 fill:#e67e22,color:#fff
style Phase3 fill:#f1c40f,color:#000
style Phase4 fill:#2ecc71,color:#fff
style Phase5 fill:#3498db,color:#fff
Minimum Viable SOC Checklist
สิ่งที่ต้องมีอย่างน้อยที่สุดเพื่อเริ่มต้น — "Day 1" ของคุณ:
✅ ถ้าทำครบ 8 ข้อข้างบน คุณก็มี SOC ที่ทำงานได้แล้ว!
คำถามที่พบบ่อย
| # |
คำถาม |
คำตอบ |
| 1 |
ต้องมีกี่คนถึงเริ่ม SOC ได้? |
ขั้นต่ำ 3: T1 2 คน + Manager 1 คน |
| 2 |
ควรใช้ SIEM ตัวไหน? |
งบน้อย: Wazuh (ฟรี) / Enterprise: Splunk, Elastic, Sentinel |
| 3 |
SOC จะ effective ใช้เวลานานแค่ไหน? |
Crawl (3 เดือน), Walk (6 เดือน), Run (12 เดือน) |
| 4 |
ต้อง 24/7 ตั้งแต่วันแรกไหม? |
ไม่ เริ่มจาก 8x5 แล้วขยายเมื่อ maturity เพิ่ม |
| 5 |
ควรสร้าง playbooks ตัวไหนก่อน? |
Phishing, Malware, Brute Force, Account Compromise, Ransomware |
| 6 |
ต้องมี detection rules กี่ตัว? |
เริ่มจาก 5-10 ตัวที่ confidence สูง แล้วค่อยเพิ่ม |
| 7 |
ควร build หรือ buy SOC? |
เริ่มภายใน + MSSP ช่วยถ้างบพอ |
| 8 |
Analyst ต้องมี cert อะไร? |
T1: Security+/CySA+ / T2: GCIH / T3: GCFA/OSCP |
| 9 |
วัดประสิทธิภาพ SOC อย่างไร? |
MTTD, MTTR, FP rate, SLA compliance |
| 10 |
ใช้ repo นี้สำหรับองค์กรได้ไหม? |
ได้! Fork, ปรับแต่ง, contribute back |
References