For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/endpoint/hva-er-et-soc.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Endepunktssikkerhet ↗

Hva er et SOC, og når virksomheten din trenger et eget

En klar gjennomgang av hva et sikkerhetsoperasjonssenter gjør, hva det koster å drifte, og hvorfor de fleste norske SMB-er bør leie i stedet for å bygge.

6 min lesetid Av Kenny Le
What is a SOC, FM CyberSecurity forsidegrafikk

Her er hva et SOC er, og hvorfor de fleste norske SMB-er bør leie ett i stedet for å bygge.

Merk, SOC i denne artikkelen betyr Security Operations Centre, altså sikkerhetsoperasjonssenteret som overvåker for sikkerhetshendelser. Dette har ingenting med SOC 2 å gjøre, som er en amerikansk revisjonsattest på en tjenesteleverandørs kontroller. Er dere her for revisjonsattesten, les heller SOC 2-guiden vår for norske SMB-er som selger til USA.

What is a SOC, FM CyberSecurity

1. Hva et SOC gjør, dag for dag

Et sikkerhetsoperasjonssenter er funksjonen som ser etter tegn på angrep i systemene deres, vurderer hvilke signaler som er reelle, og handler på dem som er det. På en vanlig dag er arbeidet kjedelig med vilje. Analytikerne triagerer alarmer, lukker falske positiver, dokumenterer dem som ser ekte ut, og sender de aktive videre opp i kjeden.

Tre ting må være på plass for at noe skal fortjene navnet SOC. Telemetri kommer inn fra endepunkter, identitet og sky. Et menneske ser på den. Og en runbook bestemmer hva som skjer når noe slår ut. Verktøy uten bemanning blir et dashbord. Bemanning uten verktøy blir en helpdesk. Dere trenger begge deler, døgnet rundt.

2. Regnestykket bak døgnkontinuerlig dekning

Et SOC har bare verdi når noen ser skjermen idet alarmen går, og angripere foretrekker tider på døgnet ingen passer på. Det setter en minstebemanning.

For å holde ett sete bemannet hver time i året, etter vanlig skiftregning, trenger dere rundt fire og en kvart person når dere tar høyde for netter, helger, helligdager, sykedager og opplæring. Skal dere kjøre en levedyktig tier-1 og tier-2-rotasjon med en skiftleder, lander dere på rundt seks til åtte analytikere totalt (sammensatt tall, basert på offentlige referanser som Expels gjennomgang av om man skal bygge selv eller kjøpe tjenesten). Under det får dere enmannsskift og utbrenthet, og da begynner reell skade.

Seks til åtte erfarne sikkerhetsanalytikere på Oslo-lønn, pluss SIEM, EDR, trusseletterretning og administrasjonskostnader, lander på flere millioner NOK i året. Det eksakte tallet avhenger av stack og lønnsbånd, men det er størrelsesordenen som styrer beslutningen.

3. Når et eget SOC er det riktige valget

Det finnes virksomheter der et internt SOC er det rette svaret, og vi skal være ærlige om hvilke.

  • Svært store virksomheter, der kostnaden per ansatt blir liten og volumet av intern telemetri er høyt nok til å holde analytikerne i arbeid.
  • Regulerte aktører med lokaliseringskrav, der telemetri rettslig ikke kan forlate landet eller virksomheten.
  • Forsvar, etterretning eller operatører av kritisk infrastruktur, der sensitiviteten er så høy at utenforstående ikke kan se konsollen.
  • Virksomheter med en eksisterende 24/7-driftsbro, for eksempel et NOC, der det å legge sikkerhetsanalytikere inn i vaktturnusen er en utvidelse og ikke et grøntfelt.

Er dere ikke en av disse, går regnestykket sjelden opp.

4. Alternativet, managed detection and response

For alle andre er rett form managed detection and response. MDR er en tjeneste der en leverandørs analytikere driver 24/7-broen på en plattform begge parter har tilgang til. Dere beholder forretningskonteksten, de holder nattevakten bemannet.

Vi leverer MDRCrowdStrike Falcon. Døgnvakten driftes av CrowdStrike Falcon Complete Next-Gen MDR, CrowdStrike sitt eget globale team som jobber på Falcon-plattformen. Det er de som ser konsollen klokken 03:40 en søndag. Vi har ikke bygget det teamet, og vi bemanner det ikke. FM CyberSecurity er sertifisert CrowdStrike-partner i Norge, og arbeidet vårt ligger på hver side av broen, altså onboarding, sensorjustering og lokal eskalering på norsk når noe hos en norsk kunde krever en forretningsbeslutning. FM CyberSecurity bemanner ikke broen, og vi vil ikke påstå at vi gjør det.

Vil dere ha det lengre resonnementet, se hvorfor vi valgte CrowdStrike Falcon for moderne MDR og hva Falcon-plattformen er.

5. En beslutningsregel for IT-sjefen som leser dette

Valget får plass på én linje. Har dere under hundre ansatte, ingen 24/7-driftsfunksjon fra før, og ingen regel som krever at telemetri blir i landet, så er dere MDR-kjøpere, ikke SOC-byggere. Treffer dere alle tre motsatt vei, er det bygging dere ser på, og det er en styreinvestering, ikke en IT-budsjettpost.

Halvveis-svarene, deltidsanalytikeren, SOC bare i kontortid, planen om at “vi tar helgene senere”, er det verste utfallet. Da produserer dere alarmer ingen leser etter fredag ettermiddag.

6. Hva dere gjør denne uken

Tre konkrete steg for en norsk IT-sjef i en SMB som har lest så langt.

  • Kartlegg dagens dekning. Skriv ned hvem som svarer på en sikkerhetsalarm klokken 22:00 en lørdag i dag. Er svaret “ingen”, har dere funnet gapet.
  • Skaff oversikt over endepunkt- og identitetstelemetri. Hva ligger på laptopene, hva ligger på identitetsplattformen, hva ligger i skyloggene. MDR fungerer best når det er signal å lese.
  • Få én uavhengig vurdering på hvilken form som passer. Bygge, leie eller hybrid. Tretti minutter med noen som har gjort det for andre norske virksomheter er nok til å sette retning før dere binder budsjett.

Neste steg

Ta kontakt med Kenny i detection and response-praksisen vår for en tretti-minutters vurdering av endepunkt- og identitetsdekningen deres, og om MDR eller et selvbygget SOC passer formen dere har. Vi sier rett ut hvis MDR er feil svar for dere.

Hvis dette traff:

  • Les hvorfor vi valgte CrowdStrike Falcon for moderne MDR for plattformresonnementet bak tjenesten.
  • Send saken videre til CFO-en før de godkjenner en SOC-business case. Bemanningsregnestykket er delen som vanligvis blir glemt.
  • Send Kenny en melding for en tretti-minutters vurdering av dagens dekning.

FAQ

Hvor mange analytikere trenger et 24/7-SOC?

Etter vanlig skiftregning trenger dere rundt fire og en kvart person bare for å holde ett sete bemannet hver time i året, når dere tar høyde for netter, helger, helligdager, sykefravær og opplæring. Et levedyktig SOC med tier-1, tier-2 og en skiftleder er nærmere seks til åtte analytikere totalt. Under det havner dere på enmannsskift og utbrenthet, og det er verre enn ingen SOC, for da produserer dere alarmer ingen er i stand til å handle på.

Er MDR det samme som et SOC?

MDR er en måte å kjøpe SOC-formede utfall på uten å bemanne broen selv. Leverandørens analytikere ser plattformen, triagerer deteksjoner og inneslutter trusler på vegne av dere, mens dere beholder forretningskonteksten og siste ord på forstyrrende handlinger. Dere trenger fortsatt noen på deres side som er ansvarlig for relasjonen, leser ukerapporten og bestemmer hva som skal eskaleres til virksomheten. Det er noen få timer i uka av en IT-leder, ikke en 24/7-turnus.

Krever NIS2 at vi har et SOC?

NIS2 nevner ikke SOC som en kontroll. Direktivet krever risikostyring, hendelseshåndtering og rettidig hendelsesrapportering etter artikkel 21, og forventer at tiltakene står i forhold til virksomhetens størrelse og risiko. En omfattet SMB kan dekke det med MDR pluss en dokumentert hendelsesprosess, dere trenger altså ikke å bygge en bro for å være i samsvar. Den norske innlemmelsen er fortsatt under arbeid, så bekreft tidslinjen med compliance-ansvarlig.

Hva er FM CyberSecuritys rolle hvis CrowdStrike driver broen?

Vi tar onboarding, sensorjustering og lokal eskalering. Onboarding får sensorene ut på flåten og policyene tilpasset stacken deres, og det er der mesteparten av støyen forsvinner. Justering er den utakknemlige jobben med å lære plattformen hva som er kjent-greit på deres endepunkter. Lokal eskalering er samtalen på norsk når CrowdStrikes team bekrefter noe som krever en forretningsbeslutning hos dere. FM CyberSecurity bemanner ikke en 24/7-bro, og vi vil ikke påstå at vi gjør det.

Når bør vi vurdere valget mellom å bygge og å leie på nytt?

Når dere krysser en terskel som endrer forutsetningene. Dere vokser forbi noen hundre ansatte, tar på dere en regulert arbeidsbelastning med lokaliseringskrav, kjøper opp et selskap som allerede har et SOC, eller setter opp en 24/7-driftsfunksjon av andre grunner enn sikkerhet. Utenom de utløserne er beslutningen stabil, og MDR skalerer videre med dere uten et trinnskifte i kostnad.

Mer om Endepunktssikkerhet

15. mai 2026 · Endepunktssikkerhet
Hva er et SOC, og når virksomheten din trenger et eget

En klar gjennomgang av hva et sikkerhetsoperasjonssenter gjør, hva det koster å drifte, og hvorfor de fleste norske SMB-er bør leie i stedet for å bygge.

14. mai 2026 · Endepunktssikkerhet
Hva er SIEM, og når SMB-en din trenger en

De fleste norske SMB-er trenger ikke et eget SIEM. Her er når dere trenger ett, når EDR-en allerede dekker det, og hva dere gjør videre.

13. mai 2026 · Endepunktssikkerhet
EDR og antivirus, hva forskjellen er, og hva virksomheten din trenger

Antivirus melder fra om en kjent ond fil. EDR viser hva angriperen gjorde videre. Mot moderne angrep trenger du det andre svaret.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →