O que é a estrutura de tiers de um SOC?

Um Security Operations Center (SOC) é o núcleo operacional da cibersegurança de uma organização — a equipe que monitora, detecta e responde a ameaças em tempo real. A estrutura de tiers divide essa equipe em níveis de especialização crescente, permitindo que cada analista opere no limite de sua capacidade sem desperdiçar expertise avançada em tarefas rotineiras.

O modelo de três camadas — L1, L2 e L3 — nasceu da necessidade prática de processar volumes massivos de alertas (um SOC de médio porte recebe de 10.000 a 500.000 alertas por dia) sem sobrecarregar os analistas mais especializados. Cada nível recebe o trabalho adequado ao seu perfil, e o escalonamento entre tiers segue critérios definidos em playbooks. Compreender essa estrutura é essencial tanto para construir um SOC interno quanto para avaliar a maturidade de um provedor MDR.

Tier 1 — Analista de Triagem e Monitoramento

O analista L1 é a primeira linha de resposta. Seu trabalho principal é monitorar o painel do SIEM em tempo real, classificar alertas de acordo com playbooks predefinidos e tomar as primeiras ações de contenção automatizáveis. Não se trata de trabalho simples: é exigida atenção sustentada sob alto volume de informação e capacidade de distinguir, com rapidez, ruído de sinal relevante.

Responsabilidades centrais do L1:

  • Monitoramento contínuo de alertas do SIEM, EDR, firewall e soluções de e-mail security.
  • Triagem e classificação inicial: verdadeiro positivo, falso positivo ou inconclusivo.
  • Execução de playbooks de resposta automatizáveis: bloqueio de IP, isolamento de endpoint, reset de credencial.
  • Documentação detalhada do incidente no sistema de tickets (ServiceNow, JIRA, TheHive etc.).
  • Escalonamento imediato para L2 quando o alerta exceder os critérios de triagem definidos.

Perfil e skills esperados: Conhecimento de redes TCP/IP, familiaridade com SIEM (Splunk, Microsoft Sentinel, IBM QRadar), entendimento básico de vetores de ataque comuns (phishing, brute force, C2) e capacidade de leitura de logs. Certificações como CompTIA Security+ e SANS SEC401 são pontos de partida adequados.

Limitação estrutural: L1 não investiga além do que os playbooks cobrem. Quando um alerta exige correlação histórica, análise de memória, reversão de malware ou decisão de negócio, ele deve escalar — não improvisar.

Tier 2 — Analista de Investigação e Resposta a Incidentes

O analista L2 recebe alertas escalados pelo L1 e conduz investigação aprofundada. Ele correlaciona eventos, reconstrói a linha do tempo de um ataque, determina o escopo do comprometimento e coordena a resposta contida — contenção, erradicação e recuperação — conforme o NIST SP 800-61 Rev. 2.

Responsabilidades centrais do L2:

  • Investigação de incidentes escalados: correlação de logs, análise de artefatos, reconstrução de cadeia de ataque.
  • Classificação de severidade definitiva e escopo de impacto (número de sistemas, dados afetados, usuários comprometidos).
  • Execução das fases de contenção e erradicação: isolamento de sistemas, remoção de malware, revogação de acessos.
  • Comunicação com gestores de TI e times de negócio durante incidentes ativos.
  • Produção de relatório pós-incidente com causa raiz e recomendações de melhoria.
  • Feedback para L1: atualização de playbooks e critérios de triagem baseados nos casos investigados.

Perfil e skills esperados: Análise forense básica (Autopsy, Volatility), uso avançado de SIEM, familiaridade com MITRE ATT&CK para mapeamento de táticas e técnicas, scripting em Python ou PowerShell para automação de coleta de evidências. Certificações relevantes: GCIA (SANS), CEH, CySA+ (CompTIA), SC-200 (Microsoft).

Tier 3 — Threat Hunter e Analista Forense Avançado

O L3 é o nível mais especializado da operação. Sua atuação é predominantemente proativa: em vez de reagir a alertas, ele parte de hipóteses baseadas em inteligência de ameaças (threat intel) para caçar adversários que já estão dentro da rede sem disparar alertas. Quando um incidente grave ocorre, o L3 conduz a análise forense completa e pode ser o ponto de contato com autoridades ou com clientes afetados em contextos MDR.

Responsabilidades centrais do L3:

  • Threat hunting estruturado: criação de hipóteses baseadas em TTPs do MITRE ATT&CK e execução de buscas no SIEM/EDR para validá-las.
  • Análise forense digital: imagens de disco, análise de memória volátil, timeline forense, preservação de cadeia de custódia.
  • Análise de malware: reversão estática e dinâmica, extração de IoCs, identificação de famílias de ameaça.
  • Engenharia de detecção: criação e ajuste de regras SIEM, regras YARA, assinaturas Sigma e políticas de EDR.
  • Consumo e produção de threat intelligence: análise de feeds, contextualização para o ambiente do cliente, relatórios táticos e estratégicos.
  • Suporte a investigações de alto impacto e mentoria técnica para L1 e L2.

Perfil e skills esperados: Reversão de malware (IDA Pro, Ghidra), forense de memória (Volatility3), scripting avançado, conhecimento profundo de sistemas operacionais Windows e Linux em nível de kernel. Certificações: GCFE, GCFA, GREM, OSCP, CHFI.

Papéis além dos tiers de analista

A estrutura de um SOC maduro vai além dos três tiers de analistas. Os papéis a seguir são igualmente críticos para a operação funcionar:

Papel Função principal Interação com tiers
SOC Manager Gestão operacional da equipe, SLAs, relatórios executivos, orçamento Supervisiona todos os tiers; interface com C-level
Engenheiro de Detecção Desenvolvimento e manutenção de regras SIEM, integrações de fontes de log Suporta L3; entrega capacidades para L1/L2
Analista de Threat Intelligence Coleta, processamento e distribuição de inteligência de ameaças Alimenta hipóteses de L3 e playbooks de L1/L2
Arquiteto de Segurança Design da stack tecnológica do SOC (SIEM, SOAR, EDR, NDR) Define as ferramentas que todos os tiers usam
Gerente de Vulnerabilidades Priorização e acompanhamento de remediação de CVEs Contexto de exposição para L2/L3 em investigações

Fluxo de escalonamento entre tiers

O escalonamento eficiente é o sistema circulatório de um SOC. Sem critérios claros, dois problemas opostos emergem: L1 escalando demais (sobrecarregando L2 com casos triviais) ou escalando de menos (incidentes reais perdem tempo crítico na triagem).

O fluxo canônico segue quatro estágios:

  1. Alerta gerado: SIEM, EDR, firewall ou outra fonte dispara evento. L1 recebe e aplica playbook correspondente.
  2. Triagem L1: Em até 15 a 30 minutos (conforme SLA), L1 classifica como falso positivo (fecha com justificativa), verdadeiro positivo tratável (executa contenção automatizada) ou verdadeiro positivo que excede o escopo do playbook (escala para L2).
  3. Investigação L2: L2 recebe o ticket com toda a documentação de L1, aprofunda a análise e determina escopo. Se a investigação revelar comprometimento avançado, ameaça persistente ou necessidade de análise forense, escalona para L3.
  4. Atuação L3 e fechamento: L3 conduz as análises especializadas necessárias, produz relatório técnico e alimenta o ciclo de melhoria: novas regras de detecção, playbooks atualizados e lições aprendidas para L1 e L2.

Métricas-chave por tier

Medir a performance de cada nível é indispensável para identificar gargalos e calibrar o dimensionamento da equipe. As métricas a seguir são referenciadas pelo SANS e pelo Gartner como indicadores de maturidade operacional:

Tier Métrica Referência de maturidade
L1 MTTD (Mean Time to Detect) Abaixo de 15 minutos para alertas críticos
L1 Taxa de falsos positivos Abaixo de 30% do total de alertas
L1 Alertas tratados por analista/dia 20–50 (varia por complexidade do ambiente)
L2 MTTR (Mean Time to Respond) Abaixo de 4 horas para incidentes de alta severidade
L2 Taxa de contenção no primeiro escalonamento Acima de 70%
L3 Novas regras de detecção criadas por mês Mínimo 2–4 regras validadas
L3 Cobertura MITRE ATT&CK Acima de 60% das táticas monitoradas ativamente
Geral Dwell time (tempo do adversário na rede) Mediana abaixo de 14 dias (referência Mandiant M-Trends)

O modelo está evoluindo: automação, SOAR e o SOC tierless

A estrutura clássica de três tiers foi concebida para um mundo onde alertas eram investigados manualmente, um por um. Com a adoção de plataformas SOAR (Security Orchestration, Automation and Response) como Splunk SOAR, Palo Alto XSOAR e Microsoft Sentinel Automation, entre 60% e 80% das tarefas de L1 passam a ser executadas por playbooks automatizados — enriquecimento de IoCs via VirusTotal e MISP, bloqueio automático em firewall, criação de ticket e notificação do usuário afetado.

Isso tem dois efeitos estruturais. O primeiro é a compressão do L1: SOCs com SOAR maduro precisam de menos analistas de primeiro nível, ou redirecionam esses analistas para funções de maior valor. O segundo é a pressão por analistas multidisciplinares que consigam tratar um incidente do início ao fim, sem depender de escalonamento rígido.

Esse contexto gerou o modelo tierless, adotado por SOCs de vanguarda como o de alguns provedores MDR globais e equipes internas de grandes empresas de tecnologia. No tierless, a equipe é organizada por domínio de especialidade (endpoint security, identidade, cloud, OT/IoT etc.), e cada analista tem ownership completo do caso que recebe. Playbooks automatizados lidam com o trabalho de triagem, e os humanos se concentram exclusivamente em julgamento contextual.

O modelo tierless não elimina a necessidade de senioridade diferenciada — ele apenas remove a hierarquia rígida como mecanismo de roteamento de trabalho. Analistas júnior ainda precisam de mentoria e cobertura em casos complexos, mas a estrutura formal de L1/L2/L3 cede espaço a squads especializados com perfis mistos.

Para a maioria das organizações brasileiras, o modelo de três tiers ainda é o ponto de partida mais adequado. A questão não é escolher entre tiered e tierless, mas evoluir o modelo à medida que automação e maturidade da equipe avançam.

SOC próprio vs. MDR: a decisão estrutural

Montar um SOC interno com cobertura 24x7 exige, no mínimo, 8 a 12 analistas apenas para garantir os turnos (considerando L1, L2 e gestão), além de investimento em SIEM, EDR, SOAR e infraestrutura de logging. Para organizações com menos de 500 a 1.000 colaboradores, o custo de um SOC próprio raramente se justifica frente ao custo de oportunidade.

O MDR (Managed Detection and Response) entrega a estrutura de tiers como serviço, com analistas especializados, tecnologia integrada e SLAs contratuais de detecção e resposta. A principal vantagem não é o custo menor, mas a velocidade de ativação e a maturidade imediata — um MDR bem estruturado começa a operar com cobertura L1/L2/L3 no dia da ativação.

O modelo híbrido é cada vez mais comum: a organização mantém um analista interno sênior (L2/L3) para contexto de negócio e relacionamento com times de TI, enquanto delega o monitoramento 24x7 e o threat hunting para o provedor MDR. Esse arquétipo é especialmente eficaz para empresas em crescimento que precisam de cobertura completa antes de ter massa crítica para um SOC próprio.

Referências

  • SANS Institute — SOC Survey Report (anual); SEC511: Continuous Monitoring and Security Operations
  • NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide
  • Gartner — Market Guide for Managed Detection and Response Services (2024)
  • MITRE ATT&CK — Enterprise Framework v14
  • Mandiant (Google Cloud) — M-Trends Annual Threat Report
  • Carnegie Mellon SEI — CERT SOC Maturity Model

Perguntas frequentes

Qual é a diferença entre analista L1, L2 e L3 em um SOC?

O analista L1 realiza triagem inicial de alertas e aplica playbooks predefinidos. O L2 investiga alertas escalados, conduz análise de causa raiz e coordena a resposta a incidentes. O L3 atua em threat hunting proativo, análise forense avançada e desenvolvimento de novas capacidades de detecção. A principal distinção está no grau de autonomia e profundidade técnica exigidos em cada nível.

Quantos analistas L1 são necessários para cada analista L2?

A proporção típica em SOCs maduros é de 3 a 5 analistas L1 por analista L2. Essa relação depende do volume de alertas, do nível de automação via SOAR e da taxa de escalonamento aceitável. SOCs com SOAR bem configurado podem operar com proporções menores, pois automação absorve parcela significativa do trabalho de triagem.

O que é um modelo de SOC tierless (sem tiers)?

No modelo tierless, a distinção rígida entre L1, L2 e L3 é eliminada em favor de equipes multidisciplinares organizadas por domínio. Cada analista trata um incidente do início ao fim, eliminando o gargalo de escalonamento. Esse modelo requer analistas com perfil mais amplo e é viabilizado pela automação de tarefas repetitivas via SOAR e IA.

Quais métricas definem a performance de cada tier do SOC?

Para L1, as métricas centrais são MTTD, taxa de falsos positivos e volume de alertas por analista/hora. Para L2, destacam-se MTTR, taxa de contenção no primeiro escalonamento e precisão no fechamento de incidentes. Para L3, as métricas incluem número de novas regras de detecção criadas, cobertura MITRE ATT&CK e achados gerados por threat hunting.

Vale mais a pena ter um SOC próprio ou contratar um MDR?

SOC próprio oferece controle total sobre dados, customização de regras e conhecimento aprofundado do ambiente, mas requer investimento alto em pessoal e tecnologia 24x7. MDR entrega cobertura imediata, equipe especializada e custo previsível — especialmente adequado para empresas sem escala para sustentar um SOC interno. Muitas organizações adotam modelo híbrido: contexto interno com cobertura MDR para horários alternativos e especialidades específicas.

Como a automação e o SOAR afetam a estrutura de tiers do SOC?

Plataformas SOAR automatizam até 80% das tarefas de L1, reduzindo a necessidade de analistas de primeiro nível para trabalho manual e deslocando o valor humano para investigação contextual e criação de inteligência. O efeito prático é a valorização de analistas com habilidades analíticas profundas e o surgimento do modelo tierless em SOCs mais maduros.


A Decripte opera um SOC 24x7 gerenciado com estrutura completa de tiers — de analistas L1 de triagem a L3 de threat hunting e forense — atendendo organizações de 1 a mais de 100.000 colaboradores. Conheça o plano de gerenciamento adequado ao seu porte ou comece gratuitamente com a análise de ameaças ao seu domínio.