SOC Standard Operating Procedures

Vendor-agnostic SOC SOPs — Bilingual EN/TH — Build a SOC from Zero
ระเบียบปฏิบัติมาตรฐานสำหรับ SOC — ภาษาอังกฤษ/ไทย — สร้าง SOC ตั้งแต่ศูนย์

---

📍 Start Here / เริ่มต้นที่นี่

New to SOC? Read these two documents first — they'll guide you through everything else.

เพิ่งเริ่มต้น? อ่าน 2 เอกสารนี้ก่อน แล้วจะรู้ว่าต้องอ่านอะไรต่อ

	Document	English	ภาษาไทย
1️⃣	SOC 101 — SOC คืออะไร?	Read	อ่าน
2️⃣	Quickstart Guide — สร้าง SOC ใน 30 นาที	Read	อ่าน
📖	Glossary — คำศัพท์ที่ต้องรู้	Read	อ่าน

---

📊 What's Inside / สิ่งที่มีในโปรเจกต์นี้

Category	Count	Highlights
📄 Documents (EN+TH)	279	Bilingual, vendor-agnostic SOPs
🛡️ IR Playbooks	53	PB-01 Phishing → PB-50 Unauthorized Scanning, MITRE mapped
🔍 Sigma Detection Rules	54	Ready-to-import SIEM rules
🧬 YARA Rules	15	File-based threat detection
📋 Templates	6	Incident report, shift log, RFC, dashboards
🧰 Interactive Tools	2	SOC Maturity Scorer + MITRE Heatmap
📊 Dashboard JSON	2	Grafana (14 panels) + Kibana (11 panels)

---

🏗️ Building a SOC from Zero / สร้าง SOC ตั้งแต่ศูนย์

Start here if you're building a brand-new SOC. Follow the numbered order.

#	Document	English	ภาษาไทย
1	SOC Building Roadmap 🗺️	Read	อ่าน
2	Budget & Staffing 💰	Read	อ่าน
3	Technology Stack Selection 🔧	Read	อ่าน
4	Infrastructure Setup 🖥️	Read	อ่าน
5	Use Case Prioritization 🎯	Read	อ่าน
6	Analyst Training Path (6 months) 🎓	Read	อ่าน
7	SOC Infrastructure Activation ⚡	Read	อ่าน

---

🛡️ Incident Response / การตอบสนองต่อเหตุการณ์

Core Framework / กรอบงานหลัก

Document	English	ภาษาไทย
IR Framework (NIST-based)	Read	อ่าน
Severity Matrix (P1–P4)	Read	อ่าน
📋 Incident Classification	Read	อ่าน
🚨 Escalation Matrix	Read	อ่าน
Tier 1 Runbook — Alert Triage	Read	อ่าน
Tier 2 Runbook — Investigation	Read	อ่าน
Tier 3 Runbook — Threat Hunting	Read	อ่าน
Communication Templates (6)	Read	อ่าน

Investigation & Evidence / การสืบสวนและหลักฐาน

Document	English	ภาษาไทย
🔬 Forensic Investigation	Read	อ่าน
Evidence Collection	Read	อ่าน
🎯 Threat Hunting Playbook	Read	อ่าน
Interview Guide (T1/T2/Lead)	Read	อ่าน

Recovery & Automation / การกู้คืนและอัตโนมัติ

Document	English	ภาษาไทย
🏥 Disaster Recovery / BCP	Read	อ่าน
SOAR Playbook Templates (6)	Read	อ่าน
Lessons Learned Template	Read	อ่าน
📘 Playbook Development Guide	Read	อ่าน

53 Playbooks — Grouped by Category

All playbooks are bilingual (EN+TH) and MITRE ATT&CK mapped.

📧 Email & Social Engineering — Phishing, BEC, account takeover, deepfake

#	Playbook	EN	TH
01	Phishing	📄	📄
17	Business Email Compromise	📄	📄
42	Email Account Takeover	📄	📄
48	Deepfake Social Engineering	📄	📄

🦠 Malware & Ransomware — Ransomware, scripts, wipers, LOLBins, rootkits

#	Playbook	EN	TH
02	Ransomware	📄	📄
03	Malware Infection	📄	📄
10	Exploit	📄	📄
11	Suspicious Script	📄	📄
38	Wiper Attack	📄	📄
39	Living Off The Land	📄	📄
45	Rootkit / Bootkit	📄	📄

🔑 Identity & Access — Brute force, credential theft, privilege escalation, MFA bypass

#	Playbook	EN	TH
04	Brute Force	📄	📄
05	Account Compromise	📄	📄
06	Impossible Travel	📄	📄
07	Privilege Escalation	📄	📄
14	Insider Threat	📄	📄
15	Rogue Admin	📄	📄
26	MFA Bypass / Token Theft	📄	📄
36	Credential Dumping	📄	📄

🌐 Network & Web — DDoS, lateral movement, C2, DNS tunneling, web attacks

#	Playbook	EN	TH
09	DDoS Attack	📄	📄
12	Lateral Movement	📄	📄
13	C2 Communication	📄	📄
18	Web Attack	📄	📄
22	API Abuse	📄	📄
24	DNS Tunneling	📄	📄
25	Zero-Day Exploit	📄	📄
34	Network Discovery	📄	📄
37	SQL Injection	📄	📄
43	Watering Hole	📄	📄
44	Drive-By Download	📄	📄
50	Unauthorized Scanning	📄	📄

☁️ Cloud & Infrastructure — AWS, Azure, cloud IAM, cryptojacking, shadow IT

#	Playbook	EN	TH
16	Cloud IAM Anomaly	📄	📄
23	Cryptomining	📄	📄
27	Cloud Storage Exposure	📄	📄
29	Shadow IT	📄	📄
31	AWS EC2 Compromise	📄	📄
32	AWS S3 Compromise	📄	📄
33	Azure AD Compromise	📄	📄
41	VPN Abuse	📄	📄
47	Cloud Cryptojacking	📄	📄

📦 Data & Supply Chain — Exfiltration, log clearing, supply chain, data staging

#	Playbook	EN	TH
08	Data Exfiltration	📄	📄
20	Log Clearing	📄	📄
21	Supply Chain Attack	📄	📄
35	Data Collection	📄	📄
49	Typosquatting	📄	📄

📱 Physical & Mobile — Lost device, mobile, OT/ICS, USB, SIM swap

#	Playbook	EN	TH
19	Lost/Stolen Device	📄	📄
28	Mobile Device Compromise	📄	📄
30	OT/ICS Incident	📄	📄
40	USB Removable Media	📄	📄
46	SIM Swap	📄	📄

---

🎯 MITRE ATT&CK Coverage / ความครอบคลุม MITRE ATT&CK

Our 53 playbooks cover 12 of 14 MITRE ATT&CK tactics mapped across the full kill chain:

Tactic	ID	Playbooks	Coverage
Reconnaissance	TA0043	PB-50	🟡
Resource Development	TA0042	PB-49	🟡
Initial Access	TA0001	PB-01, 10, 17, 42, 43, 44	🟢🟢🟢
Execution	TA0002	PB-02, 03, 11, 39	🟢🟢
Persistence	TA0003	PB-45, 42	🟢
Privilege Escalation	TA0004	PB-07, 36	🟢
Defense Evasion	TA0005	PB-15, 20, 39, 45	🟢🟢
Credential Access	TA0006	PB-04, 05, 26, 36	🟢🟢
Discovery	TA0007	PB-06, 34	🟢
Lateral Movement	TA0008	PB-12	🟡
Collection	TA0009	PB-35	🟡
Command & Control	TA0011	PB-13, 24	🟢
Exfiltration	TA0010	PB-08	🟡
Impact	TA0040	PB-02, 09, 23, 38, 47	🟢🟢

🟢🟢🟢 = 4+ playbooks | 🟢🟢 = 2-3 playbooks | 🟢 = 2 playbooks | 🟡 = 1 playbook

---

🔍 Detection & Threat Intelligence / การตรวจจับและข่าวกรองภัยคุกคาม

Sigma Detection Rules (36 Rules)

Ready-to-import rules mapped to MITRE ATT&CK. See full index: README | ดัชนี (TH)

Category	Rule Examples	Count
Windows	Failed logins, admin group add, log clearing, PowerShell	8
Cloud	Impossible travel, root login, MFA bypass, mining	10
Network	DNS tunneling, beaconing, large upload, OT anomaly	5
Web/API	SQLi, WAF exploit, API abuse, zero-day, rate limit	5
File/Proc	Ransomware rename, USB bulk copy, crypto indicators	5

YARA Rules (15 Rules)

File-based threat detection: YARA Index | File Signatures

Threat Intelligence

Document	English	ภาษาไทย
Threat Intelligence Lifecycle	Read	อ่าน
TI Feeds Integration	Read	อ่าน
Detection Rule Testing SOP	Read	อ่าน
Detection Engineering Lifecycle	Read	อ่าน

---

📊 Operations / การปฏิบัติงาน

👥 Team & Daily Operations / ทีมและงานประจำวัน

Document	English	ภาษาไทย
SOC Team Structure	Read	อ่าน
Shift Handoff SOP	Read	อ่าน
SOC Checklists (Daily/Weekly/Monthly)	Read	อ่าน
SOC Metrics & KPIs	Read	อ่าน
📈 KPI Dashboard Template	Read	อ่าน
📊 Log Source Matrix	Read	อ่าน
Log Source Onboarding	Read	อ่าน
🤖 SOC Automation Catalog	Read	อ่าน
🔧 Alert Tuning SOP	Read	อ่าน
📊 SOC Capacity Planning	Read	อ่าน

🔍 Security Monitoring / การเฝ้าระวัง

Document	English	ภาษาไทย
🌐 Network Security Monitoring	Read	อ่าน
☁️ Cloud Security Monitoring	Read	อ่าน
🔒 Data Loss Prevention (DLP)	Read	อ่าน
🕵️ Insider Threat Program	Read	อ่าน

📡 Threat Intelligence & Hunting / ข่าวกรองภัยคุกคาม

Document	English	ภาษาไทย
Threat Intelligence Lifecycle	Read	อ่าน
TI Feeds Integration	Read	อ่าน
🌍 Threat Landscape Report	Read	อ่าน
Detection Rule Testing SOP	Read	อ่าน
Detection Engineering Lifecycle	Read	อ่าน

🏛️ Risk & Governance / ความเสี่ยงและธรรมาภิบาล

Document	English	ภาษาไทย
🛡️ Vulnerability Management	Read	อ่าน
🔗 Third-Party Risk	Read	อ่าน
🎯 SOC Maturity Assessment	Read	อ่าน
SOC Assessment Checklist	Read	อ่าน
SLA Template	Read	อ่าน
Vendor/Tool Evaluation	Read	อ่าน

📜 Policies & Processes / นโยบายและกระบวนการ

Document	English	ภาษาไทย
Data Handling Protocol	Read	อ่าน
Change Management SOP	Read	อ่าน
Access Control Policy	Read	อ่าน
Communication SOP	Read	อ่าน

🔧 Platform & Tools / แพลตฟอร์มและเครื่องมือ

Document	English	ภาษาไทย
Data Governance & Retention	Read	อ่าน
Deployment Procedures	Read	อ่าน
Integration Hub	Read	อ่าน
Troubleshooting	Read	อ่าน

---

🎯 Testing & Training / การทดสอบและฝึกอบรม

Simulation & Purple Team / การจำลองและทดสอบ

Document	English	ภาษาไทย
🟣 Purple Team Exercise Guide	Read	อ่าน
Purple Team Exercises (9 exercises)	Read	อ่าน
Tabletop Exercises (5 scenarios)	Read	อ่าน
🎣 Phishing Simulation Program	Read	อ่าน
Simulation Guide	Read	อ่าน
Atomic Test Map (MITRE)	Read	อ่าน

Analyst Training / การฝึกอบรม

Document	English	ภาษาไทย
👤 SOC Analyst Onboarding (90-day)	Read	อ่าน
Analyst Onboarding (5-day path)	Read	อ่าน
Training Checklist	Read	อ่าน
📋 Playbook Quick Reference	EN	TH

---

🏛️ Compliance & Reporting / การปฏิบัติตามกฎหมายและรายงาน

Compliance

Document	English	ภาษาไทย
Compliance Mapping (ISO 27001 / NIST CSF / PCI DSS)	Read	อ่าน
ISO 27001 Controls Mapping	Read	อ่าน
PCI-DSS SOC Requirements	Read	อ่าน
NIST CSF 2.0 Mapping	Read	อ่าน
PDPA Incident Response (72-hr notification)	Read	อ่าน
PDPA Compliance	Read	อ่าน
📝 Compliance Gap Analysis	Read	อ่าน
Data Governance Policy	Read	อ่าน

Reports & Dashboards

Document	English	ภาษาไทย
Monthly SOC Report	Read	อ่าน
Quarterly Business Review	Read	อ่าน
Executive Dashboard	Read	อ่าน

Templates / แบบฟอร์มพร้อมใช้

Template	English	ภาษาไทย
Incident Report	Read	อ่าน
Shift Handover Log	Read	อ่าน
Change Request (RFC)	Read	อ่าน

---

🛠️ Tools / เครื่องมือ

Interactive (Open in Browser)

Tool	Description
SOC Maturity Scorer	Self-assessment: 7 domains, 56 questions, bilingual EN/TH, scored 1–5
MITRE ATT&CK Heatmap	Coverage map: 19 techniques, gap analysis, click-to-detail

Dashboards (Import to SIEM)

Dashboard	Format	Panels
Grafana SOC Operations	JSON (Import → Dashboards)	14
Kibana SOC Operations	NDJSON (Import → Saved Objects)	11
ATT&CK Navigator Layer	JSON (Import → Navigator)	—

CLI Scripts

Script	Usage
export_docs.py	python3 tools/export_docs.py — Merge all docs into single Markdown
new_playbook.py	python3 tools/new_playbook.py — Generate new playbook from template
check_links.py	python3 tools/check_links.py — Validate internal links
validate_sigma.py	python3 tools/validate_sigma.py — Lint Sigma rules

---

📚 Full Manual / คู่มือฉบับเต็ม

For offline reading or printing, download the consolidated manual:

📖 SOC_Manual_Consolidated.md — All 279 documents in one file

---

📋 Version & Tracking / เวอร์ชันและการติดตาม

Resource	Description
📝 CHANGELOG.md	All changes by version (Keep a Changelog format)
📋 VERSION_TRACKER.md	Every document's version, last update, and next review date
Current Version	v2.13.0 (2026-03-06)

---

Contributing / การมีส่วนร่วม

1. Standardization — Keep procedures vendor-agnostic where possible
2. Bilingual — Maintain both English (.en.md) and Thai (.th.md) versions
3. Review — Changes should be reviewed by SOC Managers or Lead Engineers
4. Versioning — Update CHANGELOG.md and VERSION_TRACKER.md with every change

---

👤 About the Author / ผู้เขียน

Nutthakorn Chalaemwongwan [Pop]
🛡️ SOC Architect · Cybersecurity Educator · Open-Source Advocate

"Security is a process, not a product." — I created this repository to democratize SOC knowledge, making enterprise-grade security operations accessible to everyone — in both English and Thai.

🎓 Training & Consulting / อบรมและที่ปรึกษา

Looking to build, improve, or scale your Security Operations Center? I offer hands-on, practical training and consulting services:

📖 View Full Course Catalog → — 6 หลักสูตร, detailed modules, learning outcomes

🎯 Service	Description
🏗️ SOC Building Workshop	ออกแบบและจัดตั้ง SOC ตั้งแต่ศูนย์ — architecture, staffing, tools, processes
📚 SOC Analyst Bootcamp	หลักสูตร intensive สำหรับ Tier 1–3 — triage, investigation, hunting, SOAR
🔥 Incident Response Drill	ซ้อม tabletop exercise + purple team ด้วย scenario จริง
📊 SOC Maturity Assessment	ประเมิน SOC ปัจจุบัน 7 domains พร้อมแผน roadmap ปรับปรุง
📋 Compliance & Gap Analysis	ประเมิน ISO 27001 / NIST CSF / PDPA gap พร้อม remediation plan
🎤 Speaking & Workshops	บรรยาย, workshop, guest lecture ด้าน cybersecurity

📬 Contact / ช่องทางติดต่อ

📌 View my full profile, certifications, and experience on LinkedIn

---

⭐ If this repository helps your SOC, please give it a star!
สร้างด้วย 🛡️ เพื่อ SOC community ไทยและทั่วโลก