SOC Standard Operating Procedures

Vendor-agnostic SOC SOPs — Bilingual EN/TH — Build a SOC from Zero
ระเบียบปฏิบัติมาตรฐานสำหรับ SOC — ภาษาอังกฤษ/ไทย — สร้าง SOC ตั้งแต่ศูนย์

---

📍 Start Here / เริ่มต้นที่นี่

New to SOC? Read these two documents first — they'll guide you through everything else.

เพิ่งเริ่มต้น? อ่าน 2 เอกสารนี้ก่อน แล้วจะรู้ว่าต้องอ่านอะไรต่อ

	Document	English	ภาษาไทย
1️⃣	SOC 101 — SOC คืออะไร?	Read	อ่าน
2️⃣	Quickstart Guide — สร้าง SOC ใน 30 นาที	Read	อ่าน
📖	Glossary — คำศัพท์ที่ต้องรู้	Read	อ่าน

Role-Based Entry Paths / เส้นทางเริ่มต้นตามบทบาท

Role	English	ภาษาไทย
CISO / Security Director	Read	อ่าน
SOC Manager / SOC Lead	Read	อ่าน
SOC Analyst	Read	อ่าน
Security Engineer / Detection Engineer	Read	อ่าน
IR Engineer / Incident Responder	Read	อ่าน

---

📊 What's Inside / สิ่งที่มีในโปรเจกต์นี้

Category	Count	Highlights
📄 Documents (EN+TH)	341	Bilingual, vendor-agnostic SOPs
🛡️ IR Playbooks	53	PB-01 Phishing → PB-53 AI Model Theft, MITRE/ATLAS mapped
🔍 Sigma Detection Rules	54	Ready-to-import SIEM rules
🧬 YARA Rules	15	File-based threat detection
📋 Templates	6	Incident report, shift log, RFC, dashboards
🧰 Interactive Tools	2	SOC Maturity Scorer + MITRE Heatmap
📊 Dashboard JSON	2	Grafana (14 panels) + Kibana (11 panels)

---

🏗️ Building a SOC from Zero / สร้าง SOC ตั้งแต่ศูนย์

Start here if you're building a brand-new SOC. Follow the numbered order.

#	Document	English	ภาษาไทย
1	SOC Building Roadmap 🗺️	Read	อ่าน
2	Budget & Staffing 💰	Read	อ่าน
3	Technology Stack Selection 🔧	Read	อ่าน
4	Infrastructure Setup 🖥️	Read	อ่าน
5	Use Case Prioritization 🎯	Read	อ่าน
6	Analyst Training Path (6 months) 🎓	Read	อ่าน
7	SOC Infrastructure Activation ⚡	Read	อ่าน

---

🛡️ Incident Response / การตอบสนองต่อเหตุการณ์

Core Framework / กรอบงานหลัก

Document	English	ภาษาไทย
IR Framework (NIST-based)	Read	อ่าน
Severity Matrix (P1–P4)	Read	อ่าน
📋 Incident Classification	Read	อ่าน
🚨 Escalation Matrix	Read	อ่าน
Tier 1 Runbook — Alert Triage	Read	อ่าน
Tier 2 Runbook — Investigation	Read	อ่าน
Tier 3 Runbook — Threat Hunting	Read	อ่าน
Communication Templates (6)	Read	อ่าน

Investigation & Evidence / การสืบสวนและหลักฐาน

Document	English	ภาษาไทย
🔬 Forensic Investigation	Read	อ่าน
Evidence Collection	Read	อ่าน
🎯 Threat Hunting Playbook	Read	อ่าน
Interview Guide (T1/T2/Lead)	Read	อ่าน

Recovery & Automation / การกู้คืนและอัตโนมัติ

Document	English	ภาษาไทย
🏥 Disaster Recovery / BCP	Read	อ่าน
SOAR Playbook Templates (6)	Read	อ่าน
Lessons Learned Template	Read	อ่าน
📘 Playbook Development Guide	Read	อ่าน

53 Playbooks — Grouped by Category

All playbooks are bilingual (EN+TH) and MITRE ATT&CK mapped.

📧 Email & Social Engineering — Phishing, BEC, account takeover, deepfake

#	Playbook	EN	TH
01	Phishing	📄	📄
17	Business Email Compromise	📄	📄
42	Email Account Takeover	📄	📄
48	Deepfake Social Engineering	📄	📄

🦠 Malware & Ransomware — Ransomware, scripts, wipers, LOLBins, rootkits

#	Playbook	EN	TH
02	Ransomware	📄	📄
03	Malware Infection	📄	📄
18	Exploit	📄	📄
11	Suspicious Script	📄	📄
38	Wiper Attack	📄	📄
39	Living Off The Land	📄	📄
45	Rootkit / Bootkit	📄	📄

🔑 Identity & Access — Brute force, credential theft, privilege escalation, MFA bypass

#	Playbook	EN	TH
04	Brute Force	📄	📄
05	Account Compromise	📄	📄
06	Impossible Travel	📄	📄
07	Privilege Escalation	📄	📄
14	Insider Threat	📄	📄
15	Rogue Admin	📄	📄
26	MFA Bypass / Token Theft	📄	📄
36	Credential Dumping	📄	📄

🌐 Network & Web — DDoS, lateral movement, C2, DNS tunneling, web attacks

#	Playbook	EN	TH
09	DDoS Attack	📄	📄
12	Lateral Movement	📄	📄
13	C2 Communication	📄	📄
10	Web Attack	📄	📄
30	API Abuse	📄	📄
25	DNS Tunneling	📄	📄
24	Zero-Day Exploit	📄	📄
34	Network Discovery	📄	📄
37	SQL Injection	📄	📄
43	Watering Hole	📄	📄
44	Drive-By Download	📄	📄
50	Unauthorized Scanning	📄	📄

☁️ Cloud & Infrastructure — AWS, Azure, cloud IAM, cryptojacking, shadow IT

#	Playbook	EN	TH
16	Cloud IAM Anomaly	📄	📄
31	Cryptomining	📄	📄
27	Cloud Storage Exposure	📄	📄
29	Shadow IT	📄	📄
21	AWS S3 Compromise	📄	📄
22	AWS EC2 Compromise	📄	📄
23	Azure AD Compromise	📄	📄
41	VPN Abuse	📄	📄
47	Cloud Cryptojacking	📄	📄

📦 Data & Supply Chain — Exfiltration, log clearing, supply chain, data staging

#	Playbook	EN	TH
08	Data Exfiltration	📄	📄
20	Log Clearing	📄	📄
32	Supply Chain Attack	📄	📄
35	Data Collection	📄	📄
49	Typosquatting	📄	📄

📱 Physical & Mobile — Lost device, mobile, OT/ICS, USB, SIM swap

#	Playbook	EN	TH
19	Lost/Stolen Device	📄	📄
28	Mobile Device Compromise	📄	📄
33	OT/ICS Incident	📄	📄
40	USB Removable Media	📄	📄
46	SIM Swap	📄	📄

🤖 AI & ML Security — Prompt injection, data poisoning, model theft

#	Playbook	EN	TH
51	AI Prompt Injection	📄	📄
52	LLM Data Poisoning	📄	📄
53	AI Model Theft	📄	📄

---

🎯 MITRE ATT&CK / ATLAS Coverage

Our 53 playbooks cover 12 of 14 MITRE ATT&CK tactics across the enterprise kill chain, plus AI/ML scenarios mapped to MITRE ATLAS:

Tactic	ID	Playbooks	Coverage
Reconnaissance	TA0043	PB-50	🟡
Resource Development	TA0042	PB-49	🟡
Initial Access	TA0001	PB-01, 10, 17, 42, 43, 44	🟢🟢🟢
Execution	TA0002	PB-02, 03, 11, 39	🟢🟢
Persistence	TA0003	PB-45, 42	🟢
Privilege Escalation	TA0004	PB-07, 36	🟢
Defense Evasion	TA0005	PB-15, 20, 39, 45	🟢🟢
Credential Access	TA0006	PB-04, 05, 26, 36	🟢🟢
Discovery	TA0007	PB-06, 34	🟢
Lateral Movement	TA0008	PB-12	🟡
Collection	TA0009	PB-35	🟡
Command & Control	TA0011	PB-13, 25	🟢
Exfiltration	TA0010	PB-08	🟡
Impact	TA0040	PB-02, 09, 31, 38, 47	🟢🟢
AI / ML Security	MITRE ATLAS	PB-51, 52, 53	🟢🟢

🟢🟢🟢 = 4+ playbooks | 🟢🟢 = 2-3 playbooks | 🟢 = 2 playbooks | 🟡 = 1 playbook

---

🔍 Detection & Threat Intelligence / การตรวจจับและข่าวกรองภัยคุกคาม

Sigma Detection Rules (54 Rules)

Ready-to-import rules mapped to MITRE ATT&CK. See full index: README | ดัชนี (TH)

Category	Rule Examples	Count
Process / Endpoint	Office PowerShell, encoded PowerShell, LOLBins, cryptomining	5
File Activity	Ransomware rename, USB bulk copy, USB autorun	3
Network	DNS tunneling, beaconing, large upload, VPN abuse, scanning	8
Windows Security	Failed logins, admin shares, group add, log clearing, credential dumping	11
Cloud	Impossible travel, root login, MFA bypass, storage exposure, cryptojacking	14
Web/API	SQLi, WAF exploit, API abuse, zero-day, watering hole	8
Device / Proxy / AI	MDM offline, shadow IT, AI prompt injection, model theft	5

YARA Rules (15 Rules)

File-based threat detection: YARA Index | File Signatures

Threat Intelligence

Document	English	ภาษาไทย
Threat Intelligence Lifecycle	Read	อ่าน
TI Feeds Integration	Read	อ่าน
SOC Use Case Library	Read	อ่าน
Detection Rule Testing SOP	Read	อ่าน
Detection Engineering Lifecycle	Read	อ่าน

---

📊 Operations / การปฏิบัติงาน

👥 Team & Daily Operations / ทีมและงานประจำวัน

Document	English	ภาษาไทย
SOC Team Structure	Read	อ่าน
SOC Service Catalog	Read	อ่าน
Shift Handoff SOP	Read	อ่าน
SOC Checklists (Daily/Weekly/Monthly)	Read	อ่าน
SOC Metrics & KPIs	Read	อ่าน
📈 KPI Dashboard Template	Read	อ่าน
📊 Log Source Matrix	Read	อ่าน
Log Source Onboarding	Read	อ่าน
🤖 SOC Automation Catalog	Read	อ่าน
🔧 Alert Tuning SOP	Read	อ่าน
📊 SOC Capacity Planning	Read	อ่าน

🔍 Security Monitoring / การเฝ้าระวัง

Document	English	ภาษาไทย
🌐 Network Security Monitoring	Read	อ่าน
☁️ Cloud Security Monitoring	Read	อ่าน
🔒 Data Loss Prevention (DLP)	Read	อ่าน
🕵️ Insider Threat Program	Read	อ่าน

📡 Threat Intelligence & Hunting / ข่าวกรองภัยคุกคาม

Document	English	ภาษาไทย
Threat Intelligence Lifecycle	Read	อ่าน
TI Feeds Integration	Read	อ่าน
🌍 Threat Landscape Report	Read	อ่าน
Detection Rule Testing SOP	Read	อ่าน
Detection Engineering Lifecycle	Read	อ่าน

🏛️ Risk & Governance / ความเสี่ยงและธรรมาภิบาล

Document	English	ภาษาไทย
🛡️ Vulnerability Management	Read	อ่าน
🔗 Third-Party Risk	Read	อ่าน
🎯 SOC Maturity Assessment	Read	อ่าน
SOC Assessment Checklist	Read	อ่าน
SLA Template	Read	อ่าน
Vendor/Tool Evaluation	Read	อ่าน

📜 Policies & Processes / นโยบายและกระบวนการ

Document	English	ภาษาไทย
Data Handling Protocol	Read	อ่าน
Change Management SOP	Read	อ่าน
Access Control Policy	Read	อ่าน
Communication SOP	Read	อ่าน

🔧 Platform & Tools / แพลตฟอร์มและเครื่องมือ

Document	English	ภาษาไทย
Data Governance & Retention	Read	อ่าน
Deployment Procedures	Read	อ่าน
Integration Hub	Read	อ่าน
Troubleshooting	Read	อ่าน

---

🎯 Testing & Training / การทดสอบและฝึกอบรม

Simulation & Purple Team / การจำลองและทดสอบ

Document	English	ภาษาไทย
🟣 Purple Team Exercise Guide	Read	อ่าน
Purple Team Exercises (9 exercises)	Read	อ่าน
Tabletop Exercises (5 scenarios)	Read	อ่าน
🎣 Phishing Simulation Program	Read	อ่าน
Simulation Guide	Read	อ่าน
Atomic Test Map (MITRE)	Read	อ่าน

Analyst Training / การฝึกอบรม

Document	English	ภาษาไทย
👤 SOC Analyst Onboarding (90-day)	Read	อ่าน
Analyst Onboarding (5-day path)	Read	อ่าน
Training Checklist	Read	อ่าน
Thai Compliance Workshop Module (6 slides)	Read	อ่าน
📋 Playbook Quick Reference	EN	TH

---

🏛️ Compliance & Reporting / การปฏิบัติตามกฎหมายและรายงาน

Compliance

Document	English	ภาษาไทย
Compliance Mapping (ISO 27001 / NIST CSF / PCI DSS)	Read	อ่าน
ISO 27001 Controls Mapping	Read	อ่าน
PCI-DSS SOC Requirements	Read	อ่าน
NIST CSF 2.0 Mapping	Read	อ่าน
PDPA Incident Response (72-hr notification)	Read	อ่าน
PDPA Compliance	Read	อ่าน
Thai Cyber Legal Baseline	Read	อ่าน
📝 Compliance Gap Analysis	Read	อ่าน
Data Governance Policy	Read	อ่าน

Reports & Dashboards

Document	English	ภาษาไทย
Monthly SOC Report	Read	อ่าน
Quarterly Business Review	Read	อ่าน
Board Quarterly Decision Pack	Read	อ่าน
Executive Dashboard	Read	อ่าน

Templates / แบบฟอร์มพร้อมใช้

Template	English	ภาษาไทย
Incident Report	Read	อ่าน
Shift Handover Log	Read	อ่าน
Change Request (RFC)	Read	อ่าน
Risk Acceptance Template	Read	อ่าน
Security Exception Approval	Read	อ่าน
Incident Decision Log	Read	อ่าน
Thai Legal Escalation Template	Read	อ่าน
Investment Justification Template	Read	อ่าน
Log Source Onboarding Request	Read	อ่าน
Detection Request Template	Read	อ่าน
Threat Hunt Request Template	Read	อ่าน
Executive Reporting Request	Read	อ่าน
Detection Backlog Prioritization	Read	อ่าน
Telemetry Backlog Prioritization	Read	อ่าน
Remediation Backlog Prioritization	Read	อ่าน
Weekly Detection Review Pack	Read	อ่าน
Weekly Telemetry Review Pack	Read	อ่าน
Monthly Remediation Review Pack	Read	อ่าน
Detection Ownership RACI	Read	อ่าน
Telemetry Ownership RACI	Read	อ่าน
Remediation Ownership RACI	Read	อ่าน
Monthly Governance Review Pack	Read	อ่าน
Quarterly Risk Acceptance Review Pack	Read	อ่าน
Annual Control Coverage Review Pack	Read	อ่าน

---

🛠️ Tools / เครื่องมือ

Interactive (Open in Browser)

Tool	Description
SOC Maturity Scorer	Self-assessment: 7 domains, 56 questions, bilingual EN/TH, scored 1–5
MITRE ATT&CK Heatmap	Coverage map: 19 techniques, gap analysis, click-to-detail

Dashboards (Import to SIEM)

Dashboard	Format	Panels
Grafana SOC Operations	JSON (Import → Dashboards)	14
Kibana SOC Operations	NDJSON (Import → Saved Objects)	11
ATT&CK Navigator Layer	JSON (Import → Navigator)	—

CLI Scripts

Script	Usage
export_docs.py	python3 tools/export_docs.py — Merge all docs into single Markdown
new_playbook.py	python3 tools/new_playbook.py — Generate new playbook from template
check_links.py	python3 tools/check_links.py — Validate internal links
validate_sigma.py	python3 tools/validate_sigma.py — Lint Sigma rules

---

📚 Full Manual / คู่มือฉบับเต็ม

For offline reading or printing, download the consolidated manual:

📖 SOC_Manual_Consolidated.md — All 341 documents in one file

---

📋 Version & Tracking / เวอร์ชันและการติดตาม

Resource	Description
📝 CHANGELOG.md	All changes by version (Keep a Changelog format)
📋 VERSION_TRACKER.md	Every document's version, last update, and next review date
Current Version	v2.24.0 (2026-04-26)

---

Contributing / การมีส่วนร่วม

1. Standardization — Keep procedures vendor-agnostic where possible
2. Bilingual — Maintain both English (.en.md) and Thai (.th.md) versions
3. Review — Changes should be reviewed by SOC Managers or Lead Engineers
4. Versioning — Update CHANGELOG.md and VERSION_TRACKER.md with every change

---

👤 About the Author / ผู้เขียน

Nutthakorn Chalaemwongwan [Pop]
🛡️ SOC Architect · Cybersecurity Educator · Open-Source Advocate

"Security is a process, not a product." — I created this repository to democratize SOC knowledge, making enterprise-grade security operations accessible to everyone — in both English and Thai.

🎓 Training & Consulting / อบรมและที่ปรึกษา

Looking to build, improve, or scale your Security Operations Center? I offer hands-on, practical training and consulting services:

📖 View Full Course Catalog → — 6 หลักสูตร, detailed modules, learning outcomes

🎯 Service	Description
🏗️ SOC Building Workshop	ออกแบบและจัดตั้ง SOC ตั้งแต่ศูนย์ — architecture, staffing, tools, processes
📚 SOC Analyst Bootcamp	หลักสูตร intensive สำหรับ Tier 1–3 — triage, investigation, hunting, SOAR
🔥 Incident Response Drill	ซ้อม tabletop exercise + purple team ด้วย scenario จริง
📊 SOC Maturity Assessment	ประเมิน SOC ปัจจุบัน 7 domains พร้อมแผน roadmap ปรับปรุง
📋 Compliance & Gap Analysis	ประเมิน ISO 27001 / NIST CSF / PDPA gap พร้อม remediation plan
🎤 Speaking & Workshops	บรรยาย, workshop, guest lecture ด้าน cybersecurity

📬 Contact / ช่องทางติดต่อ

📌 View my full profile, certifications, and experience on LinkedIn

---

⭐ If this repository helps your SOC, please give it a star!
สร้างด้วย 🛡️ เพื่อ SOC community ไทยและทั่วโลก