Die Grundlage der Detektion sind Daten, und zwar bestimmte Protokolldaten, die sogenannten sicherheitsrelevanten Ereignissen. Diese Daten werden im DVZ.SOC zentral gesammelt und für die Detektion aufbereitet. Auf dieser Grundlage werden Detektionsregeln für bekannte Angriffstechniken implementiert und ständig kalibriert – unterstützt von Threat Intelligence Feeds und KI für die Anomalie-Erkennung. Die Hauptaufgabe des DVZ.SOC, nämlich der Aufbau eines Frühwarnsystems für Cyberangriffe auf die DVZ-IT-Infrastruktur, wird nach den Vorgaben des IT-Grundschutzes (speziell Bausteine DER.1 und OPS.1.1.5) technisch, personell und organisatorisch umgesetzt. Die Abdeckung des DVZ.SOC als 24/7-Service wurde in Zusammenarbeit mit dem Leitstand realisiert. Ausgewählte kritische oder hochaktuelle Angriffsszenarien werden beim Leitstand durch eine einfache Kachel visualisiert. Sollte dieses Aufleuchten, weil ein solches Angriffsszenario potenziell erkannt wurde, wird die Rufbereitschaft des DVZ.SOC informiert und die Analyse entsprechend des Response-Plans beginnt. Diese Leistungen sind im Grundpreis der Standardserver inbegriffen.
