Quanto custa um SOC em 2026: faixas de preço, modelos e guia de compra completo
Resposta direta
Um SOC (Security Operations Center) no Brasil custa, em média, entre R$ 180 mil e R$ 600 mil por mês quando montado internamente — incluindo equipe 24x7 de 8 a 12 analistas, licenças de SIEM, EDR e SOAR, e infraestrutura. Na modalidade terceirizada (SOC como serviço ou MDR), as assinaturas variam de R$ 8 mil a R$ 120 mil mensais dependendo do porte da empresa, dos ativos monitorados e do nível de resposta contratado.
Em resumo
- ›SOC próprio 24x7 exige de 8 a 12 analistas e custa entre R$ 180 mil e R$ 600 mil/mês somando pessoal, ferramentas e infraestrutura.
- ›SOC como serviço (MDR) começa em R$ 8 mil/mês para PMEs e pode chegar a R$ 120 mil/mês para grandes organizações com escopo amplo.
- ›O custo médio de um único incidente de ransomware no Brasil supera R$ 3,5 milhões (downtime + remediação + multas regulatórias), tornando o ROI do SOC positivo em poucas semanas.
- ›SIEM, EDR e SOAR representam 35 a 50% do custo total de um SOC próprio; licenças variam de R$ 15 mil a R$ 200 mil/mês conforme volume de eventos (EPS) e endpoints.
- ›A certificação e retenção de analistas SOC são o maior gargalo no modelo interno: turnover médio do setor é de 25% ao ano, elevando custos ocultos.
- ›O prazo típico para montar um SOC interno funcional é de 9 a 18 meses; um MDR pode estar operacional em 2 a 6 semanas.
O que é um SOC e por que o preço varia tanto
Um Security Operations Center (SOC) é a estrutura responsável por monitorar, detectar, analisar e responder a ameaças cibernéticas em tempo real. Ele combina pessoas (analistas em turnos), processos (playbooks e SLAs de resposta) e tecnologia (SIEM, EDR, SOAR, Threat Intelligence). Essa tríade explica por que não existe um preço único: cada pilar tem pesos diferentes dependendo do modelo escolhido.
No modelo interno, a empresa detém controle total, mas arca com todos os custos fixos — salários, benefícios, treinamento, licenças e infraestrutura. No modelo terceirizado (também chamado MDR — Managed Detection and Response), o provedor amortiza esses custos entre múltiplos clientes, reduzindo drasticamente o investimento inicial. A escolha entre os dois depende de maturidade, regulação do setor e apetite ao risco.
Custo do SOC interno: o que entra na conta
Para operar 24 horas por dia, 7 dias por semana, um SOC interno precisa de ao menos 8 analistas (considerando turnos de 8 horas, folgas e férias). Organizações mais maduras trabalham com 10 a 12 profissionais, incluindo um SOC Manager e analistas de Nível 1 (triagem), Nível 2 (investigação) e Nível 3 (resposta a incidentes e threat hunting). Em 2026, os salários de mercado para esses perfis no Brasil variam de R$ 6.000 (Analista N1 júnior) a R$ 25.000 mensais (Analista N3 sênior / Threat Hunter), gerando uma folha de R$ 80 mil a R$ 200 mil mensais — sem encargos, que adicionam 70 a 80% sobre a CLT.
Além da equipe, o SOC próprio precisa de ferramentas. Um SIEM corporativo (Microsoft Sentinel, Splunk, IBM QRadar) custa de R$ 15 mil a R$ 120 mil/mês conforme o volume de logs ingeridos. Plataformas de EDR (CrowdStrike, SentinelOne, Defender for Endpoint) somam R$ 80 a R$ 250 por endpoint/ano. Soluções de SOAR (Palo Alto XSOAR, Splunk SOAR) acrescentam R$ 10 mil a R$ 60 mil/mês. Feeds de Threat Intelligence (VirusTotal Enterprise, Recorded Future) custam de R$ 15 mil a R$ 80 mil/ano. Infraestrutura de rede, VPN, storage de logs e NOC físico representam mais R$ 15 mil a R$ 60 mil/mês, dependendo da escala.
Não sabe por onde começar? Faça o diagnóstico gratuito da Decripte e descubra em minutos qual modelo de SOC faz sentido para o tamanho e o risco do seu negócio.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
SOC como serviço e MDR: faixas de preço por porte
Na modalidade terceirizada, o preço é quase sempre um contrato de assinatura mensal baseado em número de endpoints monitorados, volume de eventos por segundo (EPS) e escopo de resposta. A tabela abaixo resume as faixas típicas no mercado brasileiro em 2026.
| Porte da empresa | Endpoints monitorados | Faixa mensal (MDR/SOC as a Service) | SOC interno estimado/mês | |---|---|---|---| | PME (até 100 endpoints) | até 100 | R$ 8.000 – R$ 20.000 | Inviável economicamente | | Médio porte (100–500 endpoints) | 100–500 | R$ 20.000 – R$ 55.000 | R$ 200.000 – R$ 350.000 | | Grande empresa (500–2.000 endpoints) | 500–2.000 | R$ 55.000 – R$ 120.000 | R$ 300.000 – R$ 500.000 | | Corporativo / Regulado (2.000+ endpoints) | 2.000+ | R$ 100.000 – R$ 200.000+ | R$ 450.000 – R$ 800.000+ | As faixas do SOC terceirizado incluem monitoramento 24x7, análise de alertas, relatórios mensais e, nos planos mais completos, resposta ativa com isolamento de endpoints e contenção de incidentes. Custos de implantação (onboarding, integração de fontes de log, ajuste de playbooks) costumam ser cobrados à parte, entre R$ 15 mil e R$ 80 mil.
Vale observar que setores regulados — bancos (Bacen Res. 4.893), operadoras de saúde (ANS) e empresas com dados pessoais em grande volume (LGPD com ROPDs) — frequentemente exigem cláusulas contratuais adicionais sobre localização de dados, SLAs de notificação e relatórios de conformidade, o que eleva o ticket do MDR em 15 a 30%.
Fatores que mais impactam o preço final
Além do porte, cinco variáveis mudam significativamente o orçamento de qualquer SOC. Primeira: o volume de logs e EPS (eventos por segundo). Ambientes com muitos sistemas legados, OT/ICS ou nuvens múltiplas geram volumes de log exponencialmente maiores, encarecendo qualquer SIEM. Segunda: o nível de resposta contratado. Monitoramento passivo (alertas e relatórios) custa menos do que resposta ativa com SLA de contenção em menos de 1 hora.
Terceira: a cobertura de superfície de ataque. Incluir endpoints de OT, cloud workloads, aplicações web, e-mail corporativo e identidade (ITDR) aumenta o escopo — e o custo. Quarta: os requisitos de retenção de logs. Regulações como LGPD, PCI-DSS e ISO 27001 exigem retenção de 12 a 36 meses; cada terabyte adicional de armazenamento agrega custo. Quinta: a integração com ferramentas existentes. Ambientes com ferramentas heterogêneas (mix de Microsoft, Google Workspace, SaaS externos, firewall de múltiplos fabricantes) demandam mais horas de integração e conectores personalizados.
Sem cartão, sem compromisso — entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
ROI e o custo de não ter um SOC
Calcular o retorno sobre investimento de um SOC começa pelos números do lado do risco. Segundo dados do mercado brasileiro e do relatório Cost of a Data Breach (IBM, 2024), o custo médio de um incidente de segurança grave no Brasil supera R$ 3,5 milhões quando somados downtime operacional, resposta forense, notificações legais, multas regulatórias e danos reputacionais. Ataques de ransomware contra empresas de médio porte têm custo médio de parada que varia de R$ 50 mil a R$ 300 mil por dia.
Dois indicadores são centrais para justificar o SOC internamente: o MTTD (Mean Time To Detect — tempo médio para detectar um incidente) e o MTTR (Mean Time To Respond — tempo médio para contê-lo). Sem SOC, o MTTD médio no Brasil ultrapassa 190 dias; com SOC maduro, cai para menos de 24 horas. Cada dia a menos de exposição reduz diretamente o custo do incidente. Um SOC que custa R$ 40 mil/mês e evita ou limita um único incidente de R$ 1 milhão já paga mais de dois anos de operação.
Erros mais comuns ao contratar um SOC
O erro mais frequente é escolher o fornecedor pelo menor preço sem avaliar o SLA real de resposta. Contratos que prometem 'monitoramento 24x7' mas entregam apenas alertas por e-mail em horário comercial não são um SOC — são um NOC. Exija SLAs com penalidades contratuais para MTTD e MTTR, e valide se o contrato inclui resposta ativa ou apenas notificação passiva.
Outros erros críticos: não integrar todas as fontes de log relevantes (deixando pontos cegos em cloud, e-mail e endpoints móveis); não definir um processo claro de escalonamento para incidentes críticos; contratar MDR sem realizar um assessment prévio para entender a superfície de ataque real; e negligenciar a revisão trimestral de playbooks, que ficam obsoletos em média em 6 meses. No modelo interno, subestimar o custo de retenção de talentos e a necessidade de treinamentos contínuos (certificações como GCIA, GCIH, eCIR) é o principal fator de fracasso.
Termos-chave
- SOC (Security Operations Center)
- Centro de operações de segurança responsável por monitorar, detectar, analisar e responder a ameaças cibernéticas de forma contínua, combinando equipe especializada, processos documentados e ferramentas de segurança integradas.
- MDR (Managed Detection and Response)
- Modalidade de SOC terceirizado em que um provedor especializado oferece monitoramento 24x7, análise de ameaças e resposta ativa como serviço por assinatura mensal, eliminando a necessidade de montar infraestrutura interna.
- SIEM (Security Information and Event Management)
- Plataforma que coleta, correlaciona e analisa logs e eventos de segurança de múltiplas fontes em tempo real, gerando alertas e relatórios que sustentam as operações do SOC.
- MTTD / MTTR
- Mean Time To Detect (tempo médio para detectar um incidente) e Mean Time To Respond (tempo médio para contê-lo). São os principais KPIs de eficiência de um SOC; quanto menores, menor o custo financeiro dos incidentes.
Como decidir e contratar bem
- Passo 1 — Mapeie sua superfície de ataque: liste todos os ativos críticos (endpoints, servidores, nuvem, OT, e-mail), o volume de logs gerado e os requisitos regulatórios do seu setor antes de qualquer conversa com fornecedor.
- Passo 2 — Defina o modelo: avalie internamente se sua empresa tem maturidade, orçamento e capacidade de retenção de talentos para um SOC próprio ou se o MDR é mais adequado — para a maioria das PMEs e empresas de médio porte, o MDR oferece melhor custo-benefício.
- Passo 3 — Estabeleça SLAs inegociáveis: exija SLA de MTTD máximo (sugerido: 1 hora para incidentes críticos) e MTTR máximo (sugerido: 4 horas para contenção inicial), com penalidades contratuais claras em caso de descumprimento.
- Passo 4 — Valide a cobertura técnica: confirme que o provedor integra todas as suas fontes de log — não apenas endpoints Windows, mas também workloads em nuvem (AWS/Azure/GCP), SaaS, firewalls e identidade (Active Directory / Entra ID).
- Passo 5 — Solicite prova de conceito (PoC): peça ao menos 30 dias de PoC monitorada com relatórios de alertas reais antes de assinar contrato de longo prazo; avalie a qualidade das análises e o nível de contexto fornecido.
- Passo 6 — Avalie o modelo de resposta: entenda se o contrato inclui apenas detecção e notificação ou também resposta ativa (isolamento de endpoint, revogação de credenciais, contenção de rede); a diferença de custo é significativa, mas também o é a diferença de proteção real.
- Passo 7 — Garanta revisão contínua: inclua no contrato ou plano interno revisões trimestrais de playbooks, relatórios mensais de cobertura e testes de simulação (tabletop exercises ou purple team) pelo menos semestralmente.
Perguntas frequentes
Vale a pena montar um SOC interno ou contratar um serviço terceirizado?
Para a maioria das empresas com menos de 2.000 endpoints, o MDR (SOC terceirizado) oferece melhor custo-benefício. Montar um SOC interno exige investimento inicial de R$ 200 mil a R$ 600 mil mensais, prazo de 9 a 18 meses para maturação e alto risco de turnover de equipe. O SOC próprio faz sentido para grandes corporações com requisitos regulatórios muito específicos, dados ultrassensíveis que não podem sair do ambiente ou que já possuem maturidade de segurança elevada.
Qual é o preço mínimo de um SOC como serviço no Brasil?
Para PMEs com até 100 endpoints e escopo básico (monitoramento de EDR + firewall + e-mail), é possível encontrar serviços de MDR a partir de R$ 8.000 a R$ 12.000 mensais. Abaixo desse valor, desconfie: provavelmente trata-se apenas de monitoramento passivo sem resposta real. O custo de onboarding e integração inicial costuma ser cobrado separadamente, variando de R$ 10 mil a R$ 40 mil.
Quantos analistas são necessários para um SOC 24x7?
Para cobrir três turnos de 8 horas, 7 dias por semana (incluindo fins de semana e feriados), o mínimo operacional é 8 analistas. Somando ausências, férias e rotatividade, o número ideal fica entre 10 e 12 profissionais para um SOC Nível 1 e 2. Para incluir Nível 3 (threat hunting e resposta avançada), adicione de 2 a 4 especialistas seniores.
O que deve estar no SLA de um contrato de SOC?
Os itens essenciais são: MTTD máximo por criticidade de alerta (ex.: 15 min para crítico, 1h para alto, 4h para médio), MTTR máximo para contenção inicial, disponibilidade mínima da plataforma (geralmente 99,5% ou superior), frequência e formato dos relatórios, processo de escalonamento para incidentes P1, cobertura de fontes de log e responsabilidades de cada parte na resposta a incidentes.
O SOC protege contra ataques de ransomware?
Um SOC eficiente reduz significativamente o impacto de ransomware ao detectar comportamentos anômalos nas fases iniciais do ataque (acesso inicial, movimentação lateral, exfiltração) antes da execução do payload. Estudos mostram que SOCs com MTTD inferior a 24 horas reduzem o custo médio de incidentes em até 40%. Porém, o SOC não substitui controles preventivos como patching, MFA e backups imutáveis.
Quais certificações devo exigir de um provedor de SOC?
As principais certificações que validam a maturidade de um provedor são: ISO 27001 (gestão de segurança da informação), SOC 2 Tipo II (controles de segurança e disponibilidade auditados externamente) e, para setores financeiros, conformidade com a Resolução BCB 4.893. Certifique-se também de que os analistas possuem certificações individuais como CompTIA CySA+, GCIA (GIAC), GCIH ou equivalentes reconhecidos pelo mercado.
Referências
Como a Decripte resolve isso
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.
Não sabe por onde começar? Faça o diagnóstico gratuito da Decripte e descubra em minutos qual modelo de SOC faz sentido para o tamanho e o risco do seu negócio.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
