SOCの主な業務は、各種セキュリティ装置やネットワーク機器、サーバーの監視や、それらから出力されるログの分析、サイバー攻撃を受けた場合の影響範囲の特定、サイバー攻撃を阻止するためのセキュリティ対策の立案などです。

ネットワークやデバイスを監視し、サイバー攻撃の検出や分析、対応策のアドバイスを行うSOCの似た言葉にCSIRT（Computer Security Incident Response Team）があります。インシデントの検知に重点を置くSOCに対し、CSIRTはインシデントが発生した際の対応に重点が置く違いがあります。

従来、SOCのような対策は社内のネットワーク担当者、システム管理者が行うのが一般的でした。しかし、最近のセキュリティ脅威は高度化・複雑化しており、分析者に高い専門性が必要になっています。しかも、サイバー攻撃はいつ発生するか分からないため24時間365日体制でのフルタイム対応も必須です。このため、近年では社内にSOCを設置するのではなく、外部にアウトソースするケースが少なくありません。一般的なSOCは顧客のセキュリティ機器からログを転送して分析を行いますが、これに対して顧客のサーバーやOS（オペレーションシステム）、データベースなどのログ監視・分析を行うものを、ディープSOCと呼んで区別することもあります。なお、大企業などがSOCを自社内に設置して運用するケースは、プライベートSOCと呼ばれます。

SOCにより、さまざまなサイバー攻撃の検知が可能になります。Webサーバーなどに対するDoS攻撃やSQLインジェクション^※といった攻撃の検知、マルウェアによるPC上の不審な挙動、外部のC2サーバーなどに対する不審な通信の検知、AD認証^※による不審なログイン試行の検知などができます。

※SQLインジェクション：セキュリティ上の不備を悪用して意図的にSQL文を実行させる攻撃手法
※AD認証：ユーザー名とパスワードで本人確認を行う認証方式