Wie een security operations center opbouwt of herstructureert, loopt vroeg of laat tegen dezelfde vraag aan: wat is de juiste verhouding tussen SOC analyst tier 1 tier 2 posities? De meeste artikelen beantwoorden die vraag met een functieomschrijving. Tier 1 triagert, tier 2 onderzoekt dieper. Dat klopt, maar het zegt niets over wanneer je werkelijk tier 2 nodig hebt en wanneer een goed getrainde tier 1 volstaat. Dit artikel zet die vraag om in een operationeel kader. Drie variabelen bepalen de juiste mix: alertvolume, type dreiging en organisatiegrootte. Wie die variabelen helder heeft, neemt betere beslissingen over werving, opleiding en budget dan organisaties die blindelings het klassieke drie-lagenmodel kopieren.
Het verschil tier 1 tier 2 SOC is geen hierarchie, maar een werkverdeling
In de praktijk wordt tier 1 vaak neergezet als de opstap en tier 2 als het echte werk. Dat beeld klopt niet. Een tier 1 analist die 300 alerts per dienst verwerkt en 90 procent correct afsluit, levert operationeel meer waarde dan een tier 2 analist die drie incidenten per week oppakt zonder dat er iemand is die eerst de ruis filtert. Het verschil tier 1 tier 2 SOC zit niet in status, maar in werkaard en tijdshorizon.
Tier 1 opereert in minuten. Een alert komt binnen, wordt verrijkt, beoordeeld en doorgezet of gesloten. Beslissingen worden genomen op basis van runbooks, threat intelligence en basiskennis van aanvalstechnieken. Tier 2 opereert in uren of dagen. Wanneer een alert is doorgeschaald, begint onderzoek dat meerdere databronnen combineert: EDR-logs, netwerkverkeer, identity-systemen, threat intelligence op actor-niveau. Tier 2 bouwt een incident-tijdlijn op, bepaalt impact en autoriseert containment-acties zoals het isoleren van endpoints of het uitschakelen van accounts.
Volgens het ISCΒ² 2025 Cybersecurity Workforce Study meldt 59 procent van de cybersecurity-organisaties kritieke of significante skillstekorten in hun team, een forse stijging ten opzichte van 44 procent in 2024. Die groei zit niet in de vraag naar meer mensen, maar in de vraag naar de juiste capaciteiten op de juiste plek. Dat maakt de vraag over de juiste SOC analyst tier 1 tier 2 verdeling operationeel relevanter dan ooit.
Alertvolume als eerste signaal voor tier 2
De eenvoudigste manier om te bepalen welke SOC analyst tier 1 tier 2 verhouding je nodig hebt, is het aantal alerts meten dat je per dag verwerkt. Een enterprise SOC verwerkt routinematig honderden tot duizenden alerts per dag. De gemiddelde tijd om een alert te onderzoeken ligt tussen de 30 en 70 minuten. De rekensom wordt snel ongenadig: bij 400 alerts per dag en een gemiddelde van 45 minuten onderzoek heb je minstens vijf tier 1 analisten nodig om de wachtrij bij te houden.
Maar volume alleen is niet voldoende. Wat je echt moet meten is de escalatieratio: het percentage alerts dat tier 1 doorschaalt naar een hogere laag. De industriebenchmark voor een gezonde escalatieratio ligt tussen de 10 en 20 procent. Stijgt die ratio boven de 20 tot 30 procent, dan is er structureel iets mis. Tier 1 werkt onder zulke tijdsdruk dat elke twijfel als escalatie eindigt, terwijl tier 2 analisten hun tijd verspillen aan het opnieuw beoordelen van valse meldingen.
Voor organisaties die minder dan 50 alerts per dag verwerken en waar de escalatieratio duurzaam onder de 10 procent blijft, is een volwaardige SOC analyst tier 1 tier 2 laag vaak niet nodig. In dat geval kun je beter investeren in een sterkere tier 1 met ruimte voor incident response, en een externe partij inschakelen voor de incidentele diepere onderzoekscases.
Type dreiging: wanneer tier 1 niet volstaat
Niet elke dreiging vraagt hetzelfde niveau. Een realistische kijk op de SOC analyst tier 1 tier 2 verdeling begint bij de categorieen zelf. Phishingmeldingen, failed logins, malwaredetectie op een werkstation: dit zijn typische tier 1 beslissingen. Een geoefende analist met toegang tot goede threat intelligence kan 80 tot 90 procent van deze alerts binnen enkele minuten afhandelen zonder escalatie.
Lateral movement, data-exfiltratie, compromittering van bevoorrechte accounts, supply chain-aanvallen en gerichte campagnes door advanced persistent threats zijn een andere categorie. Hier moet iemand kunnen werken met MITRE ATT&CK als referentiekader, sporen kunnen combineren over meerdere systemen heen, en containment-beslissingen kunnen nemen die direct impact hebben op bedrijfsprocessen. Dat is geen tier 1 werk.
De praktische vraag is dus niet of je tier 2 wilt, maar welke dreigingen je realistisch in je omgeving verwacht. Organisaties in financiele dienstverlening, gezondheidszorg of kritieke infrastructuur zien vaker gerichte aanvallen en hebben daarom structureel tier 2 capaciteit nodig. Een productiebedrijf met beperkte digitale aanvalsoppervlakte kan langer toe met tier 1 plus een goed georkestreerd incident response plan voor de uitzonderingen.
Organisatiegrootte en de juiste SOC analyst niveaus
Er bestaat geen formule die exact voorschrijft welke SOC analyst tier 1 tier 2 verhouding past bij welke omvang, maar er zijn bruikbare richtlijnen. Organisaties met 50 tot 250 medewerkers komen meestal toe met twee tot drie tier 1 analisten, aangevuld met tier 2 capaciteit die via een MSSP wordt afgenomen of intern bij een senior security engineer ligt. De overhead van een volledig gelaagd SOC is op deze schaal zelden te rechtvaardigen.
Tussen de 250 en 1000 medewerkers wordt tier 2 intern aantrekkelijk. Het alertvolume is groot genoeg om een dedicated onderzoeksrol full-time bezig te houden, en de complexiteit van de IT-omgeving vraagt om iemand die de organisatie kent. Voor een SOC analyst tier 1 tier 2 opbouw in deze schaal is een verhouding van drie tot vier tier 1 op een tier 2 realistisch. Boven de 1000 medewerkers verschuift de vraag naar tier 3 en specialistische cybersecurity-functies: threat hunters, detection engineers, incident responders met eigen autoriteit.
Wat vaak onderschat wordt, is de invloed van IT-heterogeniteit. Een organisatie met 400 medewerkers maar een complexe hybride cloudomgeving en meerdere productie-OT-systemen heeft operationeel meer tier 2 capaciteit nodig dan een organisatie van 800 met een uniform Microsoft-ecosysteem. Het aantal systemen waar een aanvaller zich in kan bewegen bepaalt de onderzoeksdiepte, niet het aantal medewerkers.
De kosten van een verkeerde tier 1 tier 2 mix
Organisaties die te veel tier 2 inhuren en te weinig investeren in tier 1, zien hun medior analisten binnen een half jaar vertrekken. Een slecht ontworpen SOC analyst tier 1 tier 2 verdeling leidt direct tot retentieproblemen in je securityteam: senior professionals die dagen vullen met het triageren van failed logins voelen zich onderbenut, en terecht. Tegelijk stijgt het salarisniveau van het team zonder dat de operationele capaciteit meegroeit.
De omgekeerde fout is minstens zo duur. Een SOC dat alleen tier 1 heeft en bij elke complexe casus extern moet inschakelen, betaalt per uur vijf tot tien keer zoveel voor onderzoek dat intern in enkele uren had kunnen gebeuren. De rekening stopt niet bij het uurtarief. Bij elke SOC analyst tier 1 tier 2 beslissing telt die rekensom mee. Elke onderzoek dat extern wordt gedaan, is kennis over je eigen omgeving die niet in het eigen team blijft.
De juiste SOC analyst tier 1 tier 2 mix werkt alleen als beide niveaus op de juiste manier worden opgeleid. Tier 1 heeft scenario-gebaseerde training onder druk nodig om onder realistische omstandigheden beslissingen te nemen. Een opleidingstraject dat tier 1 en tier 2 werk combineert geeft analisten het fundament om mee te groeien met de organisatie, in plaats van vast te lopen in de triage-laag.
Een werkbaar kader voor je eigen SOC analyst niveaus
De juiste SOC analyst tier 1 tier 2 verhouding bepaal je niet op gevoel. Begin met drie metingen voordat je rollen toevoegt of wegsnijdt. Meet het daadwerkelijke alertvolume per etmaal, niet de schatting van de tool-leverancier. Meet de escalatieratio over een periode van minimaal vier weken, zodat toevallige pieken worden uitgemiddeld. En breng in kaart welk type dreigingen feitelijk bij je binnenkomt, niet welke theoretisch mogelijk zijn.
Met die drie inputs is de beslissing over SOC analyst tier 1 tier 2 geen gevoelskwestie meer. Hoog volume en een hoge escalatieratio wijzen op tier 1 tekort. Veel doorgeschaalde alerts met lange afhandeltijden wijzen op tier 2 tekort. Een mix van simpele en complexe dreigingen binnen dezelfde organisatie wijst op een hybride aanpak waarbij tier 1 intern staat en tier 2 deels wordt ingekocht.
Voor organisaties die een SOC-team samenstellen of hun bestaande team herverdelen, is de beschikbaarheid van goed opgeleide mensen de grootste beperkende factor. Het ISCΒ² onderzoek laat zien dat 48 procent van de cybersecurity-professionals zich uitgeput voelt door het bijhouden van dreigingen en technologie. Dat is een retentierisico dat rechtstreeks samenhangt met een slecht ingerichte SOC analyst tier 1 tier 2 verdeling.
Bij Trivian leiden we mensen op die vanaf dag een operationeel inzetbaar zijn in zowel tier 1 als tier 2 werk, zodat jouw SOC analyst tier 1 tier 2 structuur flexibel meegroeit met alertvolume en het type dreigingen dat je tegenkomt. Bekijk de mogelijkheden voor bedrijven of plan een adviesgesprek om te bespreken welke verdeling past bij jouw alertvolume, dreigingsbeeld en organisatie.



