跳转到主要内容

SOC

本文约需 2 分钟阅读

SOC (Security Operations Center,安全运营中心) 是以 7×24 小时全天候体制对组织的安全进行监控、分析与响应的专业团队及设施。它充分运用 SIEM 等监控工具实时分析网络和系统的日志,承担着尽早检测网络攻击迹象、将损害降至最低的职责。截至 2025 年,利用生成式 AI 实现的告警分类自动化以及与 XDR (Extended Detection and Response) 的整合不断推进,SOC 的运营效率得到大幅提升。

现场使用案例

“凌晨 3 点,SOC 的 Tier 1 分析师检测到 SIEM 告警,确认了可疑横向移动 (lateral movement) 的迹象。通过立即升级至 Tier 2 并对受感染终端实施网络隔离,成功防止了勒索软件在全公司范围内扩散。”

SOC 运营流程

日志收集 (SIEM / EDR / 云日志)
Tier 1: 告警监控与初步分类
Tier 2: 深入调查与事件响应
Tier 3: 威胁狩猎与高级分析
改进反馈 (规则更新与流程改进)

SOC 与 SIEM 的区别

SOC 与 SIEM 容易被混淆,但 SIEM 是进行日志收集与关联分析的工具 (软件),而 SOC 则是整合了人员、流程与技术的组织体系。两者的关系是:SIEM 生成告警,由 SOC 的分析师对这些告警进行调查、判断与响应。即便引入了 SIEM,如果没有分析告警的人员,其效果也十分有限。SOC 运营入门书 (Amazon)可帮助你进行系统性学习。

SOC 的层级结构与实务

一般的 SOC 以三个层级运营。 Tier 1 (监控人员) 全天候监控 SIEM 告警,进行误报过滤与初步分类。 Tier 2 (事件响应) 对 Tier 1 升级上来的告警进行深入调查,并实施事件响应。 Tier 3 (威胁狩猎) 不依赖已知告警,而是主动探索潜在威胁。由于中小企业自建 SOC 在成本上较为困难,将其外包给 MSSP (托管安全服务提供商) 的情况正在增多。

引入要点

决定 SOC 成败的,是人员与流程,而非工具。分析师的职业倦怠 (告警疲劳) 是一项严峻的课题,每天数千条告警中,真正的威胁仅占百分之几。应引入自动化 (SOAR) 来减轻例行响应的工作量,营造让分析师能够专注于高级判断的环境。用强随机密码保护对 SOC 管理控制台及 SIEM 的访问,并彻底贯彻符合企业密码策略的运营,同样十分重要。安全运营相关书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena