Entry № 1115
安全运营中心(SOC)
安全运营中心(SOC) 是什么?
安全运营中心(SOC)集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
安全运营中心是企业防御性网络安全的运营中枢,融合人员、流程与技术,对终端、网络、身份系统、云工作负载和应用程序实施 7x24 小时监控。分析师按层级划分(T1 一线分流、T2 深度调查、T3 威胁狩猎与检测工程),依托 SIEM、EDR、NDR 与 SOAR 平台,对遥测数据进行关联、对告警进行验证、对威胁进行遏制,并协调事件响应。SOC 负责 MTTD、MTTR 和潜伏时间等关键运营指标,通过检测工程、威胁情报和事后复盘持续优化能力。SOC 可由企业自建、混合运营或外包为 MDR 服务。
● 示例
- 01
企业级 SOC 每秒向 Splunk 注入 5 万条事件,并在 15 分钟内完成 EDR 告警的分流。
- 02
为多个租户监控 AWS CloudTrail、Azure AD 与 Microsoft Defender 的托管 SOC。
● 常见问题
安全运营中心(SOC) 是什么?
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。 它属于网络安全的 防御与运营 分类。
安全运营中心(SOC) 是什么意思?
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
如何防御 安全运营中心(SOC)?
针对 安全运营中心(SOC) 的防御通常结合技术控制与运营实践,详见上方完整定义。
安全运营中心(SOC) 还有哪些其他名称?
常见的别称包括: 网络防御中心, CDC。