防御与运营
安全运营中心(SOC)
别称: 网络防御中心, CDC
定义
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。
安全运营中心是企业防御性网络安全的运营中枢,融合人员、流程与技术,对终端、网络、身份系统、云工作负载和应用程序实施 7x24 小时监控。分析师按层级划分(T1 一线分流、T2 深度调查、T3 威胁狩猎与检测工程),依托 SIEM、EDR、NDR 与 SOAR 平台,对遥测数据进行关联、对告警进行验证、对威胁进行遏制,并协调事件响应。SOC 负责 MTTD、MTTR 和潜伏时间等关键运营指标,通过检测工程、威胁情报和事后复盘持续优化能力。SOC 可由企业自建、混合运营或外包为 MDR 服务。
示例
- 企业级 SOC 每秒向 Splunk 注入 5 万条事件,并在 15 分钟内完成 EDR 告警的分流。
- 为多个租户监控 AWS CloudTrail、Azure AD 与 Microsoft Defender 的托管 SOC。
相关术语
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
SOAR
通过将检测、富化与响应动作串联为剧本并在各类安全工具中执行,实现 SOC 工作流自动化与编排的平台。
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
Threat Hunting
Threat Hunting — definition coming soon.
Mean Time to Detect (MTTD)
Mean Time to Detect (MTTD) — definition coming soon.