SOC 成熟度模型
SOC 成熟度模型 是什么?
SOC 成熟度模型从人员、流程、技术与服务四个维度评估安全运营中心,为多年期的能力提升路线图提供依据的框架。
SOC 成熟度模型用于将组织的检测与响应能力与行业实践进行对标。最常用的是惠普企业(HPE)五级模型和 Rob van Os 提出的开源 SOC-CMM,二者都会对治理、情报、监控与检测、响应、威胁狩猎、自动化与持续改进等领域进行打分。每个领域按 0–5 级(初始、基础、已定义、受管、优化)评分,评估方式包括访谈、证据复核与自评。最终输出是一张热力图,用于识别薄弱环节,支撑投资决策、人员招聘和技术路线图。成熟度并不等同于实际效能,因此通常会与停留时间(dwell time)、检测覆盖率等结果型指标一同使用。
● 示例
- 01
采用 HPE 风格的评估,将 "威胁狩猎" 评为 2 级(基础),并制定升至 4 级的计划。
- 02
用 SOC-CMM 评估论证招聘两名威胁狩猎人员并部署 SOAR。
● 常见问题
SOC 成熟度模型 是什么?
从人员、流程、技术与服务四个维度评估安全运营中心,为多年期的能力提升路线图提供依据的框架。 它属于网络安全的 防御与运营 分类。
SOC 成熟度模型 是什么意思?
从人员、流程、技术与服务四个维度评估安全运营中心,为多年期的能力提升路线图提供依据的框架。
SOC 成熟度模型 是如何工作的?
SOC 成熟度模型用于将组织的检测与响应能力与行业实践进行对标。最常用的是惠普企业(HPE)五级模型和 Rob van Os 提出的开源 SOC-CMM,二者都会对治理、情报、监控与检测、响应、威胁狩猎、自动化与持续改进等领域进行打分。每个领域按 0–5 级(初始、基础、已定义、受管、优化)评分,评估方式包括访谈、证据复核与自评。最终输出是一张热力图,用于识别薄弱环节,支撑投资决策、人员招聘和技术路线图。成熟度并不等同于实际效能,因此通常会与停留时间(dwell time)、检测覆盖率等结果型指标一同使用。
如何防御 SOC 成熟度模型?
针对 SOC 成熟度模型 的防御通常结合技术控制与运营实践,详见上方完整定义。
SOC 成熟度模型 还有哪些其他名称?
常见的别称包括: SOC-CMM, SOC 能力成熟度模型。
● 相关术语
- defense-ops№ 1040
SIEM 规则调优
对 SIEM 中检测规则进行持续优化,以降低误报、消除盲区,并使其与组织的威胁模型保持一致。
- forensics-ir№ 524
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 882
紫队
红蓝公开协作的演练模式,目标是近乎实时地改进检测与响应能力。