专注于实时检测、调查并响应组织内各类网络安全威胁的场所。
什么是 SOC
安全运营中心 (SOC)容纳着负责网络安全防御的团队: SIEM 调优、威胁狩猎、事件响应和事后 取证。如果说 NOC 关注的是服务的 健康状况,那么 SOC 关注的则是这些服务 的完整性。
墙上显示什么
SOC 视频墙通常显示:SIEM 仪表盘 (Splunk、Elastic、QRadar)、实时攻击 地图、EDR 告警队列、威胁情报源、当前 Mitre ATT&CK 覆盖情况,以及在 P1 事件激活时的事件会商信号。操作员工作 流程的录像也很常见,用于事后复盘。
为何重要
平均响应时间(MTTR)是 SOC 的生存 指标。把它从数小时缩短到数分钟,决定了 一起事件是被控制住,还是升级为董事会 级别的数据泄露。参见 NOC 与 态势室。