Question

安全运营中心（Security Operations Center，SOC）是指统一收集、存储、处理企业各类与安全相关的监测告警信息，通过安全事件管理流程流转安全事件工单，由一线、二线、三线安全人员分工处理不同级别安全告警，并进行安全事件回顾，持续改进提升安全有效性。SOC 一般翻译成安全运维中心或安全运营中心，本书采用安全运营中心。

企业为了应对各类安全风险，按照纵深防御理念，部署了一系列安全防护设备和检测措施，如防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统等，构建起了点状防御。点状防御一方面在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，另一方面，有限的安全管理人员面对这些数量巨大、彼此割裂、未进行分级过滤的安全告警信息，操作着各种产品自身的控制台界面和告警窗口，效率很低，SOC 产品由此诞生。

SOC 是一个复杂的系统，既有产品，又有服务，还有运维（运营），SOC 是技术、流程和人的有机结合。SOC 产品是 SOC 系统的技术支撑平台，SOC 产品在国外很少以 SOC 命名，更多是与服务挂钩。和 SOC 密切相关的还有两个词：SIEM（信息安全与事件管理）、MSSP（可管理安全服务供应商）。国外产品厂商使用了 SIEM（Security Information and Event Management）这个词来代表 SOC 产品，表示产品与服务的区别。MSSP（Managed Security Service Provider）是指以 SOC 为技术支撑为客户提供安全服务的模式。MSSP 的理念在国内的接受度不高，发展很缓慢。

SOC 是安全运营落地的重要支撑，本章将以一款著名的 SOC 产品 ArcSight 为例，介绍 SOC 的实施规划。