●●●

      如何判定一个企业或是组织的SOC运作是否良好？其实由于组织和公司形式不尽相同，衡量标准也不可能一刀切。但毋庸置疑的是，不错的SOC架构一定有某些共通特质。

       通常，我们在衡量一个SOC时，可以先从SOC的基本要素和基本功能着手，即：预防、监控、监测、响应和报告。SOC在对大量数据进行收集和持续分析后，为用户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等，并帮助企业和组织及时采取相应的安全措施，保障信息系统安全，以此实现用户全生命周期的安全运营。SOC的职责一般包括：Incident Response (应急响应)；Malware Analysis (病毒分析)；Digital Forensics (电子取证)；Threat Hunting (入侵检测)；Threat Intelligence (威胁情报)；Vulnerability Management (漏洞管理)；Penetration Testing (渗透测试)以及Red Teaming。而目前来说，最有效最便捷的测试方法则是测试SOC在应对红队资产渗透时的反应。

       应急响应是SOC 的一项重点和关键功能。一般情况下，在企业用户充分授权的前提下，任何安全事件的应急响应都可以分为以下几个阶段：

        Assessment（评估）：这个阶段主要是初步梳理安全事件的类型，产生的原因和评估潜在影响范围；

       Containment（控制）：这个阶段主要是找到可以快速止损、减轻事件影响的办法，并将其控制在最小范围内；

       Eradication（消除）：这个阶段是一般需要找到安全事件产生的根本原因，并寻求和实施根治方案；

       Recovery（恢复）：这阶段需要通过操作确保所有受影响的系统或者服务完全恢复到安全状态；

       Review（总结和审查）：这是每个应急响应的最后阶段。在此阶段，主要需要总结和梳理安全事件处理和响应的整个时间线以及应对方案，学习和审查安全事件产生的根本原因并生成知识库以便以后遇到同类安全事件可以快速地找到处理和应对的方法。

      其实很多公司或组织的SOC，基于资源和需求的考量，既没有配备全面的7*24运营中心，也并非完全未涉及7*24相关服务。一些公司或组织的SOC是根据业务时间来配置模式的，例如一些企业推出了12*5模式，并在周末搭配8小时的骨干人员配置。当然在一些大型企业中，7*24的配置也是确实存在的。而在决定SOC中心的运转模式前人员配置也是一个挑战，他取决于多个因素的考量;公司的正常营业时间是怎样的？用户在下班后还能访问到相关的IT资源吗？是否有业务依赖于7*24的全运营模式？如果在下班后受到攻击，除了7*24专门团队外是否有人能及时发现并响应？公司人员数量和资金是否能够支撑配置7*24的轮换团队……

      非7*24SOC团队可能会在实际运营中遇到很多问题，例如在工作日的一早和每周一可能会因为过多需要处理的问题而手忙脚乱。近来，寻求第三方安全托管机构“SOC-as-a-Service”服务，在避免过多一次性投资的基础上实现全方位全时段的安全保障也已成为越来越多企业的选择。而7*24团队在具体运营中则有一些注意事项和建议：

     在所有时间段，7*24SOC中心都应保持有团队成员在第一现场。两人一组的监控模式是最佳的选择，因为可以避免单独一个人面对敏感数据时的意外，同时一个人长时间守在运营中心可能会有孤独感和其他负面情绪产生。但具体可视实际需求和客观条件而定。而当团队中有人需要离开房间时需要做好交接。

    当然，配合24小时人力的全程监控的还有工具。云纷采用了在AWS云上部署，为保证数据不会因为物理原因而中断，确保工具的不间断运转。同时云纷灵活运用了AWS各种不同功能的组件(例如使用对象存储用于数据增量备份，满足数据的实时性、安全性和平台的容灾要求)实现了数据实时处理、实时告警、数据分层和数据安全等必要功能。

    由于夜间的SOC安全中心轮班人员很容易把时间和精力分散到一些电视和社交网站平台上，因此对于夜间轮班人员要规定一些定期交付的工作成果和输出，并提供关于白天提到一些情况的反馈。此外，由于夜间被打扰的概率更小，其实更适合做一些专注需求高的特殊工作，例如漏洞的深度分析、网络情报分析等。

      设置轮换制度和请假制度。同时，由于夜间工作的特殊性，可在刚开始的一段时间由首席或自身安全分析师轮值夜班。而昼夜轮班制度则可以有效避免团队内部工作效率长期不平衡的情况。