安全运营中心（SOC）技术框架

2018年曾经画过一个安全运营体系框架，基本思路是在基础单点技术防护体系基础上，围绕着动态防御、深度分析、实时检测，建立安全运营大数据分析平台，可以算作是解决方案+产品的思路。

依据这个体系框架，当时写了《基于主动防御能力，建设安全运营体系的一点思考》文章，感兴趣的可以翻回去看下。

最近对安全运营中心（SOC）技术框架进行了一个梳理，可以算作是对2018年安全运营体系框架的一个升级版本，不同的是这次从安全运营中心（SOC）职能出发，对其日常工作需要进行支撑的技术模块进行了梳理。

由于某些原因，最新的框架图就不直接放上来了，但是对其中的内容拆解后，罗列一下提纲。

安全运营中心（SOC）总体框架核心内容，从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心（SOC）下的基础还是安全防护体系（安全资源层），贯穿每层会有外部输入、外部输出的内容。

数据资源层可以叫做大数据湖（Big Data Lake），或者叫做安全大数据中心（Security Data Center）都可以，其中的数据类别包括安全告警数据（高威胁、低可信）、内容数据（低威胁、高可信）、上下文数据（资产、威胁、漏洞等），当然数据内容多少是随着运营成熟度而逐渐丰富的。
基础运营层为较低成熟度安全运营内容，包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台（SIEM）、威胁情报平台就可以实现。

基础运营层最为核心的当然是安全告警分析了，可以具体再细分为实时分析、离线分析两类。具体的可以参见下图：

基础运营层的特点是有各自系统与平台，按人员分工分别运营并依靠管理制度进行协作，实现的都是基础性安全工作。对于一般性的企业能够把这些做好了，已经非常不错了。

如果往高成熟度发展，一个是要提高运营效率，包括编排与自动化、事件聚合、智能交互等都是为了提高效率；另外一个当然是增强运营效果，核心就是对抗安全高级威胁，包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。

这时候就要考虑进阶安全运营的内容了，这一层按照性质不同分为两个部分，第一个部分就是当前比较热的安全编排与自动化响应，这一部分其实是安全高阶运营所应该具备的能力，去支撑或赋能高阶运营工作的开展。