从混沌到有序：标准化 SOC 协作流程

家人们

点击上方蓝字关注我

我们知道，防御、检测、响应，是（几乎）任何安全体系架构的核心，本文主要想和大家分享一下，如何在安全运营中心该如何建设一套标准化的流程，以提升防御、检测和响应的运行效率。

无论是研发、测试、产品，只要听到流程就烦，这是正常的，流程设计的不够优秀，涉及太多不必要节点，每一个节点又要填写一堆似是而非的文字都挺让人崩溃的...不过在安全运营中心中，标准化一套协作流程是很有必要的。

因为在 SOC 环境中，面对的是高度复杂和多变的安全威胁，还有海量的安全事件与误报，如果没有标准化流程，整个安全团队就会陷入混乱的救火和低效运作模式，这在带团队时是大忌，毕竟总有季度 or 年度评估，安全运营中心救火一年之后都不知道该怎么汇报哇。

当然，向上管理只是一部分原因，从技术角度看没有明确的标准化流程总会错过关键的安全事件，导致严重的安全事故；退一步讲，假设一直没啥安全事件，你总要改安全策略和规则吧，由于现在大家都在做纵深，很有可能出现的场景是，你改了某几层策略和规则放通特定的流量，但测试还是通不过，检查之后才发现还有部分安全设备没改规则...

因此，为了能高效和快速反应、保证一致性和可预测性、提升团队效率、满足审计与合规要求等，建设一套标准化的 SOC 协作流程是很有必要的。

安全团队属于事实上的跨职能团队，因此我们在做很多事时，都要优先考虑管理层和员工是否能接受并支持我这样做；做安全整改时也要尽可能少影响其他团队的工作进度，尽量给兄弟团队们降低工作量，大家才愿意配合。否则你靠管理层强行指派工作，下面人的做法一定是糊弄过去，不会认认真真配合你的...大家都是打工仔，平白无故没人愿意增加工作量。

所以，我们设计流程时候，要注意以下几点：

1. 简化流程：去掉不必要的步骤和节点，避免浪费时间和资源（比如搞一堆管理层来审批没必要，你直接抄送 + 管理层允许退回就好了）；同时利用自动化工具减少手动操作和数据录入（只记录关键信息，别搞出那种一个字段反复让所有人填的乐色流程）。

2. 以实际需求为导向：设计流程时要考虑实际工作场景和需求，确保流程能够真正解决问题，最好是针对不同场景设计不同的流程，由于安全团队很多工作都涉及跨部门合作，这一步还需要定期收集团队成员的反馈，根据反馈不断优化和调整流程。

3. 培训 & 演练：确保每个人（不限于安全团队，最好是全民皆兵模式）都熟悉流程和工具，能够高效地执行任务。

4. 建立完善的文档体系：对每个安全事件和事故的处理过程进行详细记录，包括事件的发现、分析、响应和解决步骤；报告也使用统一模板，确保报告内容清晰、全面，有助于事后分析和改进；但是误报之类的没必要弄一个大文档，误报要么用 SIEM 中的自动标记，要么搞一个精简的表单，做好分类统计定期 Review 即可。

做流程的大概框架我先说一下：

1. 定义 SOC 的角色和职责：如果你的团队人很多，那就各司其职，有人负责搞监控分析、有人负责搞响应、有人专门分析情报；假设在中小型公司，安全团队没有太多预算时候，有两个方案来做，要么团队内成员身兼数职，要么拉其他团队的壮丁帮你一起做。

2. 建立统一的监控和检测机制：这个相对简单点，无非就是有一个统一的 SIEM 平台集合数据，或者有 SOAR 做自动化编排，同时还要把监控规则和告警机制标准化。

3. 事件分类和优先级设置：建设标准化的事件分类方法和优先级划分标准。

4. 标准化的事件响应流程：确定从事件检测到响应的详细步骤，包括分析、响应和根因分析溯源；必要时引入标准操作流程（SOPs）和应急预案，确保团队在面对不同类型事件时有明确的指导。

5. 文档和报告标准化：记录和报告很重要，确保所有事件信息都被记录在案；确定一个标准化的报告模板和格式（描述清楚即可），确保报告内容的一致性和完整性。

6. 持续改进：定期评估和改进SOC流程、定期培训、演练和反馈，以提高团队的应对能力和技能水平。

7. 内部和外部的协作：内部协作可以通过建立跨部门的沟通渠道和协作机制来实现，比如定期的安全会议和跨部门的安全演练；外部协作则可以通过与其他企业和行业组织共享威胁情报和最佳实践，以及与第三方供应商合作来增强 SOC 的能力。

前面讲了一大堆理念性的东西，可能看起来有点云里雾里，以建立统一的监控和检测机制为例，讲一讲如何标准化，把标准化监控和检测机制拆分成下面几个小步骤：

1. 数据收集与集成：收集公司内部的各类日志和数据源，包括各种防火墙日志、IDS 日志、EDR 日志等；再将这些数据集成到 SIEM 中，确保所有数据都能被实时监控和分析；

2. 制定监控规则：SOC团队制定和维护一套标准化的监控规则，确保能够及时检测到潜在的安全威胁；还要定期更新监控规则，根据最新的威胁情报和实际情况进行调整。标准化的监控规则这件事听起来还是云里雾里，我举例说明，下表是我用 Python 画的图，可以放大看：

3. 自动化告警：配置SIEM系统，使其能够根据标准化后的规则自动触发告警，确保团队能够及时响应；设置告警的优先级，确保高优先级的告警能够得到快速处理。

4. 告警处理流程：制定标准化的告警处理流程，确保每个告警都能得到有效处理。例如流程包括告警的接收、初步分析、事件分类、优先级设置和响应措施：

1. 告警接收   ↓2. 初步分析   ↓3. 事件分类   ↓4. 优先级设置   ↓5. 响应措施   - 高优先级：立即应急响应   - 中优先级：通知负责人   - 低优先级：记录复盘

举个例子，假设SOC团队收到网络流量异常的告警，按照上面的示例标准化操作：

• 步骤 1：告警接收
  SIEM 系统上报公司网络流量突然激增，超过基准值的两倍，生成一条高优先级告警。

• 步骤 2：初步分析
  SOC 内负责这部分的成员需要查看流量日志，发现流量激增来自多个外部IP，目标为公司网站服务器，判断可能是DDoS攻击。

• 步骤 3：事件分类
  分析员将事件分类为“网络攻击”。

• 步骤 4：优先级设置
  由于 DDoS 攻击对公司网站的访问造成严重影响，设置为“高优先级”。

• 步骤 5：响应措施（高优先级响应）

• 启用 DDoS 防护机制。

• 调整防火墙规则，限制异常流量。

• 通知相关部门和管理层，进行业务影响评估。

• 持续监控流量情况，评估攻击缓解效果。

上面例子实际上很简单，但它们展示了建立标准化运营流程的重要性。虽然制定标准化流程是提升安全运营中心（SOC）效率的关键一步，但更为重要的是如何在实际工作中落实这些标准化流程。事实情况是，落实标准化流程才是最大的难点。

在落实标准化流程时，基本上需要做到高层支持、责任分工明确、自动化工具的落地、跨部门演练和持续的培训才行，当然这些都不够刺激，我上家公司给出的激励政策是通过绩效评估机制，对流程执行情况进行定期评估，并根据评估结果进行奖励（当月工资里面包含奖励金），这种方式大家的劲头可以说是拉满^0^。

点点赞 点点关注 点点文末广告 抱拳了家人们

创作不易

关注一下

帮忙点点文末广告

原文始发于微信公众号（imBobby的自留地）：从混沌到有序：标准化 SOC 协作流程