安全运营中心（SOC）是一种自动化的高效平台，已被众多企业所采纳作为其安全运营的得力助手。但是，在SOC平台的运营过程中，却难免会遇见一些难题。前几日，ISACA网络研讨会成功举行，会议的重点即安全运营中心的治理。本文将会议整理为问答形式，帮助企业获得SOC运营的提示以及了解SOC平台的趋势。

A：区别的功能包括：威胁狩猎、威胁情报、数据分析以及一些别的功能。这些在传统的SOC中都不太常见。

A：以目前的现状来看，短时间内，大多数SOC无法实现完全自动化。最麻烦的部分是在自动响应和其他行为的行为链末端。此外，还有一些有高度不确定性的状况仍然需要人工手动处理。最后，一些棘手的遥测源的上线，有时也需要人工迭代和调整配置。

如今，自动化在检测自动化在检测（创建警报）和分流（充实和确认警报）等领域已经变得十分普遍，但在补救和数据上机方面却不尽如人意。我不指望这方面在短时间内会有什么大规模的变化，但随着企业采用更多的公共云，这些领域的自动化自然也会随之增长。

A：SIEM是一种特殊的安全工具，而SOC则是一个团队以及他们使用的相关流程和工具（目前大部分SOC中包含了SIEM）。这就是为什么当我听到SOC-as-a-service（安全运营即服务）时，总是感到有点奇怪。我个人更喜欢MDR这个词。

A：在这里，我很难给出规范性的建议，因为这是一个艰巨的挑战，并且属于“随机应变”的领域。遇到这种情况，大多数组织会寻求帮助，来邀请第三方事件响应团队来协助他们调查，最终将攻击者赶出去。

虽然听上去有些悲观，但是完全有可能遇到比自己的团队更强的攻击者（即便你的团队已经很优秀）。在这种情况下，企业不得不寻求帮助。尽管这会产生成本，但却是无法避免的。

A：在你的问题里，"基于风险"的意思较为模糊。目前，大多数正在运行的SOC并不是完全基于合规条例中的固定检查表而建立的。在这种情况下，我遇到的大多数SOC至少在某种程度上是基于风险的。

A：这很难用几句话来概括。不过，我认为一个糟糕的SOC是因为过度