当前，安全管理平台 (SOC) 已成为企业提高信息安全水平的主要工具，但往往安全并不是靠某个工具就能解决，对平台赋能，给予必要的支撑十分重要，诸如态势感知，已成为支撑 SOC 建设的重要核心点，甚至将二者混为一谈，那么在具体建设过程中，该如何理清 SOC 相关服务产品间的关系及组织性，彼此该如何配合，以发挥最大效率，本期话题就围绕企业 SOC 平台建设相关问题展开讨论。

1.买了态势感知、某 EYE 等服务，建设 SOC 是把这类告警再给 SOC 一次么？这样的体验真的好吗？

2.建 SOC 前没买过态势感知类的产品，是不是只需要建 SOC 就可以了？

3.如果建 SOC，需要买全流量存储设备吗？ 1.买了态势感知、某 EYE 等服务，建设 SOC 是把这类告警再给 SOC 一次么？这样的体验真的好吗？ @ 乌冬面

SOC 不只是接收单一告警，而是要上下文关联，更精确告警。

@ 宫保鸡丁

首先，什么是态势感知，什么是 SOC。见过不少防火墙、杀毒之类的产品，也加了个 “态势感知” 的菜单，点进去最多算个看板。

@ 番茄炒蛋

主要还是看态势感知和 SOC 的定位，如果态势主要是展示大屏用，那么吐告警给 SOC，结合其他日志做上下文关联分析，以及联动其他模块（比如 SOAR）是有意义的。

@ 鱼香肉丝

某 EYE 属于威胁感知吧，主要通过镜像流量接入。SOC 应该把安全设备告警信息或主机、办公网、VPN、日志统一汇总到一个平台进行关联分析，对安全事件进行响应。个人理解区别。

@ 夫妻肺片

理想化的当然是接入，但是实际情况是 SOC 一次性处理不了那么大的日志量。

@ 温泉蛋

这里我先理解态势感知就是一些安全设备、平台，然后 SOC 是安全运营中心，算是个组织吧。我们有采购态势感知相关设备，本身投资比较大，还没有买齐全，目前是底层的一些探针服务器 、日志审计之类的，目的其实建立 SOC 的管理平台，态势感知把所有安全设备的日志能接入，体验好一点的就是不用每台安全设备上去巡检安全日志，一个个统计分析，能减轻些巡检分析的工作量。不过说实话，如果只是为了把日志都接入 SOC 平台方便查询统计分析，而没有做安全联动以及更深化的网络安全管理提升工作，那 SOC 发挥的作用还有待提高，同样，自有的安全设备是否充分用好了也是值得考量的。

@ 水煮肉片

态势感知建议考虑全家桶，就是硬件 + 软件，不然没专业团队处理日志，出不了效果，纯粹展示用。

各家安全设备的日志、格式、告警类型，完全都不一样，日至底层的格式处理就是一个大麻烦，但这个不处理好，又没办法做事件关联。还有日志接入也是一个麻烦的事情，安全设备、网络设备和主机，这需要考虑一个接入的比例。所以大型企业可以考虑去做这个事情，如果资金和规模不大，搞一个全家桶，简单方便，重要是成本低。

@ 甜皮鸭

需要思考下，态势感知的目的到底是什么。最开始的态势感知，就是全流量，不过它只是 SOC 的输入。最开始，厂商对于 SOC 的定义，都是 SIEM，现在才扩大化，融入了 SOAR 的概念。现在安全运营中心，我个人浅显的理解是以 SOC 为基础，注入全流量、威胁情报、SIEM 为数据源，融入 SOAR 的概念，对于事件创建剧本，拉通各个安全防护设备进行处置，不过这个里面不止需要人，还需要自动处置的权利。

回归这道题，我个人感觉，目前甲方已经过了单纯买厂商态势感知的阶段了，之前在等保 2.0 之前，很多客户还是考虑厂商态势感知通过三级等保。但是通过几年的使用和等保 2.0 的施行，之前的态势感知更多是 HVV 期间用来溯源的，而且厂商的态感可以联动的只是自己的产品，上全家桶也不符合异构的理念，也不是安全防护的最优解。因此，变成了通过 SOC 来进行联动，需要很多定制化的内容，不可能是开箱即用了。

2.建 SOC 前没买过态势感知类的产品，是不是只需要建 SOC 就可以了？ @ 番茄炒蛋

就了解的 SOC 功能来看，应该没有必要再单独买态势感知内产品，SOC 都是可以扩展的，省去了选型和多厂家沟通的成本。

态势感知就是各类安全数据的统计、分析、预测和展示（目前大多数做不到预测），SOC 是一个安全多功能集成平台，可以包括态势感知的功能，还有其他的比如资产管理、设备联动（比如漏扫）、流程集成、自动化处理等。

@ 回锅肉

态势感知的根本是什么？什么是态势，什么是感知？其实很多单位都没有搞清楚，这个其实很多单位还在针对具体安全问题，能力没有建设完成是用不上的，但是看别人有，也跟着上。

@ 椒盐排条

态势感知本身就是聚合安全信息的平台，各种安全设备联动信息和流量分析探针的聚会点，作为安全集中平台也够用了。再有 SOC 本身是锦上添花，或许 SOC 对信息资产有比较好的支持管理，同步过去比较方便按照资产去做管理。态感本身不支持日志产品的信息同步收集，SOC 可以在上层做大平台集约。

@ 温泉蛋

态势感知与 SOC 虽然不能直接画等号，但也是密切相关的，态势感知通常来说应该是一系列安全设备、产品构成，SOC 固然要包括这些，但是还有对应安全运营能力建设，组织团队、岗位人员等等。

3.如果建 SOC，需要买全流量存储设备吗？ @ 番茄炒蛋

需要，主要用来确认告警和溯源。不止存储设备，全流量安全分析也是 SOC 重要数据来源之一，安全分析和存储如果一套设备能满足就再好不过了。

@ 红烧鱼

是的，全流量对于问题追溯比较重要。

@ 番茄炒蛋

是，溯源是主要作用，但是全流量很费硬盘，一般企业存不了多久。 转载来自 FreeBuf.COM