依据这个体系框架，当时写了《基于主动防御能力，建设安全运营体系的一点思考》文章，感兴趣的可以翻回去看下。

最近对安全运营中心（SOC）技术框架进行了一个梳理，可以算作是对2018年安全运营体系框架的一个升级版本，不同的是这次从安全运营中心（SOC）职能出发，对其日常工作需要进行支撑的技术模块进行了梳理。

由于某些原因，最新的框架图就不直接放上来了，但是对其中的内容拆解后，罗列一下提纲。

安全运营中心（SOC）总体框架核心内容，从下到上分为安全数据层、基础运营层、进阶运营层、风险绩效层五个部分。在安全运营中心（SOC）下的基础还是安全防护体系（安全资源层），贯穿每层会有外部输入、外部输出的内容。

基础运营层为较低成熟度安全运营内容，包括资产管理、漏洞管理、安全告警分析、威胁情报TIP这几个部分。依托于资产测绘系统、漏洞与基线系统、安全信息与事件管理平台（SIEM）、威胁情报平台就可以实现。

基础运营层的特点是有各自系统与平台，按人员分工分别运营并依靠管理制度进行协作，实现的都是基础性安全工作。对于一般性的企业能够把这些做好了，已经非常不错了。

如果往高成熟度发展，一个是要提高运营效率，包括编排与自动化、事件聚合、智能交互等都是为了提高效率；另外一个当然是增强运营效果，核心就是对抗安全高级威胁，包括威胁诱捕、安全取证、漏洞挖掘、实战对抗等。

在这部分中，资源生态是前提，编排能力是基础，标准知识库是才是最具价值的核心。再次强调一下，编排与自动化是结果，而非驱动。

只有具有成熟的运营流程SOP，才能转化为标准化的安全剧本，如果想不出来剧本，可能是安全运营工作还比较初级，还不用考虑如何用编排与自动化提高效率。

事件（Incident）管理包括自动化分析、交互分析，成熟场景建立自动化分析提高效率，非成熟场景依托交互分析提高分析人员的便捷性。

风险挖掘包括威胁猎捕，包括诱捕、取证等，以及漏洞挖掘两部分。

安全对抗则包括技术上的对抗，以及人员意识层面的对抗。额外说一句意识对抗一直是被安全运营忽视的重点。

最上面是风险绩效层，这里面风险监测建议参考银行业的信息科技关键风险指标KRI的思路，有兴趣可以自行搜索一下相关内容。另外一部分的安全协同相对比较通俗，不需要过多解释。

需要说明一下的是安全绩效这个内容，一直以来安全的工作重点就是发现入侵，尤其是发现常规技术发现不了的成功入侵，这带来一个问题就是如果没有有效的安全告警或事件，安全人员就有些心慌，体现不了价值。

所以在安全监测的基础上，要考虑安全绩效的内容，即如何体现安全工作的价值。比如安全攻击的自动拦截次数、安全应急预案的有效性、安全成熟度的提升以及安全防御改进的效果等。

最后推荐下GitMind，经常画思维导图、流程图的值得拥有。