無論被稱為SOC、CSOC(計算機安全運維中心)、網絡防御中心還是別的什么東西，安全運維中心(SOC)的根本使命都不會變——幫助企業檢測、分析、響應、報告和預防網絡安全事件。不過，隨著威脅態勢不斷改變，怎么有效做到這一點也發生了變化，分析師及其所依賴的技術身上的擔子也更重了。

很多SOC采取的是反應式方法，提供一套包括日志管理、實時監視、事件響應和調查在內的標準服務。他們使用傳統的SIEM(安全信息和事件管理)，從內部源收集日志數據，進行關聯，以簡單實時的基于規則的分析來檢測已知威脅。只要觸發警報，他們就介入調查。一段時間里，這種水準的服務就足夠了。但隨著攻擊越來越復雜，很明顯有很多惡意行為都躲過了監視且沒有產生明顯日志數據，比如零日漏洞攻擊和針對性惡意軟件。這意味著傳統攻擊檢測已經不再那么有效了。

由于成功數據泄露事件數量持續增長，且攻擊者持續數周、數月甚至更長時間不被檢測到，如今僅僅調查警報已經不夠了。SOC分析師們很清楚不可能檢測和封鎖所有攻擊的事實，他們必須采取積極的方式來保護公司資產，找出活躍威脅和被入侵系統。威脅捕獲的重點，在于積極找出進入到網絡中的威脅。這需要對可能被入侵系統的深入檢查及查閱大量歷史數據，以找出傳統警報機制沒有識別出的惡意活動。

投入威脅捕獲

威脅捕獲行動涉及一系列工具和技術。如果發現潛在數據泄露的證據，可以調查該系統以確定發生了什么、怎么發生的、是否有其他系統受到影響等，以便能夠遏制和緩解攻擊。然而不幸的是，人工捕獲行動投入大產出小，耗費大量人力物力，卻只有有限的機會可以查出東西。即便找出之前忽視掉的問題令人十分振奮，如果缺乏恰當的技術對之做出處理，那也只會是時間和金錢的浪費。

幸虧安全分析技術和威脅情報的發展，有助于充分利用捉襟見肘的分析師資源，開展更有效率的行動。這些技術提供幫助的方式有兩種：將捕獲集中在更有可能被泄露的資產上，以及重評估已發生事件以揭示最新威脅情報。

捕獲被侵入系統

如大多數SOC分析師所知，很多情況下你是從普通員工報告‘某某系統有點不對勁’，而不是通過SIEM警報，來得知攻擊的發生。高級攻擊經常能避免觸發明顯警報，但仍會留下有東西出了差錯的證據。被侵入的系統則會表現得與平時不一樣。但依賴人工來發現非正常活動是不夠的，而且跟不上當今的威脅態勢。

高級分析大顯身手之處正在于此。對潛在被侵入系統的積極發現和深入調查需要時間、精力和技術——這三樣東西對絕大多數企業而言都是非常珍貴的。高級分析能基于發現異常來輔助識別捕獲區域。突然偏離日常基線的系統，可能就正在運行新的未知進程、向不受信網絡發送大量信息，或者與正常業務范圍以外的地方進行通信。這些異常可能是無辜的，也可能指向潛在的被侵入系統。為發現此類異常，大多數成功捕獲行動會從幾種分析的綜合運用開始：統計分析以識別出離群值，機器學習算法以評估這些離群值，判斷是否與已知惡意行為類似。基于這些分析，具備較高被侵入概率的系統會被標識出來，進行后續深入徹底的調查。

重新評估過去

威脅捕獲還包括通過檢查歷史數據找出可能被忽視掉的威脅。為克服傳統SIEM的限制，威脅捕獲采用基于大數據的新平臺，來采集、管理和分析來自各種內部外部源的大量歷史數據。在第一輪實時分析可能會錯過什么東西的場合，可以使用大數據系統來檢查可能的大量日志儲備和其他可用數據源。通過采用最新威脅情報來重新分析，可具備重評估數據的能力，得到后見之明的好處。比如說，根據時下掌握的信息，通向命令與控制(C&C)基礎設施的潛在惡意連接，有可能沒被注意到。將更新過的威脅情報與網絡通信歷史元數據做對比，分析師就可能回顧性地發現攻擊。

無論是積極找尋被侵入系統，還是重評估過去事件，目標都是增加捕獲行動成功的可能性。大數據平臺;實時全球威脅情報;再輔以基于規則的、統計的機器學習分析，分析師肩上的擔子便能被有效減輕。為達成更具成效的捕獲探索，這些技術必須協同使用，并融進分析師對所處環境的洞見和知識。具備了從追逐警報到捕獲威脅的轉型能力，SOC便能進化得在面對高級攻擊時更加積極主動，更有效。