SOC+ 安全运营体系白皮书 以威胁情报和攻防对抗为原子能力 ， 聚焦安全运营的未来式 排名商品名称购买人数总销售额 1xxx手机123234人76312.9 2xxx电风扇92323人76312.9 3xxx冰箱91322人76312.9 4xxx榨汁机88322人76312.9 5xxx电视86312人76312.9 6xxx游戏机76312人76312.9 7xxx电脑56312人76312.9 xxx笔记本46752人76312.9 9xxx水杯35312人76312.9 10xxx口罩23847人76312.986%86%86% 总入驻率服务占比商品占比 32.8% 07-08 07-08 07-08 07-08 07-08 2022.12 报告顾问 方斌 杨光夫 编写组成员 腾讯安全 洪春华 刘桂泽 孙亚东 傅伟镔 黄羽 程碧淳 陈沅琳 王未来 李国民 刘玲 陶夏溦 齐恒 李晨东 腾讯知识产权部 黄超 郑剑锋 专家组成员 程文杰 徐展 陈龙 潘佳旭 方正华 许志雄 周颖 李诚 编写人员名单寄 语 欢迎！ 随着数字化浪潮的蓬勃兴起， 各类政企机构上云步伐加快。 与此同时， 如高危漏洞、 勒索病 毒、 挖矿木马、 APT攻击等威胁层出不穷， 安全形势日益严峻。 许多政企机构虽部署了较为完 备的基础安全产品， 但防御体系仍以异构设备堆叠式为主， 各设备相互割裂、 难以深度协同， 缺乏全局数据的可见性和主动防御能力。 面对指数级增长的威胁和告警， 传统的安全防御往往力不从心。 政企机构亟需一款成熟 的、 有体系、 现代化的SOC， 驱动安全运营整体能力朝 “实战化” 不断升级和演进。 “SOC+安全运营体系” 是腾讯安全面向产业数字化转型推出的新理念， 强调以威胁情报 运营和攻防对抗为基础， 构建起 “情报-攻防-服务-生态” 的闭环安全运营体系。 目前， 腾讯 SOC+集成了TIX威胁情报中心、 SOC安全运营平台、 NDR网络威胁检测与响应、 MDR安全运营 服务四大产品矩阵， 可支撑政企机构建立起技术、 人员、 流程一体化的安全运营体系， 全面提 升安全防护能力和安全运营效率。 未来， 腾讯安全将依托威胁情报云将腾讯20多年攻防实战经验、 业内顶尖安全实验室的 安全能力、 算法算力平台的安全大数据和AI技术， 持续赋能并完善腾讯SOC+安全运营体系， 为产业数字化升级保驾护航。 腾讯安全副总裁： 方斌CONTENTS目 录目 录 CONTENTS 一、 企业安全运营行业发展特征 （一） 安全运营产业发展历史 1. SIEM打造安全工具阶段 2.态势感知融合发展阶段 3.现代SOC创新发展阶段 （二） 我国安全运营产业发展驱动因素 1. 合规驱动 2. 业务风险驱动 1. 美国率先开展安全运营中心探索与部署 2. 美国安全运营特征与演变（三） 海外安全运营产业发展特点 3.其他国家SOC发展特点 1.威胁情报云打造安全生命周期 “闭环能力” 2.连接效能提升实现安全能力 “集群效应” 3.开放平台打造安全共赢 “朋友圈”（一） 数字化转型重塑IT架构， 导致攻击面扩大 （二） 攻击方法层出不穷， 安全挑战指数级增加二、 企业安全运营面临新形势 （三） 产品能力割裂， 体系化能力建设不足 （四） 安全人才短缺， 运营效果难保障 （一） “SOC+” 三大进阶理念01 01 02 04 07 07 09 12 12 13 15 17 17 三、 “SOC+安全运营体系” 构建安全防护新理念18 18 19 19 20 20（一） SOC相关整体标准 （二） 重点领域标准制定情况 （三） SOC标准演进趋势 六、 SOC成熟度模型 七、 未来展望五、 SOC标准加快应用落地 （一） 模型基本情况 （二） SOC成熟度模型实践 （一） 贴近实战⸺构建 “防得住” 的安全运营体系 （二） 人机汇智⸺发挥专家经验与人工智能双重融合优势 （三） 多维协同⸺实现云端赋能-本地联动-产业链协同闭环 （四） 生态融合⸺提升综合安全效能的必然选择49 50 52 53 58 61 61 62 62（三） 腾讯SOC+安全运营体系优势（二） SOC+安全运营体系 “架构进阶” 1.原子力 （Atomic Force） 构筑： “情报、 攻防” 两大基础底座 2.产品力 （Product Force） 打造 “核心-基础-抓手-载体” 产品理念 3.生态力 （Ecological Force） 实现 “共享-互补-共建” 安全协同机制22 24 24 25 27 四、 SOC+安全运营体系四大进阶价值 （一） TIX威胁情报中心构建弹性协同安全体系 （二） SOC聚焦威胁检测与事件响应 （三） NDR以实战驱动， 智能化部署网络安全防护体系 （四） MDR构建最佳的安全运营效果29 35 40 45八、 腾讯SOC+实践 （一） 混合多云统一安全运营中心 1.项目背景 2.解决方案 3.方案价值65 67 6965 （二） 高级威胁(APT)检测与响应系统 1.项目背景 2.解决方案 3.方案价值70 71 7270 （三） 基于情报与攻击面管理的主动防御体系 1.项目背景 2.解决方案 3.方案价值73 73 7473 （四） 重保/攻防演练防护体系 1.项目背景 2.解决方案 3.方案价值75 75 7775 （五） 内部违规与用户行为异常检测项目 1.项目背景 2.解决方案 3.方案价值79 80 8179 （六） 安全服务托管MSSP平台 1.项目背景 2.解决方案 3.方案价值83 84 8583目 录 CONTENTS一、 企业安全运营行业发展特征 THE FIRST PART 一、 企业安全运营行业发展特征 THE FIRST PART 信息安全建设早期， 恶意代码和恶意软件层出不穷。 为打破各类安全设备和系 统间的 “安全防御孤岛” ， SIEM （Security Information and Event Management， 以 下简称 “SIEM” ） 作为早期安全工具， 开始在一些大型龙头企业内部使用， 同时还在 历史数据保留和法律合规方面发挥着一定的作用。 SIEM在早期采用了较为基础的 关联引擎， 但是对非结构化数据的本地处理能力较弱， 需要用户花费大量时间进行 数据查询， 并且对安全事件发生的原因分析也较为初级。 随着Splunk公司进入 SIEM市场， 并创新性的开发了一种灵活而强大的数据存储和搜索引擎， 使得SIEM 工具更容易获取、 搜索、 存储和显示数据。 但是， 当以0Day攻击为代表的高级威胁大 量出现后， SIEM行业的竞争格局再一次开始改变。 传统的SIEM工具由于存在难以 实现精准告警、 漏报较为严重等问题， 已不是企业安全运营团队的理想选择。 同时， 有研究数据显示， 有41%的受访企业表示： 缺少熟练的安全工作人员来有效运行 SIEM， 也是当前面临的主要问题。 随着人工智能、 机器学习算法和神经网络的发展， SIEM对帮助企业识别潜在安 全威胁和漏洞安全解决方案的需求不断增加。 尤其是后疫情时代， 企业的网络边界 越来越模糊， 安全风险激增； 要求SIEM的不断完善与创新， 自动收集和分析数据， 简 化安全管理并尽早检测企业相关违规行为， 从而推动SIEM不断发展和演进。 SIEM 可以识别用户、 设备和应用程序的网络活动， 有效提高整个基础设施的可见性并检 测威胁。 根据Valuates的研究报告显示： 到2027年SIEM的全球市场规模预计将从 2020年的39.4亿美元增长至64.4亿美元， 其中持续监控和事件响应、 合规要求以及 日志管理等成为主要推动力量。企业安全运营行业发展特征THE FIRST PART 安全运营产业发展历史 01 01 0201SIEM打造安全工具阶段 态势感知的概念最早主要是由SIEM产品承载， 定位于安全日志的统一收集、 安 全事件分析和审计。 态势感知覆盖感知、 理解和预测三个层次， 随着计算机网络的发 展又提出了 “网络态势感知 （Cyberspace Situation Awareness， CSA） ” ， 即在大规 模网络环境中对引起网络态势发生变化的要素进行获取、 理解、 展示以及对发展趋 势进行预测， 从而帮助决策和行动。 2016年以后， 受益于国家战略层面的重视， 态势 感知进入蓬勃发展期。 这其中攻防实战需求和大数据技术能力成为态势感知成功落 地的底层驱动力： 目前， 态势感知应用整体来看主要有 两个大类： 一类是定位于合规需求， 以满 足等保2.0和行业监管的要求。 统一采集、 分析和存储安全日志， 用于监控、 审计、 统计分析、 态势展示和指挥通报等。 另一 类是满足业务发展的安全需求。 侧重于 安全运营效果和效率的提升， 如高级威 胁发现， 检测、 分析、 响应、 处置的一体化 等。 往往需要采用多产品融合战略， 最大 化降低集成的复杂度， 以运营体系应对 安全威胁。02态势感知融合发展阶段 从需求角度看 ， 单点防