过去 18 个月中，安全运营的一个主要趋势是注重“用更少的资源做更多的事情”。这种趋势一直延续到今天，尽管这一挑战并非安全领域独有——许多其他技术子领域也感受到了同样的压力——但安全领域可能是最不能有效吸收这种额外工作量的领域。 

Exabeam 和 IDC 最近的研究表明了这一点，研究发现亚太和日本 (APJ) 地区超过三分之一的受访者在过去 12 个月内经历过重大安全事件“需要额外资源来补救”。

SOC分析师已经承受着巨大的压力，他们必须掌握数百个系统日志，并能够在复杂的环境中和/或跨越重要的区域或全球影响力和员工数量执行威胁检测、调查和响应 (TDIR)。 

研究发现了一个明显的脱节：亚太地区和日本 87% 的组织认为他们具有良好或卓越的网络威胁检测能力，但他们平均只监控了 62% 的 IT 环境。 

那么，其他 38% 不在 SOC 直接监管下的 IT 环境又如何呢？有多种可能的解释。

其中一些系统或平台缺乏监管可能是一种已知风险：虽然已记录在企业风险登记册中，但被认为具有较低的违规风险，因此被降级。未受监控的系统也可能是“影子”平台或即服务平台，这些平台是在指导方针之外采购的，SOC 团队无法立即看到。

随着组织使用更多的云和生成式 AI 服务，SOC 分析师可能无法完全了解个人、团队或业务部门正在使用的所有服务，从安全角度来看，这使得有效监管变得困难。 

资源也是一个众所周知的问题。与它们监控的组织和技术资产的总体规模相比，SOC 的资源往往比较精简。在年度 SANS SOC 调查中，SOC 拥有 2-10 名 FTE 资源的情况一直被报告为最常见的规模。

虽然在一些较大的组织中，这个数字可能会增长到 26-100 名安全人员，但我们同样观察到，较大的组织拥有的 FTE 资源要少得多。这通常只有在发生事件时才会暴露出来——以及检测和响应事件所需的平均时间——这会导致对 SOC 资源和可见性进行一些深刻的反思。

适合这项工作的日志

一个普遍的结论是，许多组织没有正确的信息投入到他们的安全运营中来检测、调查和应对针对员工和系统的威胁。

毫无疑问，这不是数据问题。组织拥有数 TB 的安全日志数据，SOC 需要仔细筛选这些数据以识别潜在威胁。如果非要说问题的话，那就是有太多数据和日志被输入到安全信息和事件管理 (SIEM) 或端点检测和响应 (EDR) 系统等工具中。

对于 SOC 而言，在确定要整合哪些信息源来创建可操作的见解时，少即是多。 

SOC 不需要跨越每一个日志和遥测点 - 只需要正确的日志或日志组合来促进关键系统的可视性并了解这些系统的行为 - 或与它们交互的用户的行为 - 是正常还是异常。 

正确的日志组合可以通过发现研讨会、概念验证和特定工具的组合来实现，这些工具可以发现网络覆盖的盲点和漏洞。这些工具可用于映射当前正在使用的数据源，以建立特定场景的可见性，并在好-更好-最佳的基础上提出改进建议，以提高可见性。

通过对识别特定类型威胁进行训练的正确日志组合，SOC 分析师能够更快地执行 TDIR，这反映在高效的平均检测时间 (MTTD) 和平均解决时间 (MTTR) 指标中。 

TDIR 自动化的使用

SOC 的有效性与其选择最佳数据源检测特定类型威胁的能力之间存在明显的相关性。 

不仅如此，SOC 还需要能够尽可能地自动化分析这些日志。根据 IDC 的研究，组织面临的两大 TDIR 挑战是耗时的调查流程和整个 TDIR 工作流程缺乏自动化。 

随着攻击速度不断加快，对手采用先进的新技术（例如 AI），自动化实际上是跟上威胁行为者的唯一方法。特定的 TDIR 平台可以帮助组织实现工作流程的自动化和简化。

借助自动化和机器学习，从日志数据中区分出正常和异常行为模式，1 级 SOC 分析师可以变得与 2 级或 3 级分析师一样高效。所有 SOC 分析师能力的增强意味着可以切实实现在安全操作中事半功倍。