說明

Cybersecurity operations exist to support their organizations’ missions, so they need context for the data that they see and the action they take

目標是要完成組織給予的使命，依據不同行業、規模大小、營運方針會有所不同。試想如果從事電力這種基礎設施或是金融機構，所採用的策略應該是不同的，因為關注的點不同，前者重視可用性，而後者重視機密性及完整性。

作法

Situation awareness(SA)

一開始提到SOC成員應該訓練對於該企業環境及收集到的各種資訊結合起來，快速地進行反應。
遵循觀察（Observe），了解（Orient），決定（Decide），與行動（Act）的循環（OODA 循環）。這個理論是美國空軍訓練的交戰程序。
Wiki OODA循環 https://zh.wikipedia.org/zh-tw/OODA%E5%BE%AA%E7%92%B0

告警事件分析 -> 搜索Log等資訊 -> 評估漏洞及影響 -> 處理，隨著這個循環，SA能力逐漸增強，將成為更有效的營運SOC。可以解釋成，越了解環境，可以快速分析出哪些是誤判、哪些是異常，該如何處理。

SOC Operating Context

要如何提高SA能力，有五個領域：

• 業務/使命(Business/mission)：了解提供什麼產品或服務、有哪些主要客戶、地理位置以及與供應商或分銷商等第三方的關係。
• 法律和監管環境(Legal and regulatory environment)：政府法律、行業法規或公司規定，例如最近隱私法修正，以及銀行受金管會監管等等。
• 技術和資料環境(Technical and data environmen)：關於資產的數量、類型、位置和網路狀況(對外/跨區域)及這些資產的狀態（例如修補程式狀態、漏洞狀態）。以及了解關鍵系統、業務關係和價值(例如轉帳系統、交易平台)，以及位置（本地、雲端、合作IT）。
  • Ponemon Institute 2019 年的一項研究表明，「65% 的受訪者表示，SOC 成功的最大障礙是缺乏對IT 安全基礎設施的了解。 => 安排內部教育訓練介紹基礎架構，且IT的架構變動應該要知會SOC人員，IP等資產資料也要及時同步。
• 使用者、使用者行為和服務互動(Users, user behaviors, and service interactions)：用戶行為模式，例如上下班時間某些系統比較繁忙，對這些資訊有一個Baseline，就更容易看出異常。
• 威脅(Threat)：了解誰對你有可能有攻擊行為（例如政府單位可能會遭國家駭客攻擊）。
  

這些資訊有利於SOC人員在決定處理事件的優先及方式

The SOC should be able to put any cyber event it observes into constituency context so that it can effectively prioritize its actions.

結論

某個IP跳出大量橫向登入驗證失敗時該如何處置? 你知道這個IP是什麼設備嗎? 對外官方網站連到內部客戶資料庫是正常的嗎? 能夠阻擋連線、斷網或關機嗎? 該請示那些人? 處理時限?

多告知一些資訊是有利於決策判斷，可以用演練的方式找出不足的部分，一次次加速處理完善流程