說明

• 資安的範圍很廣，一直讓資安人員做些瑣事離職率可能會上升
• 我們想要更快速的回應/處理事件，就算有24小時維運也需要處理時間，更何況技術頂尖的專家少會接受輪班

作法

Google發表一系列文章提到了，讓SOC安全營運中心學習SRE可靠性工程的做法。

實現自主安全操作：減少勞累

Achieving Autonomic Security Operations: Reducing toil
https://cloud.google.com/blog/products/identity-security/achieving-autonomic-security-operations-reducing-toil

• 首先，讓您的團隊了解如何在 SOC 中實施 SRE 理念。
• 目標是將您的操作時間縮短至 50%；嘗試將剩餘的 50% 花在以「自動化優先」的心態改進系統和檢測上。

實現自主安全營運：自動化讓資安處理力量倍增

Achieving Autonomic Security Operations: Automation as a Force Multiplier
https://cloud.google.com/blog/products/identity-security/security-automation-lessons-from-site-reliability-engineering-for-security-operations-center

• 自動化應用於 SOC 中的許多不同領域和不同角色。涵蓋了為事件回應活動建立Playbook（使用Siemplify或其他 SOAR 產品等工具）。每當你重複做某件事時，問問自己這是否可以創造性地自動化。
• 自動化提供的不僅僅是節省時間，一致性也是自動化的核心要素

實現自主安全操作：為什麼指標很重要

[Infographic] Achieving Autonomic Security Operations: Why metrics matter (but not how you think)
https://cloud.google.com/blog/products/identity-security/mind-your-metrics-to-achieve-better-autonomic-security-operations

• 在實踐中，我們測量一些東西（SLI）並設定目標值（SLO）；我們可能也就此達成了協議 (SLA)
  • SLI: 服務水平指標
  • SLO: 服務等級目標
  • SLA: (與使用者)服務等級協議
• 堅持 100% 滿足 SLO 既不現實，也不可取：這樣做會降低創新和部署的速度。
  

結論

成熟度不外乎 可重複> 被定義 > 可管理 > 持續優化
將處理的流程寫成SOP，接著讓程式自動化處理減少人工問題，將自動化產生的資料量化成可管理的數據，有了這些數據就能持續優化進步

參考

Autonomic Approach to SOC: Applying SRE Lessons to Security Operations