SIEM、SOC、MSS三者的区别与联系

前言

SIEM和SOC在国内并不是一个新兴的名词，相反在国内安全圈内经过了10余年的挣扎，SIEM已经趋于成熟，但是SOC仍处于一个鸡肋的位置，我认为其主要原因在SOC受制于国内体制、政策、相关日志标准、应用环境、传统认识的制约，从而它在国内一开始就是以产品的方式出现。缺少了MSS的辅助SOC就像是要求汽车驾驶员去驾驶维护飞机，这也是国内SOC一直无法用起来的主要原因。

而以SOC为基础的MSS（可管理安全服务）一直无法发展状大的原因有二。

欧美国家对MSS服务的技术封锁。

提供MSS服务要求拥有相当经验高级安全分析专家、完整的SOC运维团队；标准的安全事件响应与处理流程、SLA；成熟的信息安全检测模型、威胁场景库；精确的警报系统、报告系统。学习和建立这一套服务体系不光要耗费大量的金钱、时间与人力，还需要海量的运营资源来实践，可见要拉出一支这样的团队实属不易。

高昂的人力成本与客户现场运维相冲突。

做到以上MSS服务的要求需要的成本非常高昂，这就意味是如果要使其商业化最好的方式是集中式管理运营，这点与国内高端客户普遍要求服务商在现场运维是相冲突的。欧美国家的MSS服务之所以盛行，其原因是其相关信息安全标准已经非常成熟，国家与商业机构都已经普遍执行并认可，所以MSS所要求的日志外传+集中式管理运营（安全日志代运维）得到了接受和认可。

什么是SIEM

SIEM (安全信息和事件管理)是软件和服务的组合，是SIM（安全信息管理）和SEM（安全事件管理）的融合体。两者的区别在 于SEM侧重于实时监控和事件处理方面，SIM侧重历史日志分析和取证方面。SIEM为来自企业和组织中所有IT资源（包括网络、系统和应用）产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告，实现IT资源合规性管理的目标，同时提升企业和组织的安全运营、威胁管理和应急响应能力。

什么是SOC

SOC（安全运营中心）来源于NOC（网络运营中心）。

随着信息安全问题的日益突出，安全管理理论与技术的不断发展，需要从安全的角度去管理整个网络和系统，而传统的NOC在这方面缺少技术支撑，于是，出现了SOC的概念。

目前所说的SOC是SOC 1.0阶段，只是在SOC的核心部件SIEM的买卖，国外所说的SOC是一个复杂的系统，它使用SIEM产品进行运维又以此向客户提供服务，也就是我们所说的SOC 2.0/MSS。

SOC(安全运营中心)是以资产为核心，以安全事件管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事件及风险分析，预警管理，应急响应的集中安全管理系统。

SOC是一个复杂的系统，它既有产品，又有服务，还有运维，SOC是技术、流程和人的有机结合。

什么是MSS

MSS（可管理安全服务）是由专业的MSSP（可管理安全服务提供商）提供的安全运维外包服务。

MSS可为客户带来以下收益。

 1.降低成本：人员配置，技能要求，场地需求。

 2. 全天候监控：7×24的监控服务。

 3. 风险监控：有效监控安全风险，第一时间提供解决方案。

 4. 发现和解决问题：及时发现和解决可能存在的安全问题。

 5.趋势分析：专业的安全趋势分析，月、季、年安全分析报告。

 6.日志存储和查询：日志有效存储和备份、快速查询定位。

SIEM、SOC和MSS的区别与关联

SIEM侧重于日志的集中式管理和审计，SOC则用于安全日志的分析和安全风险的监控与定位。两者的侧重点不同决定了，SIEM可以用产品来交附而SOC则必需加入MSS服务的人工干预来完善。

对于两者之间的区别，SIEM只做到了传统的安全日志数量统计，SOC+MSS则是对安全日志重定义并生成新的安全事件，实现对安全日志的归并、过滤与威胁定级，将安全警报量化。例如，A公司受到黑客的DDoS攻击,15分钟内收到了20W条相关的安全日志。SIEM报给客户的报警为20W条，而SOC报给客户的报警为1条，显然在安全风险管理的角度上来看，SIEM的计数方式是不科学的。

MSS服务结合SOC则能做到智能化监控、分析、预警服务，改变过往自行维护繁复的安全信息与事件管理平台的习惯，摒弃安全信息与事件管理平台的复杂化，从管理的简易性、事件呈现、事件处理等角度提供解决方案，可以通过门户网站的模式获得所关心的内容，同时也可以在指定时间内通过电话等多种形式得到安全响应和相应的安全解决方案，在门户网站上也能得到更加详细的解决方案内容。

结合原文的介绍，我把他用Xmind画了出来，方便更直观的学习和了解。