過去兩年，說服企業領導者認真對待網絡安全變得容易多了。從SolarWinds黑客攻擊，到疫情促使在家辦公蔚然成風帶來普遍問題，越來越多的企業組織開始面臨更多的安全挑戰，企業高管也開始越來越關注企業網絡的安全性。

精心設計、精心維護且人員配備齊全的安全運營中心已經成為現代企業組織必須依靠的安全防線，它是一個進行集中安全運維的地方，安全團隊通常全天候不間斷地監控、檢測、分析和響應網絡安全事件。企業組織要確保網絡安全，不妨認真審視一下自己的安全運營中心。

以下梳理了現代企業安全運營中心必須具備的10種基礎性能力：

1. 數據采集

所有數據都與安全相關。數據是現代安全運營中心的生命線，分析和算法離不開數據。因此安全運營中心應具備從任何來源(結構化或非結構化數據)大規模攝取數據的能力，同時，還需要能夠管理這些數據，以便為機器或人員所用。

2. 威脅檢測

一旦安全威脅因素進入公司業務系統，安全運營中心能夠檢測該事件至關重要。在這種情況下，檢測側重于安全事件，而傳統解決方案側重于文件或網絡流量。安全運營中心需要能夠結合多種技術，比如關聯規則、機器學習和數據分析，以便實現更好的安全事件檢測能力。

3. 風險預警

假設安全團隊在發現安全事件前30分鐘收到警報，很多損失將可以被有效避免。預測安全事件的能力可以讓安全運營中心主動將事件上報給人員，或通過預定義的流程簡化響應。新興的預測技術有望為分析師提供早期預警，并在未知事件成為更大的風險之前識別它們。

4. 自動化運營

在安全運營中心的發展過程中，自動化不再可有可無，而是一種不可或缺的工具。自動化是幫助安全分析師的新技術之一。通過自動化功能，過去需要30分鐘完成的流程現在可以在短短40秒內完成，這使安全運營中心可以處理更多事件。

5. 能力編排

企業在構建安全運營中心時，很可能購買了數十種產品來加強運營。這些工具都有其特定的用途，并添加到防御體系中，但它們往往無法及時更新，以跟上不斷演變的威脅。安全運營中心用來追蹤威脅的產品需要緊跟基于API的網絡環境，此時，編排就有了用武之地，編排便于插入和連接安全運營中心內外的每個組件。

通過編排，安全人員再也不需要為每個產品打開新的瀏覽器選項卡，或使用不同的單點解決方案來登錄，而且無需從不同的解決方案復制和粘貼。編排所有產品的能力可以消除開銷、減少了挫折感，并幫助安全分析師將精力集中在重要任務上。

6.知識庫積累

并不是所有的威脅事件，都可以通過技術手段來發現和解決。因此，運營平臺需要告訴分析師下一步該做什么，現代安全運營中心通過知識庫積累就能做到這一點，這表現為建議具體的行動或戰略手冊。這有兩大好處：教新的分析師在遇到類似威脅時該怎么做，并讓有經驗的分析師進行完整性檢查，或提醒該做什么。

7. 事件調查

預計大部分的一級(tier-1)分析工作將在不久的將來實現自動化，但所有其他工作會有什么變化?這勢必需要詳細精準的人工分析補齊最后一塊短板。直觀的安全工具有助于提升分析師的處理能力，并幫助他們為需要調查的內容確定優先級。

8. 團隊合作

安全是一項需要協調、溝通和協作的團隊工作。安全運營中心環境中不能有任何疏忽，需要對安全事件進行全面處理，團隊需要聊天運營(ChatOps)功能，即能夠相互協作，將工具、人員、流程和自動化連入透明的工作場所。這使信息、想法和數據處于最顯眼的位置。它使安全團隊能夠更好地協作，并邀請企業外部的專家幫助生成警報，與同行共享情報信息，并最終與組織外的安全專家協作，以阻止廣泛的威脅。

9. 案例管理

就算企業安全團隊已經盡全力防止安全事故的發生，有時還是不可避免。當安全事故發生后，安全團隊需要確保自己有響應計劃、工作流程、證據收集、溝通、文檔和時間表。這就是為什么案例管理已成為現代安全運營中心的一項核心能力。

10. 報告展現

擁有合適的報告工具可以幫助安全團隊了解正在執行的操作，并能夠準確地衡量現狀和需要實現的目標。不過，如今安全運營中心面臨的挑戰是依賴太多的平臺，因此幾乎不太可能獲得準確的報告。