四、工具

抛开基础安全产品不谈，两级SOC中需要关键的工具去支撑分析、检测、响应的联动。

安全模型开发工作台，在BSOC、GSOC都需要一个安全模型开发工作台，工作台支持安全模型的开发、测试、发布的模型全生命周期管理。模型开发在两级SOC中有三种模式，GSOC分析师开发提供开箱即用的安全模型、BSOC分析师开发贴合自己分公司业务的安全模型、GSOC分析师与BSOC分析师合作共建安全模型。故BSOC安全模型开发平台可在本地发布安全模型计算结果在本地告警并且告警可发送至GSOC，而GSOC除了可以在本地发布安全模型还可以将安全模型发布至任意BSOC。

SOAR是内部各个组件打通的重要系统，在多级业务中务必要支持分布式和任务并发。GSOC可以调用BSOC的SOAR，SOAR自身可以对接CASE平台、威胁情报、数仓等各类平台。例如GSOC发现应急响应在CASE平台生成重要IOC，生成IOC时触发GSOC的SOAR剧本同时调用全球BSOC的SOAR，BSOC的SOAR生成任务去查询过去半年网络原始数据与IOC碰撞结果，如果有告警则回传至GSOC。

CASE平台是由告警生成CASE的平台，BSOC可以在本地发现威胁生成CASE并上报的GSOC，GSOC可以根据CASE情况做全局分析。GSOC可以通过全局分析发现威胁分派CASE到BSOC溯源处置。

五、人

BSOC和GSOC基本都会设立一线安全监控人员、二线安全分析师、应急响应工程师，BSOC可自己独立完成监控、分析、响应，BSOC监控到的高级威胁会立即上报GSOC的高级分析师，GSOC另外会多设置威胁狩猎工程师，威胁狩猎工程师会在大网中进一步狩猎威胁，红队独立于BSOC和GSOC会对全网持续演练。

六、标准

由于业务规模庞大，标准化才尤为重要。标准化分为SOC业务的标准化和SOC制度的标准化。业务的标准化包含制定数据采集规范，采集哪些数据以及告警字段的归一化，各个业务系统对接API的标准化，业务的标准化是安全分析和自动化的基础。而制度的标准化包含GSOC与BSOC的MTTD、MTTR、安全运营CASE SOP等帮助SOC工作流畅的运行以及发现问题。