资产库存。 SOC 需要维护一份详尽的清单，其中涉及数据中心内外需要加以保护的一切内容（如应用、数据库、服务器、云服务、终端等），以及为这些内容提供保护的所有工具（防火墙、防病毒/防恶意软件/防勒索软件工具、监控软件等）。 许多 SOC 都采用资产发现解决方案来处理此项任务。

例行维护和准备。 为了最大限度提高现有安全工具和措施的有效性，SOC 会执行预防性维护，如应用软件补丁和升级，并不断更新防火墙、白名单和黑名单以及安全策略和程序。 SOC 还会创建系统备份，或协助创建备份策略或程序，以确保在发生数据泄露、勒索软件攻击或其他网络安全事件时的业务连续性。

事件响应规划。 SOC 负责制定组织的事件响应计划，该计划定义了发生威胁或事件时的活动、角色、责任，以及衡量任何事件响应成功与否的指标。

定期测试。 SOC 团队将执行全面的漏洞评估，确定每项资源存在的潜在威胁漏洞及关联成本。 它还将执行渗透测试，在另一系统上模拟特定攻击。 团队会根据这些测试的结果对应用、安全策略、最佳实践和事件响应计划进行修补或调优。

随时了解最新情况。 SOC 可随时了解最新的安全解决方案和技术，以及最新的威胁情报，比如从社交媒体、行业资源和暗网收集的有关网络攻击和实施这些攻击的黑客的新闻和信息。

持续、全天候的安全监控。 SOC 以 24/7/365 方式全天候监控整个扩展 IT 基础架构，包括应用、服务器、系统软件、计算设备、云工作负载和网络，找出已知漏洞的迹象和任何可疑活动。

对于许多 SOC 而言，核心监控、检测和响应技术已属 安全信息和事件管理 (SIEM) 的范畴。 SIEM 会实时监控和汇集来自网络上软件和硬件的警报和遥测数据，然后分析数据以识别潜在威胁。 最近，一些 SOC 还采用了扩展检测和响应 (XDR) 技术，该技术提供了更详细的遥测和监控数据，且能够自动执行事件检测和响应。

日志管理。 日志管理用于收集和分析每个网络事件所生成的日志数据，也属于监控的一部分，其重要性不言而喻。 虽然大多数 IT 部门都会收集日志数据，但往往通过分析才能建立常规或基线活动，并找出表明存在可疑活动的异常。 事实上，许多黑客得逞的原因便是公司不一定会分析日志数据，这让他们的病毒和恶意软件能够在受害者系统中运行数周乃至数月而不被察觉。 大多数 SIEM 解决方案都包含日志管理功能。

威胁检测。 SOC 团队通过噪音对信号进行分类，从误报中找出真正的网络威胁和黑客攻击，然后再按严重程度对威胁进行分类。 现代 SIEM 解决方案包含了人工智能 (AI)，它能让这些流程自动从数据中进行“学习”，从而随时间推移更好地发现可疑活动。

事件响应。 为应对威胁或实际事件，SOC 采取各种措施来减少损害。 这些措施可能包括：

• 根本原因调查，以确定造成黑客能够访问系统的技术漏洞，以及导致该事件的其他因素（如密码卫生不良或策略执行不力）

• 关闭受感染的终端或断开其网络连接

• 隔离网络的受损区域或重新路由网络流量

• 暂停或停止受感染的应用或进程

• 删除损坏或受感染的文件

• 运行防病毒或反恶意软件

• 针对内部和外部用户停用密码。

许多 XDR 解决方案使 SOC 能够自动执行并加速这些措施和其他事件响应措施。

恢复和补救。 一旦事件得到控制，SOC 就会消除威胁，然后将受影响资产恢复到事件发生前的状态（例如擦除、恢复和重新连接磁盘、最终用户设备和其他终端；恢复网络流量；重新启动应用和进程）。 如果发生数据泄露或勒索软件攻击，恢复过程还可能涉及切换到备份系统，以及重置密码和身份验证凭证。

事后分析和优化。 为防止事件再次发生，SOC 会利用从事件中获得的任何新情报来更好地解决漏洞、更新流程和策略、选择新的网络安全工具或修改事件响应计划。 在更高层面上，SOC 团队还可能试图确定此事件是否意味着出现了新的或变化的网络安全趋势，需要团队做好应对准备。

合规性管理。 SOC 的职责是确保所有应用、系统和安全工具与流程符合数据隐私法规，如 GDPR（全球数据保护条例）、CCPA（加州消费者隐私法案）、PCI DSS（支付卡行业数据安全标准），以及 HIPAA（健康保险可移植性与责任法案）。 事件发生后，SOC 将确保依照法规通知用户、监管机构、执法部门和其他各方，并保留所需的事件数据以供取证和审计。