毋庸置疑，企业SOC系统越来越受到大家的关注。从风险态势，合规要求以及从安全管理的角度来看，传统靠堆安全设备的被动防护方法必然会逐步被依赖主动发现快速响应的方法论所代替。然而，参考国外成熟的SOC自建团队动辄十几甚至上百人的规模，以及长达几年的建设周期来看，国内大多数企业很难在短期有效开展。托管方式（MSSP）的服务模式尽快概念良好，但是国外产品存在合规，威胁场景不同以及沟通交流等等诸多问题，本地产品大都处于起步阶段，因此能真正满足预期依然存在一段距离。

在有限的资源投入下，结合企业特质及现有资源，以实现SOC初步功能为目标（暨持续发现企业中的安全威胁和漏洞，并有流程及时响应），并以此加强企业的风险管理能力，提升管理层对于安全工作的可见性，可能是更务实有效的办法。我就是这个想法的实践者。我可以在本次分享会中和大家分享包括SIEM平台的选择，威胁模型的建立，商业工具和开源平台的集成，管理流程的建立，安全分析人员的培训等多个方面。

在本次分享会中可以针对以下建设过程中碰到的实际问题和大家探讨：

1.如何选择SIEM平台？

2.如何调优和创建威胁用例？

3. 如何处理海量告警？

4. 如何通过告警追踪到问题根源？

5. 如何培训胜任的安全分析人员？

华树嘉 – 现就职于某知名零售企业担任安全运维主管。10年信息安全工作经验。参与并主导过企业身份管理系统，应用安全架构，安全运维平台(SOC)等企业内部安全控制系统的建设。擅长于安全测试，自动化技术和安全的集成，安全事件分析及调查。CISA, CISSP及CSSLP等证书持有者。