如何真正发挥SOC的价值，做到和业务集合，而不是给自己增加太多的额外工作和业务无感知？

新一代的SIEM，即安全智能平台的可以在最大程度上减少安全分析人员的工作量，只会将企业中安全威胁程度最高的事件推送给安全分析人员。安全智能平台不断更新安全策略，结合最新的安全情报信息，保障企业的信息安全。同时，人工智能不断应用于信息安全领域，如：IBM Watson for Cybersecurity，通过机器学习，自然语言等能力帮助企业提升安全分析和响应能力。

梳理资产和理解业务，这是能够发挥SOC价值的必经之路，SOC规则大致可以分为两块：1、对于基于系统漏洞（CVE）攻击的告警规则（主要依靠厂商内置规则）；2、基于业务规则的告警规则设置。
SOC平台的运营主要是围绕后面开展的。

至于你说的不要增加太多的额外工作和业务无感知。

额外工作就是梳理资产和理解业务，这块不做，大量的无效告警足以淹没你。
业务无感知，SOC平台多数情况下是"看“，不去防守的，至于需要业务配合的主要是信息采集的方式以及采集的数据是否影响业务活动之类的。