SOC/SIEM 如何与企业业务相结合

问题比较大，首先要想清楚安全团队对于企业业务的价值。如果主要是为了应对合规的话，那就要看合规要求中有没有对这块的强制要求了，如果有的话，去做显然对业务是有帮助的。不过目前绝大多数做这块的还是从风险角度出发的。所以我觉得在开始项目之前很有必要从业务部门和管理层那边了解到公司主要的信息安全威胁是什么，然后再结合安全团队对于内部风险的认识，整理出威胁用例。在过程中要针对这些威胁用例调整并优化规则，设计出业务部门和管理层能够看懂的报告，并在运维过程中持续提供相关报告。