SOC 高频术语 Top 20
学习目标:掌握 SOC 日常工作中出现频率最高的 20 个核心术语,按工作流阶段建立认知框架。
全局视图:SOC 工作流 × 术语分布
┌─────────┐ ┌─────────┐ ┌──────────┐ ┌─────────┐ ┌─────────┐
│ ① 建阵地 │ → │ ② 知敌情 │ → │ ③ 测与判 │ → │ ④ 战响应 │ → │ ⑤ 看战报 │
│ │ │ │ │ │ │ │ │ │
│ SOC │ │ CTI │ │ TDIR │ │ IR │ │ MTTD │
│ SIEM │ │ ATT&CK │ │ FP / TP │ │ │ │ MTTR │
│ SOAR │ │ TTP │ │ │ │ │ │ SLA │
│ EDR │ │ IOC │ │ │ │ │ │ │
│ XDR │ │ APT │ │ │ │ │ │ │
│ IDS/IPS │ │ CVE │ │ │ │ │ │ │
│ DLP │ │ C2 │ │ │ │ │ │ │
│ (7) │ │ (7) │ │ (2) │ │ (1) │ │ (3) │
└─────────┘ └─────────┘ └──────────┘ └─────────┘ └─────────┘
准备阶段 准备阶段 执行阶段 执行阶段 改进阶段阶段一:建阵地 — 搭建 SOC,部署武器
在事件发生之前,先建好团队、部署好平台和防线。
| # | 术语 | 全称 | 释义 |
|---|---|---|---|
| 1 | SOC | Security Operations Center | 安全运营中心。7×24 监控、检测、分析和响应安全事件的集中化团队与设施 |
| 2 | SIEM | Security Information and Event Management | 安全信息与事件管理。SOC 的核心平台,集中收集、关联分析日志并生成告警 |
| 3 | SOAR | Security Orchestration, Automation and Response | 安全编排、自动化与响应。将告警处置流程自动化,减少重复性人工操作 |
| 4 | EDR | Endpoint Detection and Response | 终端检测与响应。部署在终端上,实时监控进程、文件、网络行为并提供响应能力 |
| 5 | XDR | Extended Detection and Response | 扩展检测与响应。跨终端、网络、云、邮件等多源数据的统一检测和响应平台 |
| 6 | IDS / IPS | Intrusion Detection / Prevention System | 入侵检测/防御系统。监控网络流量,检测(IDS)或主动阻断(IPS)恶意活动 |
| 7 | DLP | Data Loss Prevention | 数据防泄漏。监控和防止敏感数据通过邮件、USB、云存储等渠道外泄 |
阶段逻辑:先成立 SOC 团队 → 部署 SIEM 作为日志中枢 → 用 SOAR 自动化常见处置 → 在终端装 EDR、全局用 XDR → 网络层部署 IDS/IPS → 数据层部署 DLP。
阶段二:知敌情 — 了解对手,积累情报
打仗之前,先搞清楚敌人是谁、怎么攻击、从哪里攻击。
| # | 术语 | 全称 | 释义 |
|---|---|---|---|
| 8 | CTI | Cyber Threat Intelligence | 网络威胁情报。关于威胁行为者、攻击手法和防御建议的结构化信息 |
| 9 | ATT&CK | Adversarial Tactics, Techniques and Common Knowledge | MITRE 攻击知识库框架,按战术和技术分类编目已知攻击行为 |
| 10 | TTP | Tactics, Techniques and Procedures | 战术、技术和程序。描述攻击者行为模式,比 IOC 更持久、更难改变 |
| 11 | IOC | Indicator of Compromise | 失陷指标。用于识别已发生入侵的技术证据,如恶意 IP、域名、文件 Hash |
| 12 | APT | Advanced Persistent Threat | 高级持续性威胁。有组织、有资源的攻击团体,长期潜伏并针对特定目标 |
| 13 | CVE | Common Vulnerabilities and Exposures | 通用漏洞披露。为每个公开漏洞分配唯一编号(如 CVE-2024-3094) |
| 14 | C2 / C&C | Command and Control | 命令与控制。攻击者远程操控被入侵系统的通信通道 |
阶段逻辑:订阅 CTI 情报源 → 用 ATT&CK 框架理解攻击全貌 → 掌握攻击者的 TTP 行为模式 → 落地为可检测的 IOC 指标 → 重点关注 APT 组织动向 → 跟踪 CVE 新漏洞 → 熟悉 C2 通信特征。
阶段三:测与判 — 发现告警,研判真假
防线和情报就绪后,进入日常值守:告警来了,是真是假?
| # | 术语 | 全称 | 释义 |
|---|---|---|---|
| 15 | TDIR | Threat Detection, Investigation and Response | 威胁检测、调查与响应。描述 SOC 核心工作流的完整闭环 |
| 16 | FP / TP | False Positive / True Positive | 误报 / 真阳性。FP 是告警误判为威胁,TP 是告警准确识别了真实威胁 |
阶段逻辑:SOC 的日常核心循环是 TDIR — 检测到告警后第一件事是判断 FP 还是 TP,这个判断决定了后续走向。
阶段四:战响应 — 确认入侵,遏制处置
确认为 TP 后,立即启动事件响应流程。
| # | 术语 | 全称 | 释义 |
|---|---|---|---|
| 17 | IR | Incident Response | 事件响应。对已确认安全事件进行遏制、消除、恢复和复盘的完整流程 |
阶段逻辑:TP 确认 → 启动 IR 流程 → 遏制 → 消除 → 恢复 → 复盘。
阶段五:看战报 — 衡量效能,持续优化
每一次事件结束后,用数据复盘,推动能力提升。
| # | 术语 | 全称 | 释义 |
|---|---|---|---|
| 18 | MTTD | Mean Time to Detect | 平均检测时间。从威胁进入环境到被发现的平均时长,衡量检测能力 |
| 19 | MTTR | Mean Time to Respond | 平均响应时间。从确认事件到完成遏制/修复的平均时长,衡量响应效率 |
| 20 | SLA | Service Level Agreement | 服务等级协议。SOC 与业务方约定的告警响应时间、处置时效等量化承诺 |
阶段逻辑:用 MTTD 衡量"发现有多快" → 用 MTTR 衡量"处置有多快" → 将指标写入 SLA 作为对业务方的承诺和持续改进目标。
一句话记忆法
建:SOC 用 SIEM + SOAR 收日志、自动化,靠 EDR/XDR 看终端全局,IDS/IPS 守网络,DLP 防数据泄露 → 知:订阅 CTI,学 ATT&CK,掌握 TTP 和 IOC,盯 APT、追 CVE、识别 C2 → 判:在 TDIR 循环中分清 FP/TP → 应:TP 确认即启 IR → 量:用 MTTD/MTTR 度量,向 SLA 交付。
进阶:AI 原生 SOC 时代新词
掌握 Top 20 经典术语后,建议补充以下 2024 年后兴起的新词汇(详见 Top 100 附录 A1-A12):
- Agentic SOC — 多 AI Agent 协同的新一代 SOC
- AI SOC Analyst — 替代 Tier 1 分析师的 AI Agent(如 Dropzone AI)
- Glass Box AI — 推理过程全程可审计的 AI
- MCP — 跨厂商 AI Agent 协作的开放协议
- HITL — 人在回路,AI 自主决策 + 人审批的混合模式
→ 想理解 SOC 行业的范式迁移,看 SOC 范式迁移。