New to SOC

Appearance

告警分诊与事件响应

学习目标:掌握 SOC 告警分诊的标准流程和事件响应的基本步骤。

告警分诊(Triage)

什么是分诊

分诊是 SOC 分析师收到告警后的第一步:快速判断告警是否是真正的安全威胁,并确定优先级。

分诊决策矩阵 

收到告警
  ├── 是否已知误报模式? → 是 → 标记为误报,关闭
  ├── 原始日志是否支持告警判定? → 否 → 标记为误报,建议调优规则
  └── 确认为真阳性
        ├── 影响范围?(单台 / 多台 / 全网)
        ├── 资产价值?(普通终端 / 服务器 / 域控)
        └── 攻击阶段?(侦察 / 利用 / C2 / 数据外传)
              → 综合判定严重级别 → 创建事件工单

严重级别定义

级别定义响应时间示例
P1 - 紧急核心业务受到直接威胁立即勒索软件爆发、数据大规模外传
P2 - 高确认的入侵但影响可控1 小时内单台主机被控、特权账号异常
P3 - 中可疑活动需进一步调查4 小时内异常登录模式、可疑外联
P4 - 低轻微违规或信息类告警24 小时内策略违规、扫描活动

国内常见的 P0-P3 分级(参照国标)

国内政企机构在制定事件响应预案时,常参照国家标准 GB/T 20986(信息安全技术 网络安全事件分类分级指南,⚠️ 具体版本号请以最新发布为准)做四级划分。这套分级与上面的 P1-P4 在思路上是一致的,只是按"信息系统重要性 × 损失程度"划得更细,对应不同的响应时间 SLA:

级别含义典型情形响应时间 SLA
P0 - 特别重大特别重要信息系统遭持续、大量、有组织攻击,或大量敏感数据泄漏,造成特别重大社会影响国家级关键基础设施被攻陷15 分钟内启动应急小组
P1 - 重大特别重要系统受单次/少量攻击,或重要系统遭多次攻击,造成严重系统损失核心生产系统被入侵、关键数据泄露30 分钟内出初步分析报告
P2 - 较大重要系统受少量攻击,或一般系统遭多次攻击,造成较大损失单个业务系统被攻陷、部分数据泄露2 小时内出处置方案
P3 - 一般一次失败的攻击尝试,或被防护设备拦截,未造成或仅造成较小损失扫描探测、被防火墙拦截的攻击24 小时内工单闭环

事件类型维度(每一级会按事件类型再细分):

  • 网络攻击:DDoS、入侵、横向渗透、C2 通信
  • 有害程序事件:病毒、木马、勒索软件、蠕虫
  • 数据攻击事件:敏感信息泄露、业务数据外传

注:每个企业的具体响应时间 SLA 可在国标基础上结合自身资产重要性做调整,上表给出的是行业常见值。

事件响应流程(NIST 框架)

1. 准备(Preparation)

在事件发生前建立响应能力:

  • 制定事件响应计划和 playbook
  • 部署检测和取证工具
  • 培训响应团队
  • 建立通信机制

2. 检测与分析(Detection & Analysis)

  • 识别和确认安全事件
  • 确定事件范围和影响
  • 收集和保存证据
  • 记录时间线

3. 遏制、消除与恢复(Containment, Eradication & Recovery)

短期遏制

  • 隔离受感染主机(断网但不关机)
  • 封锁恶意 IP/域名
  • 禁用被攻陷的账号

消除

  • 清除恶意软件和后门
  • 修复被利用的漏洞
  • 重置受影响的凭证

恢复

  • 从干净备份恢复系统
  • 逐步恢复网络连接
  • 持续监控是否有复发迹象

4. 事后复盘(Post-Incident Activity)

  • 编写事件报告
  • 召开复盘会议
  • 更新检测规则和 playbook
  • 分享经验教训(Lessons Learned)

复盘要建立"固定的归因维度"——而不是每次事件凭感觉总结。腾讯安全团队对每个外报漏洞做复盘时都使用统一维度:

漏洞为什么没被检测系统发现?— 策略问题 / 未抓取到 URL / 未经过上线前扫描 / 系统 bug …

把一段时间内的所有事件按统一维度归类,就能看出哪类问题在收敛、哪类问题在新增——这正是下一阶段调优该聚焦的重点。举一反三,从一个问题优化一类问题。

借力复盘:把友商当免费的教材

业界出现重大安全事件时(例如著名厂商被勒索、SaaS 服务被供应链攻击),是几乎零成本的安全意识教育契机:

  • 趁热打铁推送内部培训——员工本来对安全无感,看到友商爆雷会瞬间有共鸣
  • 同步对照自查——友商出的问题,我们有没有同样的盲区?
  • 没有事件机会怎么办?让蓝军/红队主动制造机会

不要只看友商笑话,要拆解原因映射到自家。系统化的运营心法详见 安全运营方法论

5. 闭环回写:让每次事件都让 SOC 变强

复盘不只是开会,关键是把这次事件的"经验"落回到平台里。一个成熟的 SOC 会把闭环动作固化成两条线:

A. 知识库沉淀

  • 按"行业 × 攻击类型"分类归档:例如"金融行业-钓鱼邮件-绕过 DKIM"
  • 每个 case 至少包含:触发告警 → 调查路径 → 关键证据 → 处置动作 → 后续改进
  • 目的:新人能直接用 case 库自学,团队不被人员流动稀释

B. 规则与阈值反向调优

  • 误报率高 → 收紧条件、加白名单、补充上下文判断
  • 漏报率高 → 放宽条件、加新数据源、引入威胁情报
  • 阈值矫正:比如"用户单次下载 ≥ 100 MB 告警"——如果 99% 来自正常的财务月度报表导出,那阈值就要按真实业务基线调整,而不是固定一个拍脑袋的数字

一句话原则:误报不是 SOC 的失败,没人去消化误报才是。

L1 分析师的实操建议

  • 建立自己的 checklist — 每种常见告警类型整理一个检查步骤清单
  • 善用时间线 — 按时间排列所有相关事件,往往能看出攻击全貌
  • 多问一个"为什么" — 不要满足于"这是误报",搞清楚为什么会触发
  • 积累 case 库 — 把分析过的有价值的案例记录下来,是最好的学习素材

MIT License

Copyright © 2026 Derek7552