一般来说,SOC 团队的主要角色包括:
- SOC 经理负责管理团队、监督所有安全操作并向组织的 CISO(首席信息安全官)报告
- 安全工程师,负责构建和管理组织的安全架构。这项工作大部分涉及评估、测试、推荐、实施和维护安全工具和技术。安全工程师还与开发或 DevOps/DevSecOps 团队合作,以确保组织的安全架构包含在应用程序开发周期中
- 安全分析师——也称为安全调查员或事件响应者——本质上是网络安全威胁或事件的第一响应者。分析师检测、调查威胁并对其进行分类(确定优先级);然后,他们识别受影响的主机、端点和用户,并采取适当的措施来减轻和遏制影响、威胁或事件。(在某些组织中,调查员和事件响应员是不同的角色,分别归类为第 1 级和第 2 级分析师)
- 威胁猎手(也称为专家安全分析师)专门检测和遏制高级威胁——设法绕过自动防御的新威胁或威胁变体
SOC 团队可能包括其他专家,具体取决于组织的规模或其开展业务的行业。较大的公司可能包括一名事件响应总监,负责沟通和协调事件响应。一些 SOC 包括法医调查员,他们专门从网络安全事件中损坏或受损的设备中检索数据(线索)。