Uber|未来的SOC安全运营中心需要补充三大能力：数据、开放式集成框架和自动化( 二 )

在一次安全事件爆发后，组织需要快速却全面的启动应急响应工作，因此往往要联动多个安全产品以查找整个组织内部中相关联的资产和数据。将这些单点的安全工具连接起来并通过额外的情景化智能数据分析，便需要跨工具的深度集成，以便团队能够充分了解如何补救和响应事件。因此，双向集成使数据能够流入和流出，自动将相关策略和命令发送回防御网格中的正确工具中，以加快响应速度。
因此，数据驱动的SOC必须要以开放式集成框架来协同。除此以外，未来SOC还需要最后一个高效和有效的构建模块——平衡自动化与人工参与的能力。

让自动化在人与机器之间找到平衡是未来SOC的第三个基石当前，在谈及SOC的自动化时，有部分安全专家支持自动化SOC内的一切，但事实上，完全的自动化带来的挑战会更加难以想象。因此，探索一种在人与机器之间找到平衡的自动化方法才是正确方向。 SOC的最佳性价比应该是让自动化能够大范围应用到重复性、低风险、耗时的任务，同时让安全专家主导那些不规则、影响大、时间敏感的告警，当人与机器之间取得平衡时，自动化可确保团队始终拥有完成工作的最佳工具。
一方面，攻击者正在变得更加狡猾，他们也正在尝试转向以复杂的策略突破组织防线。因此，检测与响应技术的重点也已经从发现一次攻击，转向了发现一次攻击在组织内部已经实际造成的攻击影响，并根据资产的情况，辅助安全专家更轻松、更高效的识别到不同攻击行为之间的关联，精准的发现那些针对整个组织发起的恶意活动。
另一方面，如果能够将安全专家个人沉淀下来的知识和经验带入到SOC的流程中，便能够极大的增强攻击事件溯源的时效性，例如，如果目标包括财务部门、人力资源或最高管理层，这可能表明存在更严重的威胁。从那里，他们可以转向描述活动、对手及其策略、技术和程序 (TTP) 的 MITRE ATT&CK 等外部数据源，以了解有关恶意软件的更多信息，然后进一步扩大搜索范围。如果他们发现某个指标与特定的活动或对手相关联，是否有相关的工件需要在其他工具中寻找以确认恶意活动的存在？还可以将哪些其他智能部署到基础架构以进行未来拦截？这种复杂程度的调查工作再交由通过自动化来协作。这是验证数据和发现、连接点并揭示包括所有受影响系统的攻击全貌，而不是单个系统上的单个事件的最有效和最有效的方法。
【Uber|未来的SOC安全运营中心需要补充三大能力：数据、开放式集成框架和自动化】因此，当自动化在人与机器之间有意识地平衡时， SOC便能够发挥最大功效，再与开放集成框架支持的数据驱动的安全方法相结合时， SOC 拥有了更高效、更彻底地工作以更好地管理当前和未来风险所需的基础。