原文是去年看到的一系列文章，共8篇。本文详细介绍了SOCass(SOCasaService)的结构和部署方法。SOC的概念在国内比较常见——安全运营中心，很多安全厂商也有相关产品。但是SOCasS的概念比较少见。我在国内一些安全论坛/社区好像没见过这个词，国外甚至推出了SOCasS的相关产品/服务。当时有兴趣的时候收藏了文章，断断续续的看完了。

SOCasS是什么？简而言之：企业可能由于缺乏时间/资源/安全人力，很难组建自己的内部安全团队。但它们可以利用第三方技术和软件工具来构建适合企业的SOC(这个第三方可以理解为制造商的产品和技术，也可以理解为开源产品/技术)。

这篇文章是由突尼斯INSAT大学的三个学生编写的，他们利用100%开放源码的软件和技术，构建了一套非常完善的SOC：包括平台结构，各种日志收集，漏洞扫描，监控，日志处理，数据整合，kitboard数据图表，告警，应急响应事件管控等。它涵盖了丰富的内容，值得一读。作者还抱着学习的目的，在阅读的同时，把这8篇文章翻译成中文，让国内安全同行更加直观、方便地阅读和理解(文章近25000字，许多内容都是开放源码软件的部署方法，理解起来并不难，读者也可以根据每一章的标题有选择地阅读)。

作者从事甲方安全建设工作多年，也见过各式各样的同行。从事技术工作，当然要相信技术是第一生产力，但有时在安全厂商的宣传下，买买买成了第一生产力(当然，预算充足完全可以这样做)。这类实践性文章在国内很少见到，文字概念性文章比比皆是，这是一件很有意思的事。安全性道路漫长，安全性非一日之功，我们的理想状态是利用有限的资源实现安全性建设的最大价值。当然，还是要多做实事，多学习，多进步。

结构及相关配置简介

近年来，网络攻击的数量不断增加。这类攻击不仅针对个人，也针对企业、政府、关键基础设施等。由于攻击的复杂性和数量庞大，传统的解决方案(如防病毒、防火墙、NIDS、NIPS等)已不能满足需求。知名企业一般应用SIEM(SecurommanyInformationandEventManagededuce-安全信息和事件管控)的解决方案，集成到安全建设中，收集和关联网络设备、安全设备和其他终端产生的警告和日志。但是，这样的方案不仅金钱，而且需要安全团队分析错误的报告，调查处理复杂的安全事件。这导致了SecurommanyOperationsCenter(安全运营中心)方法的出现，也就是众所周知的SOC。被认为是安全领域的新方法，减少复杂性和复杂性日益增加的攻击数。SOC是技术人员、各种流程和技术的集成体，提供端到端的安全能力。但现状是:组建SOC团队的成本太高，目前只有大型互联网公司在做。

此时，安全运营中心即服务-SecurommanyOperationCenterasaService(SOCasS)的方法应运而生。SOCaS是将安全运营中心(SOC)外包给第三方(应用第三方技术和软件工具)。因此，资源有限的企业可以通过更便宜、更高效、更快的部署方式来改善其安全状况，并提高其对攻击面的防御能力。这个项目是由突尼斯INSAT大学的三名学生IbrahimAyadhi,GhassenMiled和MehiMasri在BasemBenSalah教授的指导下完成的。所用的技术和工具100%是免费和开放的。