SOC和CSIRT有什么区别？

Question

因此，根据我在互联网上的发现，SOC收集信息，CSIRT根据这些信息得出结论。

然而，根据我在像BlueTeam实验室在线这样的实验室/挑战网站上看到的，这些行没有被定义，因为来自这两个领域的不同的挑战(操作中心示例：日志分析- Sysmon，IR示例：日志分析-妥协压字机)可以要求您做同样的事情(前面的两个例子要求您从日志中进行一些研究)，它们的问题非常类似于哪些文件.或者攻击者用什么..。

有没有人能使SOC和CSIRT之间的界限更加清晰(至少从这些挑战的角度来看)？

Answer 1

更广泛地说：

• SOC分析数据以确定是否存在要响应的事件。
• CSIRT响应安全事件

在技能和活动方面，必然会有很多交叉。SOC甚至将执行许多CSIRT任务，特别是如果这些问题是直接的，并且很容易包含给定的既定程序和资源。但是通常情况下，CSIRT是对已知的安全影响事件作出响应，因此他们的活动集中在遏制和恢复上。

在提到您突出显示的日志分析活动时：

• SOC需要分析日志以确定是否存在需要跟踪的事件。
• CSIRT需要对这些日志进行跟踪，并执行自己的分析，以确定安全问题的范围，以及是否有其他需要调查的问题。