像 HP ArcSight 这样的工具可以进行非常深入的定制，仅仅编写正确的用例和规则来关联相关事件并就有意义的事件发出警报是非常困难的。许多组织在实施 ArcSight 时都失败了。

只是通过连接器获取原始日志到记录器，然后到 ESM，然后编写用例是一个项目，根据网络的大小和带宽，成本可能从 10 万美元到 300 万美元不等。

但是一旦它启动并运行，现在 SOC 日常工作的一部分就是查看警报并调整工具以避免太多误报；它涉及修改规则和用例。在前六个月，如果您没有合适的资源，您可能只会看到充满警报的红色仪表板，您不知道该关注哪个。

当事件发生时，世界级的 SOC 有一个明确的分类、调查和升级流程来处理它，至少有 2 层分析师。一个 24x7 的 SOC 应该近乎实时地响应，并针对检测到的攻击采取适当的行动。

通常，这些层是安全专家，这很昂贵，而轮班制则更加昂贵。服务必须可靠，这需要大量冗余。他们还应该为您收集威胁情报并研究网络攻击的新趋势。这些是稀有且昂贵的专业知识。

但 SOC 每年仅 100 万美元是不合理的。如果你去找大公司，因为他们利用规模经济，他们可能会提供更好的交易。

我希望设置 SOC 就这么简单。我有建立 MSSP 的经验，我们向众多客户提供 SOC 即服务，并帮助一些客户建立自己的 SOC。

您提出的问题看起来不错，但它们大多仅涵盖 SOC 设置的技术部分。其次，建立成熟的东西需要大量的耐心和时间。我理解您对设置低成本 SOC 的担忧，但质量会受到影响。我的意思是你可以使用 OSSIM 或 ELK 来获得免费资源，但这需要你的团队付出很多努力。

让我分享一些我会担心的事情：

技术：

1. 部署本身就是一个大工程。
2. 将日志源与您的 SIEM 集成。（与基础设施团队打交道很痛苦）
3. 您是否获得了正确的日志集？它们有任何价值吗？
4. 日志被正确解析并被消化为 SIEM 的正确功能。
5. 用例是否经过适当的微调并被触发？

人们：

1. 我有合适的资源吗？L1、L2、L3、SIEM 工程师、内容创建者。
2. 我可以长期保留资源吗？
3. 我可以为资源提供正确的培训吗？
4. 如何在资源有限的情况下进行 24x7 轮班？我是否拥有正确数量的资源？他们必须继续离开，谁来掩护他们？
5. SOC 分析师可能不是 IR 的合适人选。

过程：

1. 警报分类过程？
2. 与客户（甚至公司间部门）的沟通？
3. 事件声明和响应

不想吓到您，没有什么是不可能的，但是事先提出的​​正确研究和问题将为您省去很多麻烦。