这里有一些关于建立项目的经验，尤其是安全项目，这些经验适用于咨询和外包，我写在关于事件妥协的安全堆栈交换答案中。

至于资源，这在很大程度上取决于您的环境，您需要构建什么以及雇用多少人（以及资格级别）。在很多方面，一两个优秀的战略顾问可以推动你做出更好的决策，但如果你想要真实的故事——让我给你一些额外的建议。

安全事件和事件最好由已经熟悉 SIEM 和事件检测与响应 (IDR) 面板的人员跟踪 - 所以寻找具有过去实践和战略长期 SIEM/日志管理/IDR 经验的候选人。对于人员配备，Lance Hayden 使用 Minitab 中的泊松分布分析当前的安全事件/事件流，如他在《IT 安全指标》一书中所述。他还探讨了对构建高质量 SOC 非常重要的业务工作流程和其他概念。

对于 IDR 面板，可以考虑AIRT或RTIR——或者构建一个自定义面板，可能基于它们的线框和工作流程。许多组织将 IDR 集成到他们的票务系统中，例如 Remedy。

SIEM 需要花钱，但有书籍和资源可以开始 SOC。2011 年的大多数安全事件是 SQL 注入（或其他 Web 应用层攻击）和客户端浏览器/文档攻击（例如 Adob​​e Reader/Flash、Microsoft IE/Office/ActiveX、Oracle Java 小程序等）。强烈建议您的 SOC 团队熟悉这篇题为Closing The Loop 的博文中概述的技术和工具。虽然不要淡化该博客文章中其他更重要的信息——您特别感兴趣，[PDF] [CSIRT 手册] 6 [下载]。那篇论文很旧，但仍然非常相关。

如需更多最新资源，请查看FIRST的指南和许多其他资源。

这些书也将有所帮助，按需要排序：

• 安全信息和事件管理 (SIEM) 实施
• Windows 平台和应用程序中的安全策略
• Malware Analyst's Cookbook 和 DVD：对抗恶意代码的工具和技术
• 恶意软件取证：调查和分析恶意代码
• 网络安全黑客，第二版
• 安全电动工具
• Pro Open Source Mail：构建企业邮件解决方案