企业通过设计、构建和管理内部安全运营中心，可以确保充分利用在安全技术方面进行的高昂投资获得预期成果，SOC慢慢走向成为整个企业的安全营运大脑。

近日，记者采访到惠普公司亚太及日本地区企业安全区域市场总监王禄耀，分享企业如何部署SOC产品，提高快速识别和响应恶意信息安全事件方面的能力。并解读HP ArcSight ESM/Express如何实现出色的关联分析，发掘有效信息，确保高效识别、响应恶意事件。

　　记者：近几年SOC市场的状况如何?哪些行业应用比较明显?有没有典型的案例?
　　
王禄耀：目前主要应用SOC的领域，各个地区有些许的不同，总的来说，以电信业，金融服务业以及政府机关为主，而目前慢慢的中小型企业也开始建置SOC。然而，由于人员组织配置等等，许多的企业依然是以虚拟SOC为主，也就是透过SIEM产品，进行主动关联分析，主动告警，开立工单，风险追踪等等为主，至于配置7x24小时的全天监控人员，还是以大型企业为主。

典型的的使用案例，譬如中国的招商银行，该银行甚至已经自行将ArcSightSOC与该公司的ITIL流程进行整合，而电信业则有台湾中华电信，制造业则像是韩国三星电信等等。而一般企业使用SOC的部分，许多的部分是用来产生报表，以及风险分析，例如高权限用户的活动状态，企业内部蠕虫爆发情况，企业内部对外的威胁分析等等。

记者：SOC是如何实现将企业众多信息安全设备进行管理这一过程的?
　　
王禄耀：日志文件提供了一份审计跟踪，可通过对其进行分析来检测网络攻击并进行详细的取证分析，以及简化合规审计、协助应用开发和提高IT服务等级。

SOC需要能够收集、分析和存储现代网络所产生的海量数据来管理这些海量信息。这一功能可通过采用通用日志管理解决方案(如ArcSightLogger等)实现，此类解决方案能够基于任意类型的企业日志数据进行搜索、报告、提醒和分析。这些解决方案支持多种部署选择，并可作为设备和软件进行安装。

记者：是什么驱动用户部署SOC产品，而SOC产品又给企业带来哪些价值?
　　
王禄耀：通过设计、构建和管理内部安全运营中心，企业可显著提高其在快速识别和响应恶意信息安全事件方面的能力。借助SOC，企业还可确保充分利用在安全技术方面进行的高昂投资获得预期成果，并满足大量法规遵从要求。通过充分利用人员、流程和技术来应对挑战，并可确保SOC能够高效识别、响应恶意事件。

记者：作为SOC的核心功能，ArcSightESM如何实现比较好的关联分析效果?