清晰、简洁与全面：优质SOC工单的秘诀

SOC工作中，调查部分常受重视，而文档记录等不那么光鲜的方面则被忽视。SOC工单便是其中之一：它可能是内部或面向客户的，可能包含几句话或几段文字，可能囊括所有必要信息或有所欠缺。本文旨在帮助您以不同视角看待SOC工单。

优质工单有几个核心要素和一些通用标准，无论工单是内部还是外部使用。本文假设客户可能会看到您正在处理的工单。

1: 优质SOC工单包含所有必要证据

调查应为工单的最终部分——评估——构建案例。案例的大部分应是支持性证据，如截图、日志、工件等。薄弱证据行不通，内部可能不行，外部绝对不行。

根据您处理的警报类型，需提供坚实的日志证据、链接和截图，以构建案例判断警报是否为真阳性。

2: 优质SOC工单清晰简洁

支持性证据过多反成问题。工单无需包含每个无果而终的探索。如上所述，调查目标是构建案例支持评估：您认为发生了什么以及是否为恶意活动。您完全可以用几段文字完成，同时用证据支持笔记，但不要过度让客户不知所措或浪费自己的时间。若未来需要更多证据，总可在原始调查基础上扩展。

3: 优质SOC工单需要扎实的逻辑推理

在SOC工单质量检查中，我常遇到分析师对警报思考过于宽泛或过于具体的情况。需找到中间地带。若思考过于宽泛，您可能查看数周或数月的日志、无关活动或数百台主机。若过于具体，可能错过警报最重要的方面：它应是攻击的预警信号，而非孤立任务。

我常用一个故事说明这一点：我曾将工单退回给前组织的一名分析师。触发工单的警报是数据外泄警报，在短时间内有大量数据离开组织时触发。该警报命中云提供商域名，具体指向其存储服务之一。但由于我们公司使用该提供商的一些服务，分析师将工单关闭为上传至“供应商”，忽略了任何人都可利用该云提供商存储功能的关键点。

另一个好例子是，若在调查中发现警报活动被安全控制阻止，这不应意味着关闭工单并继续。在真实攻击场景中，攻击者不会耸肩说“好吧，你抓到我了”然后回家；他们会尝试绕过控制。如前所述，SOC警报常只是攻击的早期预警系统。

4: 优质SOC工单可重现

包含使用的查询、结果链接或导致特定结论的事件链通常不会决定工单成败，但会在未来节省时间和痛苦。查看其他分析师的工单时，您应能重现其结果或遵循其推理。这也有助于如第2点所述的情况，若未来需扩展问题或收到与过去处理过的类似警报并想进行比较。

5: 优质SOC工单具有教育意义

大多数SOC工单永不见天日，但那些公开的应向接收者说明和解释情况。

例如，若您将工单升级给客户，涉及个人使用声誉不佳的“免费”VPN服务，您应用几句话解释他们为何应关心。对非技术用户而言，他们可能认为无问题，因为VPN服务是免费的、永久保护您免受所有恶意软件侵害甚至为您洗碗（至少其网站这么说）。用几句话解释客户为何应关心您发送的工单，甚至提供一些可采取的行动建议。

6: （奖励）优质SOC工单…

现在是一些快速提示！

包含特定事件的时间戳和时区；并非所有人都生活在正确时区（EST）。 升级工单时，将关键信息放在顶部；客户甚至其他分析师可能略读，在长调查中，您不希望评估或关键细节被埋没。 若调查警报的不同方面或探索不同途径，考虑用分隔符分开以使工单更易读。 与上述类似，利用工单系统的格式；您无需用Times New Roman 12pt字体书写整个调查。 在内部工单中勇于诚实；若不完全清楚情况，如实说明——但用现有证据给出最佳评估。 将调查视为法庭案件；您在用证据构建案例，即使并非总有明确答案。 包含相关文档链接；若引用特定O365错误代码，链接到Microsoft页面。 升级时简洁明了，提出清晰问题，以便接收者不困惑于需回应什么。 最后但同样重要，不要过于严肃；计算机是复杂古怪的小机器，并非所有看起来奇怪的都是国家级别攻击者。有时，计算机只是有些 quirks。