T-Sec 安全运营中心（专有云）(以下简称腾讯SOC）核心是想提供给企业安全人员一个统一的安全运营和管理平台，让安全人员无论在面对外部攻击者攻击、或者内部账号/设备失陷时，都能高效、及时、精准的感知到，从而能够及时响应安全事件。

这意味着SOC上首先且基础要做的是接入 企业安全相关的数据。国内企业在“纵深防御”的思路指导下，大都配有防火墙，waf，抗D，终端，NTA，DLP等多种安全设备。腾讯SOC内置400+个解析模版，覆盖多个知名厂家，多种类型的安全设备，这使得他能够以最快的速度、最低的成本，几乎无修改的帮客户完成大部分的数据接入和解析工作。

在数据接入工作完成以后，SOC相当于多了许多“眼睛”，这些“眼睛”在各自的“岗位”上去记录数据，提供给SOC让它进行深度加工。相比其他品类的安全产品，SOC的独特优势在于它有一个最强大脑，它利用多只眼睛汇聚过来的信息，借助自己的平台能力来进行更高级的威胁分析，从而使得它信息更全面、更准确、更能全链路追随威胁及风险

在腾讯SOC中，UE风险分析引擎，从用户和设备两个维度去做深度的威胁分析。

它首先将“眼睛”看到的数据进行信息上的完善，将某些缺失的信息通过上下文和其他的平台数据智能化的补充上，重点是用户和设备相关的信息。例如某些设备上出现“访问恶意域名”的告警，最初并不知道是哪个用户操作的，在腾讯SOC的最强大脑中，它可以通过更丰富的数据“联想”到具体某个用户在哪个设备进行了风险操作。

之后，它将每个用户和每个设备的风险时间线梳理出来，时间线上包括敏感的告警事件、风险事件、和网络活动。例如“张三在上午9点从邮件下载了一份文件”，“上午9:05，他被告警：pc上存在恶意的通信活动”。分析引擎基于UE风险时间线进行最深层次的威胁分析。它从算法和专家经验两方面进行分析：（1）行为模式有没有改变，例如登录模式的改变、资源访问范围的扩大、内网渗透行为的出现；（2）有没有安全专家关注的行为序列，例如[“设备被漏洞利用”、“主机上出现后门”、“出现异常的的外连”、“权限的提升行为”]等。

相比其他的安全告警，腾讯SOC想通过“UE行为分析引擎”输出的是更有安全意义的case。这里区别在于“是否有安全意义”。例如主机上可以报“异常时间登录”，但却无法确认是否是恶意的，是否是需要有后续步骤去跟进的。在UE行为分析引擎中，它通过上下文分析的能力，可以确认行为是否是恶意的。例如“异常时间登录”，它历史以来都一直在这个异常的时间点登录，那就忽略风险。如果不是，那就会增加设备的风险度。并且，如果登录行为有其他维度的异常点，或者它上下文存在一些敏感的异常行为，例如异常登录之后，连接内网中陌生的服务器等，那它的风险值会急速攀升，从而能将风险及时告知到客户。

通过UE风险引擎，将风险定位到之后，为了提升客户的安全运营及响应效率，腾讯SOC将用户和设备的风险时间线绘到产品中，它希望客户从腾讯SOC推送的告警中，回到产品中时，仅需要几分钟时间去确认风险，就能完成安全运营，而不是数个小时，多个页面，多个维度的搜集信息。我们想，这是比较理想的安全运营流程。

ps. 如有疑问，欢迎发送消息到【腾讯安全智能】

智能化 自动化 一站式

（长按二维码快速扫描关注）

该账号主要围绕智能化技术如何帮助企业提升网络安全水平展开，内容涉及机器学习、大数据处理等智能化技术在安全领域的实践经验分享，业界领先的产品和前沿趋势的解读分析等。通过分享、交流，推动安全智能的落地、应用。欢迎关注~