1、安全 现状报告未来更强大、更智能的 SOC2025 年目录3 高管前言4 简介：将 SOC 从不堪重负转变为优化5 第 1 章：SOC 的效率难以捉摸9 第 2 章：AI 引领 SOC 走向未来13 第 3 章：推动未来 SOC 发展的技能18 第 4 章：威胁检测的新时代23 第 5 章：统一和连接 SOC31 行业亮点33 典型国家/地区35 方法学36 关于 Splunk2025 年安全现状报告|Splunk高管前言构建有效的 SOC 是适应性方面最重要的经验教训之一。作为前 SOC 领导，我建立了从国土安全部到中小型企业托管安全服务的安全运营体系。无论规模或任务如何，经验教训总是一样的

2、：如果你没有提前思考，那你已经落后了。我们中的许多人，包括我自己，都被网络安全所吸引，因为它时刻在发展变化。网络安全一直是一个快速变化的游戏 新的威胁、新的恶意软件层出不穷，现在，又加上了 AI 的飞快发展。但对于所有的外部挑战，真正的问题往往存在于内部。我们调查了 2058 名安全领导者，包括 SOC 经理、主管、分析师和工程师，以了解 SOC 发展的最大障碍和未来最具影响力的战略。我们的数据揭示出，SOC 在错误的事情上花费了太多的精力 保姆式工具，一遍又一遍地追逐相同的错误警报，以及努力应对杂乱的数据。将近一半的人承认，他们花在维护技术堆栈上的时间比实际保护组织的时间还多。这不仅令人沮丧

3、，也是战略的失败。但调查也显示，一些 SOC 正在采用新的前瞻性技术和流程来帮助消除这些低效问题。他们依靠 AI 来提高生产率，提升现有团队的水平，并变得更有韧性。他们正在探索检测即代码（Detection-as-Code），以先于攻击者采取行动。他们正在重新思考自身的调查和响应方法，抛弃各自为政，采取统一的策略。我们希望这份 2025 年安全现状报告：未来更强大、更智能的 SOC 将有助于推动您的 SOC 发展。因为 如果您还在与昨天缠斗，那么您已经输了。David Dalling Splunk 副总裁、全球网络策略师2025 年安全现状报告|Splunk4简介将 SOC 从不堪重负转变为优

4、化想想对 SOC 最大的威胁。行业刻板印象可能会让你想到 一个穿着帽衫、笼罩在阴影中的黑客在命令行中输入提示。或者是一个由高度熟练和有资格证书的民族国家行动者 组成的团队，在一个没有窗户、不公开的政府办公室里研 究绝密的威胁情报。想象这些威胁角色可以激发任何 SOC 成员的防御动力。毫无疑问，这些都是非常真实的威胁。但是经常被忽视的 是内部问题 效率低下带来的威胁。分析师们没完没了地玩打地鼠游戏，遗漏关键事件，最终导致代价高昂的数据泄露事件。团队花更多的时间维护工具，而不是保护组织。错误的数据会导致错误的检测，削弱网络防御。持续的技 能差距继续使现有团队捉襟见肘。随着工具集的扩展，技能差距的扩

5、大，以及 AI 等技术成为 SOC 的核心，团队将走到十字路口。安全工具会越积越多，造成更多的复杂性吗？跨业务的协作会成为 SOC 团队的 第二天性吗，或者他们会留在自己的舒适区吗？是时候重新构思 SOC 了，它会是什么样子？未来的 SOC 团队将依靠 AI 和自动化来提升他们的技能。因此，分析师将花时间构建更强大的防御方法（例如检测即代码(DaC)）和完善他们的调查协议。他们将采用更智能、统一的方法来检测和响应威胁，从而实现更紧密的协作，并为调查带来更多背景信息，提高速度。这听起来像科幻吗？信不信由你，一些团队已经在采取措 施构建更快、更强、更智能的 SOC。这些 SOC 已经从不堪重负发展

6、到优化和有韧性。热衷于未来是一次令人兴奋的冒险，但值得一试。52025 年安全现状报告|SplunkSOC 的效率难以捉摸第 1 章未来的 SOC 将极其精简。分析师将从平凡、重复 的任务中解放出来，这样他们就可以将自己的专 业知识用在真正重要的地方：为组织提供防御。Michael Fanning，Splunk 首席信息安全官“62025 年安全现状报告|Splunk如果你有过安全领域的任职经历，你就会知道，在没有明确解决方案的情况下进行故障排除会有多麻烦，第十次重新配置设置会让人有多崩溃，或者管理库存究竟多么让人叫苦不迭。而另一方面，未来的 SOC 将运行得更加高效。所有工具都经过精心编排，