持续、全天候的安全监控。 SOC 以 24/7/365 方式全天候监控整个扩展 IT 基础架构，包括应用、服务器、系统软件、计算设备、云工作负载和网络，找出已知漏洞的迹象和任何可疑活动。

对于许多 SOC 而言，核心监控、检测和响应技术已属 安全信息和事件管理 (SIEM) 的范畴。 SIEM 会实时监控和汇集来自网络上软件和硬件的警报和遥测数据，然后分析数据以识别潜在威胁。 最近，一些 SOC 还采用了扩展检测和响应 (XDR) 技术，该技术提供了更详细的遥测和监控数据，且能够自动执行事件检测和响应。

日志管理。 日志管理用于收集和分析每个网络事件所生成的日志数据，也属于监控的一部分，其重要性不言而喻。 虽然大多数 IT 部门都会收集日志数据，但往往通过分析才能建立常规或基线活动，并找出表明存在可疑活动的异常。 事实上，许多黑客得逞的原因便是公司不一定会分析日志数据，这让他们的病毒和恶意软件能够在受害者系统中运行数周乃至数月而不被察觉。 大多数 SIEM 解决方案都包含日志管理功能。

威胁检测。 SOC 团队通过噪音对信号进行分类，从误报中找出真正的网络威胁和黑客攻击，然后再按严重程度对威胁进行分类。 现代 SIEM 解决方案包含了人工智能 (AI)，它能让这些流程自动从数据中进行“学习”，从而随时间推移更好地发现可疑活动。

事件响应。 为应对威胁或实际事件，SOC 采取各种措施来减少损害。 这些措施可能包括：

• 根本原因调查，以确定造成黑客能够访问系统的技术漏洞，以及导致该事件的其他因素（如密码卫生不良或策略执行不力）

• 关闭受感染的终端或断开其网络连接

• 隔离网络的受损区域或重新路由网络流量

• 暂停或停止受感染的应用或进程

• 删除损坏或受感染的文件

• 运行防病毒或反恶意软件

• 针对内部和外部用户停用密码。

许多 XDR 解决方案使 SOC 能够自动执行并加速这些措施和其他事件响应措施。