主要观点：

• 探讨了无 SOC（Security Operations Center，安全运营中心）模式下的警报处理问题，包括其核心原则、潜在摩擦及应对措施。
• 强调应避免将无 SOC 简单视为对传统 SOC 的否定，而应构建使其可行的基础架构。
• 提出设置警报分类法（Alert Taxonomy）、实现自动化成熟度等关键要点，以提升无 SOC 模式下的警报处理效果。

关键信息：

• 无 SOC 的概念及核心原则：由 Alex Maestretti 提出，基于 Netflix 项目，核心原则包括避免大型常备 SOC，聚焦成熟规则与响应计划，将警报分类处理去中心化等；Autonomic Security Operations 则强调通过技能提升和自动化实现 10 倍的分析师生产力、流程和技术。
• 无 SOC 模式下的摩擦：虽采用无 SOC 模式，但仍存在警报信号降低的问题，如警报孤立构建、警报轮班处理负担重、工程师技能不匹配等，根源在于将无 SOC 作为对传统 SOC 的否定，缺乏使其可行的基础架构。
• 警报分类法：包括记录（Records）、通知（Notifications）、页面（Pages）和用户通知（User Notification）四类，有助于明确警报处理策略和协调严重性。
• 警报处理：分类法有助于确定警报处理的方式、时间和对象，如页面应在 5 分钟内在票务系统和Pagerduty 中确认，所有警报应定期审查。
• 自动化成熟度：小型团队往往缺乏专门的检测工程人员，自动化平台建设存在挑战，应实现用户交互自动化，如设置单一界面、确认和否认机制及强 MFA 提示等。

重要细节：

• 以 XKCD 漫画和多个公司案例（如 Datadog、Twilio、Square、Dropbox、Slack 等）来说明无 SOC 模式下的各种问题及应对方式。
• 提供了成熟无 SOC 模式的步骤，包括分类现有警报、创建警报路由系统、实现自动化、标准化成熟要求等。
• 列举了相关参考资料，如 Netflix SIRT - FIRST Podcast 等。