1. 运营模式

SOC提供商是主要集中于事件通知，还是在团队扩展模式下工作并主动采取措施来响应事件?这里没有正确的答案，但是这种响应会影响企业的网络安全团队的结构。如果SOC团队仅将事件通知企业，则其内部网络安全团队需要培训、工具和流程，以评估事件并采取适当行动，这通常描述在SOC运行手册中—由IT开发的一套已定义的程序用于维护日常工作。

2. SOC运行手册本身

无论由谁执行(内部团队还是SOC提供商)，运行手册如何开发? SOC提供商是否有标准化运行手册，可为每个客户量身定制，还是客户应计划进行开发?

3. SOC提供商提供的服务组合

在第一、第二和第三级支持方面，提供商提供什么服务? SOC提供商是否提供主动或反应式服务，例如威胁搜寻、渗透测试或红色或紫色的团队练习?反应式服务是SOC提供商的重点。主动服务可使客户减少对其他提供商的依赖，或帮助显著加强其安全态势。

4. SOC提供商依赖的工具和技术集

工具通常会破坏交易，特别是在企业需求与SOC提供商提供的内容不匹配的情况下。请务必提出以下问题： 提供商将使用客户的工具，还是自己的工具? 谁拥有工具和软件的许可?所有权和许可问题可能会增加SOC的成本和复杂性。 SOC提供商如何处理与客户工具环境的集成?

5. 如何终止关系?

通常，由于终止关系的复杂性和成本，客户被锁定在供应商。避免这种情况的最好方法是预先了解流程。