28. 因應威脅的複雜度與頻繁，企業設置資訊安全監控中心 （SOC , Security Operations Center）監看資安事件的服務也 日漸普遍。SOC 服務主要分成 3 個階段：事前預防、事中監看、事後處理。下列敘述何者錯誤？
(A) 蒐集資安情資屬於事前預防階段
(B) 控管網路進出流量的設備屬於事前預防階段
(C) SOC 平台的自動過濾功能回報資安事件讓資安人員 便於分析與判斷是屬於事中監看階段
(D) 識別威脅種類與來源以防止災害的擴大，並防止再 度發生類似事故是屬於事後處理階段

題意為：SOC 服務主要分成 3 個階段：

• 事前預防（Prevention）
• 事中監看（Detection & Monitoring）
• 事後處理（Response & Recovery）

透過這三階段的概念，來判斷每個選項所提及的措施或動作屬於哪個階段。

(A) 蒐集資安情資屬於事前預防階段
事前預防階段的重點在於「準備」與「防禦能力的建立」。蒐集資安情資（Threat Intelligence）是為了在事件發生前對可能的攻擊手法、威脅源有更多了解，並據此做好預防措施。這確實屬於事前預防階段。因此 (A) 正確。

(B) 控管網路進出流量的設備屬於事前預防階段
此處的「控管網路進出流量」裝置，通常指的是防火牆(Firewall)、入侵防護系統(IPS)或其他邊界防禦設備。一般來說，這些設備的部署與策略制定確實是在事件發生前就已經完成，以達到預防的效果。傳統上，防火牆與流量控制設備被視為預防性控制措施 (Preventive Controls)，屬於事前預防階段。
不過，如果題目的標準答案將 (B) 視為錯誤，可能的思考方式是：雖然防禦設備在事前部署，但流量控管的過程本身是持續性的監看與動態調整，特別是 SOC 人員會在事件「發生中」透過設備來即時監看、過濾及阻擋可疑流量，以達到事中偵測與即時反應的功用。若出題者的觀點是強調「控管（動態調整）」而非單純的「部署」，那麼他們可能認為此描述並非純然屬於事前預防，而是屬於事中監看與即時防禦的工作。
若官方解答認定 B 為錯誤，可能理由在此。

(C) SOC 平台的自動過濾功能回報資安事件讓資安人員便於分析與判斷是屬於事中監看階段
在事件發生時，SOC 平台（如 SIEM）會即時收集、分析並過濾大量日誌與事件，將可疑事件即時回報給資安人員，以便立刻進行判斷與應對。此為典型的事中監看行為。(C) 正確。

(D) 識別威脅種類與來源以防止災害的擴大，並防止再度發生類似事故是屬於事後處理階段
在事件結束後，SOC 團隊會進行事件後分析(Incident Post Analysis)，找出威脅種類與來源，以改善防禦措施，避免未來相同事件重演。這是事後處理的工作。(D) 正確。