为什么我们选择设计 SOC Integrator,而不是直接进行 Tool-to-Tool 集成
现代 SOC(Security Operations Center,安全运营中心)通常由多种强大的安全工具组成。
例如:
- Wazuh(检测与关联分析)
- Shuffle(SOAR 自动化)
- IRIS(事件与案件管理)
- PagerDuty(告警升级与值班通知)
从技术上看,这些工具之间可以直接进行集成。
但许多组织在系统上线运行数月后,都会遇到同一个问题:
工具之间的直接集成会随着时间推移变得越来越复杂,最终难以控制。
因此,我们没有采用简单的工具直连模式,而是引入了一个关键架构组件:
SOC Integrator —— API 编排与控制层(API Orchestration Layer)
本文将解释这一架构决策背后的逻辑与价值。
Tool-to-Tool 直接集成的典型问题
在很多环境中,常见的集成方式如下:
- Wazuh → 通过 Webhook 触发 Shuffle
- Shuffle → 在 IRIS 中创建事件
- Wazuh → 直接通知 PagerDuty
- Shuffle → 再次触发 PagerDuty 升级
- IRIS → 调用额外脚本或自动流程
初期运行良好。
但 6 个月后,通常会出现:
- 告警重复触发
- 严重等级(Severity)不一致
- 事件命名与结构不统一
- 调整检测规则后工作流失效
- API 故障难以排查
- 自动化决策缺乏统一审计日志
我们将这种状态称为:
SOC“意大利面式”架构(Spaghetti Architecture)。
我们的设计理念:以 SOC Integrator 作为 Control Plane
我们没有让各个系统彼此直接通信,而是引入一个统一的控制层。
SOC Integrator 负责:
- 接收来自 Wazuh 的告警
- 对数据进行标准化(Normalization)与增强(Enrichment)
- 根据客户环境执行定制化逻辑
- 调用下游系统 API(Shuffle / IRIS / PagerDuty)
- 记录所有操作日志以供审计
它成为整个 SOC 架构的 Control Plane(控制平面)。
架构概览
Logical Flow
Log Sources
↓
Wazuh (Detection & Correlation)
↓
SOC Integrator (API Orchestration Layer)
↓
├─ Shuffle (Automation / Enrichment)
├─ IRIS (Case Management)
└─ PagerDuty (Escalation)System Diagram (Mermaid)
flowchart LR
A["Log Sources\nFirewall / DNS / IDS / VPN / Windows / AD"] --> B["Wazuh\nDetection & Correlation"]
B --> S["SOC Integrator\nAPI Orchestration Layer"]
S --> C["Shuffle\nSOAR Automation"]
S --> D["IRIS (iris-web)\nCase Management"]
S --> E["PagerDuty\nOn-call Escalation"]
C -->|"Enrichment / IOC Match Results"| S
S -->|"Create/Update Case + Evidence"| D
S -->|"SEV-1/SEV-2 Escalation"| E
S --> F["SOC Dashboard / Reporting\n(Optional)"]核心原则:
所有检测后的动作必须通过 SOC Integrator 统一调度
SOC Integrator 的核心能力
1. 告警标准化(Alert Normalization)
不同日志来源与检测规则格式不一致。
SOC Integrator 会:
- 标准化字段(如 src_ip、user、hostname 等)
- 统一严重等级(Low/Medium/High → SEV-3/2/1)
- 执行白名单与抑制逻辑
- 去重(Deduplication)
效果包括:
- 避免 PagerDuty 重复告警
- 避免 IRIS 创建重复案件
- 减少扫描行为导致的告警风暴
2. 工作流集中编排(Workflow Orchestration)
决策逻辑不再分散在各系统中,而是集中管理。
例如:
- IOC 命中 → 触发 Shuffle 进行情报增强
- VPN 海外登录成功 → 创建安全事件
- AD 暴力破解 + IOC 命中 → 立即升级告警
集中管理带来的优势:
- 易于调整
- 易于审计
- 易于扩展
3. 升级控制(Controlled Escalation)
SOC Integrator 决定:
- 哪些事件需要通知 PagerDuty
- 严重等级如何映射到升级策略
- SLA 如何追踪
- 重复事件是否重新打开案件
避免不必要的高层告警,提升运营效率。
4. API 治理与可靠性保障
企业级环境必须具备:
- 重试机制(Retry Logic)
- 限流控制(Rate Limiting)
- 幂等性保护(Idempotency)
- API 凭证安全管理
- 完整审计日志
SOC Integrator 负责执行这些工程级标准。
为客户带来的价值
更易于规则调整
检测规则更新不会破坏整体流程。
统一的事件管理结构
所有案件结构一致,便于审计与取证。
降低误报率
通过集中抑制与去重机制降低噪音。
易于扩展
可以轻松增加 Impossible Travel、横向移动检测、勒索软件早期指标等高级能力。
降低供应商锁定风险
未来更换 SOAR 或案件管理系统时,仅需调整 SOC Integrator。
战略层面的思考
许多集成商关注的问题是:
“如何把工具连接起来?”
而我们关注的是:
“如何控制整个检测与响应流程?”
这种思维差异,决定了系统是一个 PoC 演示环境,还是一个真正可长期运行的生产级 SOC 架构。
结论
单个安全工具本身非常强大。
但如果缺乏统一的编排与控制层,系统会迅速变得复杂且难以维护。
通过引入 SOC Integrator API 编排层,
我们构建了一个结构清晰、可扩展、可长期稳定运行的 SOC 平台架构。
如果您正在基于 Wazuh 构建企业级 SOC,
这一架构决策将是关键。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- The Price of Intelligence: What AI Really Costs
- 为什么你的 RAG 应用在生产环境中会失败(以及如何修复)
- Why Your RAG App Fails in Production (And How to Fix It)
- AI 时代的 AI-Assisted Programming:从《The Elements of Style》看如何写出更高质量的代码
- AI-Assisted Programming in the Age of AI: What *The Elements of Style* Teaches About Writing Better Code with Copilots
- AI取代人类的迷思:为什么2026年的企业仍然需要工程师与真正的软件系统
- The AI Replacement Myth: Why Enterprises Still Need Human Engineers and Real Software in 2026
- NSM vs AV vs IPS vs IDS vs EDR:你的企业安全体系还缺少什么?
- NSM vs AV vs IPS vs IDS vs EDR: What Your Security Architecture Is Probably Missing
- AI驱动的 Network Security Monitoring(NSM)
- AI-Powered Network Security Monitoring (NSM)
- 使用开源 + AI 构建企业级系统
- How to Build an Enterprise System Using Open-Source + AI
- AI会在2026年取代软件开发公司吗?企业管理层必须知道的真相
- Will AI Replace Software Development Agencies in 2026? The Brutal Truth for Enterprise Leaders
- 使用开源 + AI 构建企业级系统(2026 实战指南)
- How to Build an Enterprise System Using Open-Source + AI (2026 Practical Guide)
- AI赋能的软件开发 —— 为业务而生,而不仅仅是写代码
- AI-Powered Software Development — Built for Business, Not Just Code
- Agentic Commerce:自主化采购系统的未来(2026 年完整指南)
