为什么我们选择设计 SOC Integrator,而不是直接进行 Tool-to-Tool 集成
现代 SOC(Security Operations Center,安全运营中心)通常由多种强大的安全工具组成。
例如:
- Wazuh(检测与关联分析)
- Shuffle(SOAR 自动化)
- IRIS(事件与案件管理)
- PagerDuty(告警升级与值班通知)
从技术上看,这些工具之间可以直接进行集成。
但许多组织在系统上线运行数月后,都会遇到同一个问题:
工具之间的直接集成会随着时间推移变得越来越复杂,最终难以控制。
因此,我们没有采用简单的工具直连模式,而是引入了一个关键架构组件:
SOC Integrator —— API 编排与控制层(API Orchestration Layer)
本文将解释这一架构决策背后的逻辑与价值。
Tool-to-Tool 直接集成的典型问题
在很多环境中,常见的集成方式如下:
- Wazuh → 通过 Webhook 触发 Shuffle
- Shuffle → 在 IRIS 中创建事件
- Wazuh → 直接通知 PagerDuty
- Shuffle → 再次触发 PagerDuty 升级
- IRIS → 调用额外脚本或自动流程
初期运行良好。
但 6 个月后,通常会出现:
- 告警重复触发
- 严重等级(Severity)不一致
- 事件命名与结构不统一
- 调整检测规则后工作流失效
- API 故障难以排查
- 自动化决策缺乏统一审计日志
我们将这种状态称为:
SOC“意大利面式”架构(Spaghetti Architecture)。
我们的设计理念:以 SOC Integrator 作为 Control Plane
我们没有让各个系统彼此直接通信,而是引入一个统一的控制层。
SOC Integrator 负责:
- 接收来自 Wazuh 的告警
- 对数据进行标准化(Normalization)与增强(Enrichment)
- 根据客户环境执行定制化逻辑
- 调用下游系统 API(Shuffle / IRIS / PagerDuty)
- 记录所有操作日志以供审计
它成为整个 SOC 架构的 Control Plane(控制平面)。
架构概览
Logical Flow
Log Sources
↓
Wazuh (Detection & Correlation)
↓
SOC Integrator (API Orchestration Layer)
↓
├─ Shuffle (Automation / Enrichment)
├─ IRIS (Case Management)
└─ PagerDuty (Escalation)System Diagram (Mermaid)
flowchart LR
A["Log Sources\nFirewall / DNS / IDS / VPN / Windows / AD"] --> B["Wazuh\nDetection & Correlation"]
B --> S["SOC Integrator\nAPI Orchestration Layer"]
S --> C["Shuffle\nSOAR Automation"]
S --> D["IRIS (iris-web)\nCase Management"]
S --> E["PagerDuty\nOn-call Escalation"]
C -->|"Enrichment / IOC Match Results"| S
S -->|"Create/Update Case + Evidence"| D
S -->|"SEV-1/SEV-2 Escalation"| E
S --> F["SOC Dashboard / Reporting\n(Optional)"]核心原则:
所有检测后的动作必须通过 SOC Integrator 统一调度
SOC Integrator 的核心能力
1. 告警标准化(Alert Normalization)
不同日志来源与检测规则格式不一致。
SOC Integrator 会:
- 标准化字段(如 src_ip、user、hostname 等)
- 统一严重等级(Low/Medium/High → SEV-3/2/1)
- 执行白名单与抑制逻辑
- 去重(Deduplication)
效果包括:
- 避免 PagerDuty 重复告警
- 避免 IRIS 创建重复案件
- 减少扫描行为导致的告警风暴
2. 工作流集中编排(Workflow Orchestration)
决策逻辑不再分散在各系统中,而是集中管理。
例如:
- IOC 命中 → 触发 Shuffle 进行情报增强
- VPN 海外登录成功 → 创建安全事件
- AD 暴力破解 + IOC 命中 → 立即升级告警
集中管理带来的优势:
- 易于调整
- 易于审计
- 易于扩展
3. 升级控制(Controlled Escalation)
SOC Integrator 决定:
- 哪些事件需要通知 PagerDuty
- 严重等级如何映射到升级策略
- SLA 如何追踪
- 重复事件是否重新打开案件
避免不必要的高层告警,提升运营效率。
4. API 治理与可靠性保障
企业级环境必须具备:
- 重试机制(Retry Logic)
- 限流控制(Rate Limiting)
- 幂等性保护(Idempotency)
- API 凭证安全管理
- 完整审计日志
SOC Integrator 负责执行这些工程级标准。
为客户带来的价值
更易于规则调整
检测规则更新不会破坏整体流程。
统一的事件管理结构
所有案件结构一致,便于审计与取证。
降低误报率
通过集中抑制与去重机制降低噪音。
易于扩展
可以轻松增加 Impossible Travel、横向移动检测、勒索软件早期指标等高级能力。
降低供应商锁定风险
未来更换 SOAR 或案件管理系统时,仅需调整 SOC Integrator。
战略层面的思考
许多集成商关注的问题是:
“如何把工具连接起来?”
而我们关注的是:
“如何控制整个检测与响应流程?”
这种思维差异,决定了系统是一个 PoC 演示环境,还是一个真正可长期运行的生产级 SOC 架构。
结论
单个安全工具本身非常强大。
但如果缺乏统一的编排与控制层,系统会迅速变得复杂且难以维护。
通过引入 SOC Integrator API 编排层,
我们构建了一个结构清晰、可扩展、可长期稳定运行的 SOC 平台架构。
如果您正在基于 Wazuh 构建企业级 SOC,
这一架构决策将是关键。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- Payment API幂等性设计:用Stripe、支付宝、微信支付和2C2P防止重复扣款
- Idempotency in Payment APIs: Prevent Double Charges with Stripe, Omise, and 2C2P
- Agentic AI in SOC Workflows: Beyond Playbooks, Into Autonomous Defense (2026 Guide)
- 从零构建SOC:Wazuh + IRIS-web 真实项目实战报告
- Building a SOC from Scratch: A Real-World Wazuh + IRIS-web Field Report
- 中国品牌出海东南亚:支付、物流与ERP全链路集成技术方案
- 再生资源工厂管理系统:中国回收企业如何在不知不觉中蒙受损失
- 如何将电商平台与ERP系统打通:实战指南(2026年版)
- AI 编程助手到底在用哪些工具?(Claude Code、Codex CLI、Aider 深度解析)
- 使用 Wazuh + 开源工具构建轻量级 SOC:实战指南(2026年版)
- 能源管理软件的ROI:企业电费真的能降低15–40%吗?
- The ROI of Smart Energy: How Software Is Cutting Costs for Forward-Thinking Businesses
- How to Build a Lightweight SOC Using Wazuh + Open Source
- How to Connect Your Ecommerce Store to Your ERP: A Practical Guide (2026)
- What Tools Do AI Coding Assistants Actually Use? (Claude Code, Codex CLI, Aider)
- How to Improve Fuel Economy: The Physics of High Load, Low RPM Driving
- 泰国榴莲仓储管理系统 — 批次追溯、冷链监控、GMP合规、ERP对接一体化
- Durian & Fruit Depot Management Software — WMS, ERP Integration & Export Automation
- 现代榴莲集散中心:告别手写账本,用系统掌控你的生意
- The Modern Durian Depot: Stop Counting Stock on Paper. Start Running a Real Business.
