为什么我们选择设计 SOC Integrator,而不是直接进行 Tool-to-Tool 集成
现代 SOC(Security Operations Center,安全运营中心)通常由多种强大的安全工具组成。
例如:
- Wazuh(检测与关联分析)
- Shuffle(SOAR 自动化)
- IRIS(事件与案件管理)
- PagerDuty(告警升级与值班通知)
从技术上看,这些工具之间可以直接进行集成。
但许多组织在系统上线运行数月后,都会遇到同一个问题:
工具之间的直接集成会随着时间推移变得越来越复杂,最终难以控制。
因此,我们没有采用简单的工具直连模式,而是引入了一个关键架构组件:
SOC Integrator —— API 编排与控制层(API Orchestration Layer)
本文将解释这一架构决策背后的逻辑与价值。
Tool-to-Tool 直接集成的典型问题
在很多环境中,常见的集成方式如下:
- Wazuh → 通过 Webhook 触发 Shuffle
- Shuffle → 在 IRIS 中创建事件
- Wazuh → 直接通知 PagerDuty
- Shuffle → 再次触发 PagerDuty 升级
- IRIS → 调用额外脚本或自动流程
初期运行良好。
但 6 个月后,通常会出现:
- 告警重复触发
- 严重等级(Severity)不一致
- 事件命名与结构不统一
- 调整检测规则后工作流失效
- API 故障难以排查
- 自动化决策缺乏统一审计日志
我们将这种状态称为:
SOC“意大利面式”架构(Spaghetti Architecture)。
我们的设计理念:以 SOC Integrator 作为 Control Plane
我们没有让各个系统彼此直接通信,而是引入一个统一的控制层。
SOC Integrator 负责:
- 接收来自 Wazuh 的告警
- 对数据进行标准化(Normalization)与增强(Enrichment)
- 根据客户环境执行定制化逻辑
- 调用下游系统 API(Shuffle / IRIS / PagerDuty)
- 记录所有操作日志以供审计
它成为整个 SOC 架构的 Control Plane(控制平面)。
架构概览
Logical Flow
Log Sources
↓
Wazuh (Detection & Correlation)
↓
SOC Integrator (API Orchestration Layer)
↓
├─ Shuffle (Automation / Enrichment)
├─ IRIS (Case Management)
└─ PagerDuty (Escalation)System Diagram (Mermaid)
flowchart LR
A["Log Sources\nFirewall / DNS / IDS / VPN / Windows / AD"] --> B["Wazuh\nDetection & Correlation"]
B --> S["SOC Integrator\nAPI Orchestration Layer"]
S --> C["Shuffle\nSOAR Automation"]
S --> D["IRIS (iris-web)\nCase Management"]
S --> E["PagerDuty\nOn-call Escalation"]
C -->|"Enrichment / IOC Match Results"| S
S -->|"Create/Update Case + Evidence"| D
S -->|"SEV-1/SEV-2 Escalation"| E
S --> F["SOC Dashboard / Reporting\n(Optional)"]核心原则:
所有检测后的动作必须通过 SOC Integrator 统一调度
SOC Integrator 的核心能力
1. 告警标准化(Alert Normalization)
不同日志来源与检测规则格式不一致。
SOC Integrator 会:
- 标准化字段(如 src_ip、user、hostname 等)
- 统一严重等级(Low/Medium/High → SEV-3/2/1)
- 执行白名单与抑制逻辑
- 去重(Deduplication)
效果包括:
- 避免 PagerDuty 重复告警
- 避免 IRIS 创建重复案件
- 减少扫描行为导致的告警风暴
2. 工作流集中编排(Workflow Orchestration)
决策逻辑不再分散在各系统中,而是集中管理。
例如:
- IOC 命中 → 触发 Shuffle 进行情报增强
- VPN 海外登录成功 → 创建安全事件
- AD 暴力破解 + IOC 命中 → 立即升级告警
集中管理带来的优势:
- 易于调整
- 易于审计
- 易于扩展
3. 升级控制(Controlled Escalation)
SOC Integrator 决定:
- 哪些事件需要通知 PagerDuty
- 严重等级如何映射到升级策略
- SLA 如何追踪
- 重复事件是否重新打开案件
避免不必要的高层告警,提升运营效率。
4. API 治理与可靠性保障
企业级环境必须具备:
- 重试机制(Retry Logic)
- 限流控制(Rate Limiting)
- 幂等性保护(Idempotency)
- API 凭证安全管理
- 完整审计日志
SOC Integrator 负责执行这些工程级标准。
为客户带来的价值
更易于规则调整
检测规则更新不会破坏整体流程。
统一的事件管理结构
所有案件结构一致,便于审计与取证。
降低误报率
通过集中抑制与去重机制降低噪音。
易于扩展
可以轻松增加 Impossible Travel、横向移动检测、勒索软件早期指标等高级能力。
降低供应商锁定风险
未来更换 SOAR 或案件管理系统时,仅需调整 SOC Integrator。
战略层面的思考
许多集成商关注的问题是:
“如何把工具连接起来?”
而我们关注的是:
“如何控制整个检测与响应流程?”
这种思维差异,决定了系统是一个 PoC 演示环境,还是一个真正可长期运行的生产级 SOC 架构。
结论
单个安全工具本身非常强大。
但如果缺乏统一的编排与控制层,系统会迅速变得复杂且难以维护。
通过引入 SOC Integrator API 编排层,
我们构建了一个结构清晰、可扩展、可长期稳定运行的 SOC 平台架构。
如果您正在基于 Wazuh 构建企业级 SOC,
这一架构决策将是关键。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- Why We Designed a SOC Integrator Instead of Direct Tool-to-Tool Connections
- 基于 OCPP 1.6 的 EV 充电平台构建 面向仪表盘、API 与真实充电桩的实战演示指南
- Building an OCPP 1.6 Charging Platform A Practical Demo Guide for API, Dashboard, and Real EV Stations
- 软件开发技能的演进(2026)
- Skill Evolution in Software Development (2026)
- Retro Tech Revival:从经典思想到可落地的产品创意
- Retro Tech Revival: From Nostalgia to Real Product Ideas
- SmartFarm Lite — 简单易用的离线农场记录应用
- OffGridOps — 面向真实现场的离线作业管理应用
- OffGridOps — Offline‑First Field Operations for the Real World
- SmartFarm Lite — Simple, Offline-First Farm Records in Your Pocket
- 基于启发式与新闻情绪的短期价格方向评估(Python)
- Estimating Short-Term Price Direction with Heuristics and News Sentiment (Python)
- Rust vs Python:AI 与大型系统时代的编程语言选择
- Rust vs Python: Choosing the Right Tool in the AI & Systems Era
- How Software Technology Can Help Chanthaburi Farmers Regain Control of Fruit Prices
- AI 如何帮助发现金融机会
- How AI Helps Predict Financial Opportunities
- 在 React Native 与移动应用中使用 ONNX 模型的方法
- How to Use an ONNX Model in React Native (and Other Mobile App Frameworks)
