凌晨3点47分:一次开源SOC技术栈真实拦截入侵的全过程

大多数关于SOC的内容都在讲架构,这篇文章要讲的是一次真实发生的安全事件——在为一家中型企业客户运行的生产环境技术栈上,逐条告警地还原整个过程。检测层用Wazuh,案件管理用DFIR-IRIS,两者之间由自研的FastAPI集成服务连接。没有SaaS授权费,没有云端SIEM账单,每一个组件要么是开源的,要么是自己开发的。

Continue reading “凌晨3点47分:一次开源SOC技术栈真实拦截入侵的全过程”

午前3時47分:オープンソースSOCスタックが実際に検知したインシデントの内側

SOCに関する記事の多くはアーキテクチャの説明に終始します。この記事では、中堅企業向けに稼働している本番スタックで実際に発生したインシデントを、アラート単位で追っていきます。検知はWazuh、ケース管理はDFIR-IRIS、両者をつなぐのは自社開発のFastAPIインテグレーター。SaaSライセンスなし、クラウドSIEMの費用なし。すべてがオープンソースか自社開発です。

Continue reading “午前3時47分:オープンソースSOCスタックが実際に検知したインシデントの内側”

ตี 3.47 น.: เบื้องหลังเหตุการณ์จริงที่ถูกจับได้โดย SOC Stack แบบโอเพนซอร์ส

บทความเกี่ยวกับ SOC ส่วนใหญ่มักอธิบายสถาปัตยกรรม แต่บทความนี้จะพาไปดูเหตุการณ์จริงทีละ alert บน stack ที่ใช้งานจริงกับลูกค้าองค์กรขนาดกลาง — Wazuh สำหรับตรวจจับ, DFIR-IRIS สำหรับบริหารเคส และ integrator แบบ FastAPI ที่พัฒนาเองเชื่อมทั้งสองระบบเข้าด้วยกัน ไม่มีค่าไลเซนส์ SaaS ไม่มีค่า cloud SIEM ทุกส่วนเป็นโอเพนซอร์สหรือพัฒนาขึ้นเอง

Continue reading “ตี 3.47 น.: เบื้องหลังเหตุการณ์จริงที่ถูกจับได้โดย SOC Stack แบบโอเพนซอร์ส”

3:47 AM: Inside a Real Incident Caught by an Open-Source SOC Stack

Most SOC content explains architecture. This one walks through an actual incident, alert by alert, on a production stack running for a mid-sized enterprise client — Wazuh for detection, DFIR-IRIS for case management, and a custom FastAPI integrator holding the two together. No SaaS licenses. No cloud SIEM bill. Every component either open-source or built in-house.

Continue reading “3:47 AM: Inside a Real Incident Caught by an Open-Source SOC Stack”

แอปชาร์จ EV ที่คุณไม่ต้องสร้างเอง: ระบบ QR Code กับ OCPP ID Tag

บทความ OCPP ส่วนใหญ่อธิบายว่าเครื่องชาร์จคุยกับ backend อย่างไร แต่แทบไม่มีใครพูดถึงว่าผู้ขับเข้าสู่ระบบได้อย่างไร

Continue reading “แอปชาร์จ EV ที่คุณไม่ต้องสร้างเอง: ระบบ QR Code กับ OCPP ID Tag”