Introduction

In a modern Security Operations Center (SOC), speed and consistency are everything. Manual triage is slow, inconsistent, and expensive. The solution is automated decision logic — a structured way to evaluate alerts and decide what action should happen automatically.

This article explains how to build automated decision systems using:

• Shuffle (SOAR platform)
• Wazuh (SIEM)
• DFIR-IRIS (Incident Response)
• PagerDuty (On-call alerting)
• A custom SOC Integrator (Django backend)

We’ll walk through concrete examples and recommended architecture.

Continue reading “How to Build Automated Decision Logic in a Modern SOC (Using Shuffle + SOC Integrator)” →

现代 SOC（Security Operations Center，安全运营中心）通常由多种强大的安全工具组成。

例如：

• Wazuh（检测与关联分析）
• Shuffle（SOAR 自动化）
• IRIS（事件与案件管理）
• PagerDuty（告警升级与值班通知）

从技术上看，这些工具之间可以直接进行集成。

但许多组织在系统上线运行数月后，都会遇到同一个问题：

工具之间的直接集成会随着时间推移变得越来越复杂，最终难以控制。

因此，我们没有采用简单的工具直连模式，而是引入了一个关键架构组件：

SOC Integrator —— API 编排与控制层（API Orchestration Layer）

Continue reading “为什么我们选择设计 SOC Integrator，而不是直接进行 Tool-to-Tool 集成” →

現代のSOC（Security Operations Center）は非常に強力なツール群で構成されています。

例えば以下のような構成が可能です。

• Wazuh（検知・相関分析）
• Shuffle（SOAR自動化）
• IRIS（インシデント管理）
• PagerDuty（エスカレーション／オンコール対応）

しかし、多くの組織が運用開始から数か月後に直面する問題があります。

ツール同士を直接接続する構成は、時間とともに複雑化し、制御不能になりやすい という点です。

そこで私たちは、単純なツール間連携ではなく、以下のアーキテクチャを採用しました。

SOC Integrator — APIオーケストレーション層

Continue reading “なぜ私たちは Tool-to-Tool ではなく SOC Integrator を設計したのか” →

ระบบ SOC สมัยใหม่มีเครื่องมือที่ทรงพลังมาก

คุณสามารถเชื่อมต่อ:

• Wazuh (Detection & Correlation)
• Shuffle (SOAR Automation)
• IRIS (Case Management)
• PagerDuty (Escalation & On-call)

แต่ปัญหาที่หลายองค์กรพบหลังจากใช้งานไปสักระยะคือ:

การเชื่อมต่อแบบตรงระหว่างเครื่องมือหลายตัว ทำให้ระบบซับซ้อน ควบคุมยาก และขยายต่อได้ยาก

ดังนั้นแทนที่จะเชื่อมทุกอย่างเข้าหากันโดยตรง เราจึงออกแบบองค์ประกอบใหม่ในสถาปัตยกรรมชื่อว่า:

Continue reading “ทำไมเราจึงออกแบบ SOC Integrator แทนการเชื่อมต่อเครื่องมือแบบตรง ๆ (Tool-to-Tool)” →

Modern SOC stacks are powerful.

You can connect:

• Wazuh (Detection & Correlation)
• Shuffle (SOAR Automation)
• IRIS (Case Management)
• PagerDuty (Escalation & On-call)

But here’s the problem most organizations discover too late:

Direct integrations between tools become operational chaos.

Instead of connecting everything directly, we introduced a new architecture component:

SOC Integrator — an API Orchestration Layer

Continue reading “Why We Designed a SOC Integrator Instead of Direct Tool-to-Tool Connections” →