Articles › Security

จากการเก็บ Log แบบ Passive สู่ SOC อัจฉริยะอัตโนมัติ ภัยคุกคามไซเบอร์สมัยใหม่มีความซับซ้อน ปรับตัวได้ และมักใช้เทคนิค "live off the land" เพื่อหลบเลี่ยงการตรวจจับ ระบบ Network Security Monitoring (NSM) แบบดั้งเดิมสามารถสร้าง Log ได้จำนวนมหาศาล — แต่ Log เพียงอย่างเดียวไม่สามารถสร้าง "Intelligence" ได้ NSM + AI = ระบบเฝ้าระวังความปลอดภัยที่ฉลาด ปรับตัวได้ และลดสัญญาณรบกวน บทความนี้อธิบายว่า Artificial Intelligence สามารถยกระดับ NSM แบบดั้งเดิมให้กลายเป็นแพลตฟอร์มรักษาความปลอดภัยเชิงรุกได้อย่างไร

From Passive Logs to Autonomous SOC Intelligence Modern cyber threats are adaptive, stealthy, and often "live off the land." Traditional Network Security Monitoring (NSM) systems generate massive logs — but logs alone don’t create intelligence. NSM + AI = Adaptive, Intelligent, Low-Noise Security Monitoring This article explains how Artificial Intelligence transforms traditional NSM into a […]

1. 2026 年企业级系统面临的核心挑战 当今企业正面临前所未有的技术与市场压力： AI 在各行业的快速渗透 网络安全威胁持续升级 SaaS 授权费用不断上升 厂商锁定（Vendor Lock-in）风险 软件开发周期过长 传统企业软件供应商通常成本高、灵活性低、生态封闭。 越来越多企业开始意识到：

1. 2026年におけるエンタープライズシステムの課題 現代の企業は、次のような課題に直面しています。 あらゆる業界に広がるAIの急速な進化 高度化・複雑化するサイバーセキュリティ脅威 増加し続けるSaaSライセンスコスト ベンダーロックインのリスク 遅い開発サイクル 従来型のエンタープライズベンダーは高コストで柔軟性が低く、クローズドなエコシステムに依存しがちです。 多くの企業が今、次のように考え始めています。

1. ความท้าทายของ Enterprise System ในปี 2026 องค์กรยุคใหม่กำลังเผชิญแรงกดดันจากหลายด้าน: การเปลี่ยนแปลงจาก AI ในทุกอุตสาหกรรม ภัยคุกคามด้าน Cybersecurity ที่ซับซ้อนขึ้น ค่า License SaaS ที่สูงขึ้นต่อเนื่อง การถูกผูกติดกับ Vendor (Vendor Lock-in) วงจรการพัฒนาระบบที่ช้าเกินไป ผู้ให้บริการ Enterprise แบบดั้งเดิมมักมีต้นทุนสูง ปรับแต่งยาก และเป็นระบบปิด หลายองค์กรเริ่มตระหนักว่า “การเป็นเจ้าของสถาปัตยกรรม” มีคุณค่ามากกว่าการเช่าซอฟต์แวร์ระยะยาว

1. The Enterprise System Problem in 2026 Modern enterprises face increasing pressure: AI disruption across industries Rising cybersecurity threats High SaaS licensing costs Vendor lock-in Slow development cycles Traditional enterprise vendors are expensive, inflexible, and closed. Many companies now realize that owning their architecture is more strategic than renting software forever.

はじめに 現代の Security Operations Center（SOC）において、「迅速な対応」と「一貫性のある判断」は非常に重要です。アナリストによる手動トリアージは時間がかかり、判断のばらつきも発生します。 そこで必要になるのが Automated Decision Logic（自動意思決定ロジック） です。構造化されたルールやスコアリングモデルに基づき、セキュリティアラートを自動評価し、次のアクションを決定します。 本記事では、以下の構成を前提に解説します： Shuffle（SOAR 自動化プラットフォーム） Wazuh（SIEM） DFIR-IRIS（インシデント対応管理） PagerDuty（オンコール通知） 自社開発 SOC Integrator（Django ベース） 実践的な例と、実運用可能なアーキテクチャを紹介します。

引言 在现代 Security Operations Center（SOC）中，“响应速度”与“决策一致性”是核心竞争力。依赖人工分析告警不仅效率低，而且容易产生误判与不一致。 解决方案是构建 Automated Decision Logic（自动化决策逻辑） —— 通过结构化规则与评分模型，对安全告警进行自动评估，并自动决定后续处置动作。 本文将基于以下技术栈进行讲解： Shuffle（SOAR 自动化平台） Wazuh（SIEM 平台） DFIR-IRIS（事件响应系统） PagerDuty（值班通知系统） 自研 SOC Integrator（Django 后端） 通过真实示例与可落地架构，展示如何构建企业级自动化决策体系。

บทนำ ใน Security Operations Center (SOC) ยุคใหม่ “ความเร็ว” และ “ความสม่ำเสมอ” คือหัวใจสำคัญ การวิเคราะห์เหตุการณ์แบบ Manual นั้นช้า ไม่สม่ำเสมอ และมีต้นทุนสูง ทางออกคือ Automated Decision Logic — โครงสร้างการตัดสินใจอัตโนมัติที่ประเมิน Alert และกำหนดการดำเนินการโดยไม่ต้องรอมนุษย์ บทความนี้อธิบายวิธีออกแบบระบบตัดสินใจอัตโนมัติโดยใช้: Shuffle (SOAR Platform) Wazuh (SIEM) DFIR-IRIS (Incident Response) PagerDuty (On-call Alerting) SOC Integrator แบบพัฒนาเอง (Django Backend) เราจะอธิบายด้วยตัวอย่างจริงและสถาปัตยกรรมที่สามารถนำไปใช้งานได้จริง ทำความเข้าใจองค์ประกอบของ Shuffle ก่อนออกแบบระบบตัดสินใจอัตโนมัติ เราควรเข้าใจองค์ประกอบหลักของ Shuffle และการทำงานร่วมกันของแต่ละส่วน 1. Backend (Core Engine) Backend คือหัวใจของระบบอัตโนมัติ ทำหน้าที่: […]

Introduction In a modern Security Operations Center (SOC), speed and consistency are everything. Manual triage is slow, inconsistent, and expensive. The solution is automated decision logic — a structured way to evaluate alerts and decide what action should happen automatically. This article explains how to build automated decision systems using: Shuffle (SOAR platform) Wazuh (SIEM) […]

现代 SOC（Security Operations Center，安全运营中心）通常由多种强大的安全工具组成。 例如： Wazuh（检测与关联分析） Shuffle（SOAR 自动化） IRIS（事件与案件管理） PagerDuty（告警升级与值班通知） 从技术上看，这些工具之间可以直接进行集成。 但许多组织在系统上线运行数月后，都会遇到同一个问题： 工具之间的直接集成会随着时间推移变得越来越复杂，最终难以控制。 因此，我们没有采用简单的工具直连模式，而是引入了一个关键架构组件： SOC Integrator —— API 编排与控制层（API Orchestration Layer）

現代のSOC（Security Operations Center）は非常に強力なツール群で構成されています。 例えば以下のような構成が可能です。 Wazuh（検知・相関分析） Shuffle（SOAR自動化） IRIS（インシデント管理） PagerDuty（エスカレーション／オンコール対応） しかし、多くの組織が運用開始から数か月後に直面する問題があります。 ツール同士を直接接続する構成は、時間とともに複雑化し、制御不能になりやすい という点です。 そこで私たちは、単純なツール間連携ではなく、以下のアーキテクチャを採用しました。 SOC Integrator — APIオーケストレーション層

ระบบ SOC สมัยใหม่มีเครื่องมือที่ทรงพลังมาก คุณสามารถเชื่อมต่อ: Wazuh (Detection & Correlation) Shuffle (SOAR Automation) IRIS (Case Management) PagerDuty (Escalation & On-call) แต่ปัญหาที่หลายองค์กรพบหลังจากใช้งานไปสักระยะคือ: การเชื่อมต่อแบบตรงระหว่างเครื่องมือหลายตัว ทำให้ระบบซับซ้อน ควบคุมยาก และขยายต่อได้ยาก ดังนั้นแทนที่จะเชื่อมทุกอย่างเข้าหากันโดยตรง เราจึงออกแบบองค์ประกอบใหม่ในสถาปัตยกรรมชื่อว่า:

Modern SOC stacks are powerful. You can connect: Wazuh (Detection & Correlation) Shuffle (SOAR Automation) IRIS (Case Management) PagerDuty (Escalation & On-call) But here’s the problem most organizations discover too late: Direct integrations between tools become operational chaos. Instead of connecting everything directly, we introduced a new architecture component: SOC Integrator — an API Orchestration […]

即使没有网络，现场工作也不应停止 现场作业往往发生在网络条件不理想的环境中。巡检、设备维护、现场调查、应急与灾害响应，常常位于偏远地区、工业区、地下设施或临时作业点。 以云端为核心的系统，在这些关键时刻往往无法正常工作。 OffGridOps 正是为这样的现实场景而设计。 OffGridOps 是一款 离线优先（Offline-first） 的现场作业应用，不依赖服务器或持续的网络连接，也能可靠地记录站点、作业、任务和事件，并附带可核查的证据。

通信が途切れても、現場の仕事は止まらない 現場業務は理想的な環境で行われるとは限りません。点検、保守作業、現地調査、災害対応などは、通信環境が不安定、または完全に圏外の場所で行われることが多くあります。 クラウド前提のツールは、まさにそのような重要な場面で使えなくなることがあります。 OffGridOps は、そうした現実の現場のために設計されました。 OffGridOpsは、オフラインファースト設計のフィールドオペレーションアプリです。サーバーや常時インターネット接続に依存せず、サイト、作業、タスク、インシデントを、証拠付きで確実に記録できます。

เมื่อสัญญาณหาย งานไม่ควรหยุด การทำงานภาคสนามแทบไม่เคยอยู่ในสภาพแวดล้อมที่สมบูรณ์แบบ งานตรวจสอบ งานซ่อมบำรุง การสำรวจพื้นที่ หรือการรับมือเหตุฉุกเฉิน มักเกิดขึ้นในพื้นที่ที่สัญญาณอ่อนหรือไม่มีสัญญาณเลย เช่น พื้นที่ห่างไกล เขตอุตสาหกรรม พื้นที่ใต้ดิน หรือพื้นที่ภัยพิบัติ เครื่องมือที่พึ่งพาคลาวด์เป็นหลัก มักล้มเหลวในช่วงเวลาที่สำคัญที่สุด OffGridOps ถูกสร้างขึ้นมาเพื่อสถานการณ์เหล่านี้ OffGridOps คือ แอปงานภาคสนามแบบ Offline‑first ที่ช่วยให้ทีมงานสามารถติดตามไซต์ งานปฏิบัติการ งานย่อย และเหตุการณ์ต่าง ๆ พร้อมหลักฐานที่ตรวจสอบได้ โดยไม่ต้องพึ่งพาอินเทอร์เน็ตหรือเซิร์ฟเวอร์ตลอดเวลา

When the network disappears, work shouldn’t stop Field teams rarely work in perfect conditions. Inspections, maintenance, surveys, and incident response often happen in places with weak or no connectivity—remote sites, industrial zones, underground facilities, or disaster areas. Cloud‑first tools fail exactly when teams need them most. OffGridOps was built for those moments. It is an […]

中国企业如何利用 AI 提升 Wazuh 安全运维效率 中国环境下 Wazuh 运维面临的现实挑战 Wazuh 作为一款开源 SIEM/XDR 平台，在成本控制、自主可控、灵活扩展方面具有明显优势，因此在中国企业中被广泛采用。 但在实际落地过程中，安全团队通常会遇到以下问题： 检测规则复杂，依赖个人经验，难以标准化 告警数量大，误报多，分析效率低 安全事件难以与业务风险直接关联 需要同时满足等保、内部审计与管理层汇报需求 随着 Agent 和日志规模增长，系统性能与架构压力增大 AI 不能替代安全专家。 但在正确使用的前提下，AI 可以 放大专家经验、加速分析与决策过程。 这正是 Wazuh 管理员 Prompt Pack 的核心价值所在。

日本のセキュリティチームは、どのようにAIを活用してWazuh運用を高度化しているのか 日本企業におけるWazuh運用が難しい理由 Wazuhは、オープンソースでありながらSIEM/XDRとして高い柔軟性と拡張性を持つプラットフォームです。コストを抑えつつ自社でコントロールしたい日本企業にとって、有力な選択肢となっています。 一方で、その柔軟性は運用負荷の増大にも直結します。日本のSOCや情報システム部門では、次のような課題が頻繁に発生します。 検知ルールを業務実態に合わせて正確に設計する難しさ 誤検知（False Positive）を抑えつつ検知力を維持するバランス 技術的な検知結果を経営層・監査部門に説明する必要性 ISO 27001、NIST、社内統制への対応 エージェント数・ログ量増加に伴う性能と運用の問題 AIはセキュリティ専門家の代替ではありません。 しかし、正しく使えば、熟練エンジニアの思考プロセスを再現・加速させることができます。 そのための実践的な手段が Wazuh Admin Prompt Packs です。