Articles › Security

Your SOC is getting buried alive. The average enterprise security operations center receives 4,484 alerts per day from 28 or more tools. An analyst spends 70 minutes investigating a single alert — and 56 minutes pass before anyone even looks at it. According to Devo’s 2024 SOC Performance Report, 53% of those alerts are false […]

历时三周、逐条commit的实录：使用Wazuh 4.x、IRIS-web和自研FastAPI集成器从零搭建生产级安全运营中心——检测规则、告警流水线、IOC情报富化，以及那些永远不会出现在架构图里的基础设施坑点。

Wazuh 4.x、IRIS-web、自社開発のFastAPIインテグレーターを用いてSecurity Operations Centerをゼロから構築した3週間の実録。検知ルール、アラートパイプライン、IOCエンリッチメント、そしてアーキテクチャ図には決して登場しないインフラのバグまで、commitの履歴をたどりながら振り返る。 スタック： Wazuh 4.x · IRIS-web · soc-integrator (FastAPI) · OpenSearch · Docker Compose · VirusTotal API · AbuseIPDB

บันทึกกว่าสามสัปดาห์ ติดตามทุก commit จากการสร้าง Security Operations Center ด้วย Wazuh 4.x, IRIS-web และ FastAPI integrator ที่พัฒนาเอง — ทั้ง detection rules, alert pipeline, IOC enrichment และบั๊กโครงสร้างพื้นฐานที่ไม่มีใครใส่ไว้ใน architecture diagram

A three-week, commit-by-commit account of building a production Security Operations Center using Wazuh 4.x, IRIS-web, and a custom FastAPI integrator — the detection rules, the alert pipelines, the IOC enrichment, and the infrastructure bugs no one puts in their architecture diagrams.

なぜ日本の中小企業はセキュリティ監視で損をしているのか 情報システム部門の担当者であれば、次のような状況に心当たりがあるだろう。 経営層からは「セキュリティをしっかりやれ」と言われる。しかし予算は限られている。大手SIerに相談すれば、マネージドSOCサービスの見積もりが月額数十万円から届く。契約期間は3年。何が監視されているかは月次レポートでしかわからない。アラートの内容を自分で確認したければ、別途問い合わせが必要だ。

为什么大多数安全项目还没开始就已经失败 "我们需要一个SOC。"每个刚刚遭遇安全事件、未能通过合规审计或刚刚任命了第一位CISO的组织，都会说出这句话。随之而来的是商业SIEM厂商的演示、数百万元的报价，以及长达12个月的部署计划。 大多数团队走出那间会议室，然后什么都没做。

なぜ多くのセキュリティプログラムは始まる前に失敗するのか 「SOCが必要だ」。この一言は、セキュリティインシデントを経験した直後、監査に不合格になった後、あるいは初めてCISOを採用した組織で必ず聞こえてきます。その後に続くのは、商用SIEMベンダーのプレゼン、数千万円規模の見積もり、そして12ヶ月の導入スケジュールです。 ほとんどのチームはそのミーティングから出て、何もしません。

ทำไมโปรแกรมความปลอดภัยส่วนใหญ่ถึงล้มเหลวก่อนเริ่มต้น "เราต้องการ SOC" ประโยคนี้มักได้ยินในทุกองค์กรที่เพิ่งถูกโจมตี ไม่ผ่านการตรวจสอบ หรือเพิ่งจ้าง CISO คนแรก สิ่งที่ตามมาคือการนำเสนอของ vendor SIEM เชิงพาณิชย์ ใบเสนอราคาหลักล้านบาท และ timeline การติดตั้ง 12 เดือน ทีมส่วนใหญ่เดินออกจากห้องประชุมนั้นแล้วไม่ทำอะไรเลย

Why most small security programs fail before they start "We need a SOC." It’s a sentence that gets said in every organization that has just experienced a breach, failed an audit, or hired a CISO for the first time. What usually follows is a commercial SIEM vendor pitch, a six-figure quote, and a 12-month deployment […]

一份清晰的入门指南，详解 Wazuh 解码器与规则如何协同工作——字段是什么、从哪里来、何时需要解码器，以及日志如何变成告警。 标签： Wazuh · OSSEC · SIEM · 蓝队 · 检测工程 难度： 入门 → 中级 | 阅读时间： 15 分钟 如果你曾打开 Wazuh 规则文件，然后问自己： "这个字段从哪里来——规则、解码器，还是日志本身？" "这条规则要生效，我真的需要解码器吗？" "明明日志里有这个字符串，为什么 <field> 规则就是不触发？" ……你不是一个人。这些正是大多数人刚开始写 Wazuh 规则时必然会遇到的问题。本文将逐步解答所有疑惑，并在每个阶段配以流程图。

Wazuh のデコーダーとルールがどのように連携するかを初心者にも分かりやすく解説。フィールドとは何か、どこから来るのか、デコーダーが必要なタイミング、そしてログがアラートになるまでの流れを説明します。 タグ: Wazuh · OSSEC · SIEM · Blue Team · Detection Engineering レベル: 初級 → 中級 | 読了時間: 15 分

คู่มือฉบับสมบูรณ์สำหรับมือใหม่ — อธิบายว่า Wazuh decoders และ rules ทำงานร่วมกันอย่างไร, field คืออะไร, มาจากไหน, เมื่อไหรต้องใช้ decoder และ log กลายเป็น alert ได้อย่างไร Tags: Wazuh · OSSEC · SIEM · Blue Team · Detection Engineering ระดับ: มือใหม่ → ระดับกลาง | เวลาอ่าน: 15 นาที ถ้าคุณเคยมองไฟล์ Wazuh rule แล้วถามตัวเองว่า: "field นี้มาจากไหนกันแน่ — จาก rule, decoder หรือ log ตัวเอง?" "จำเป็นต้องมี decoder ไหมถึงจะให้ rule […]

A clear, beginner-friendly guide to how Wazuh decoders and rules work together — what fields are, where they come from, when you need a decoder, and how logs become alerts. Tags: Wazuh · OSSEC · SIEM · Blue Team · Detection Engineering Level: Beginner → Intermediate | Read time: 15 min If you’ve ever looked […]

许多企业认为： “我们已经部署了防火墙和杀毒软件，所以是安全的。” 然而，一旦发生数据泄露或安全事件，才发现现有防护体系并不足够。 问题的根本原因在于——很多团队并未真正理解 NSM、AV、IPS、IDS、EDR 各自的定位，以及它们之间应如何协同工作。 本文将系统性拆解每个组件的作用，并展示现代企业安全架构的完整蓝图。

多くの企業は「ファイアウォールとアンチウイルスを導入しているから安全だ」と考えています。 しかし実際に情報漏えい（Breach）が発生すると、既存の対策だけでは不十分であることが判明します。 その主な原因は、NSM・AV・IPS・IDS・EDRの違いを正しく理解していないこと、そしてそれらをどのように連携させるべきかが整理されていないことにあります。 本記事では、それぞれの役割を明確にし、現代のセキュリティアーキテクチャの全体像を解説します。

หลายองค์กรเชื่อว่าตัวเอง “ปลอดภัยแล้ว” เพราะมี Firewall และ Antivirus ติดตั้งอยู่ แต่เมื่อเกิดเหตุการณ์ข้อมูลรั่วไหล (Breach) ขึ้นจริง กลับพบว่าเครื่องมือที่มีอยู่ไม่เพียงพอ สาเหตุหลักคือทีมไอทีจำนวนมากยังไม่เข้าใจความแตกต่างระหว่าง NSM, AV, IPS, IDS และ EDR — และที่สำคัญยิ่งกว่านั้นคือ ไม่เข้าใจว่าระบบเหล่านี้ควรทำงานร่วมกันอย่างไร บทความนี้จะอธิบายแต่ละองค์ประกอบอย่างชัดเจน และแสดงให้เห็นว่าสถาปัตยกรรมความปลอดภัยยุคใหม่ควรเป็นอย่างไร

Many organizations believe they are "secure" because they have a firewall and antivirus installed. Then a breach happens. The reason? Most teams misunderstand the difference between NSM, AV, IPS, IDS, and EDR — and more importantly, how they should work together. This article explains each component clearly and shows how modern security architecture actually works.

从被动日志监控到自适应智能SOC 当今网络威胁日益复杂与隐蔽，攻击者常利用“Living off the Land”等合法工具实施攻击以规避检测。传统的Network Security Monitoring（NSM）能够生成大量日志，但日志本身并不等于“安全智能”。 NSM + AI = 自适应、高精度、低噪音的安全监控体系 本文将解析人工智能（AI）如何升级传统NSM，使其演进为主动式、智能化的安全运营体系。

受動的なログ監視から自律型SOCインテリジェンスへ 現代のサイバー脅威は高度化・巧妙化しており、「Living off the Land」のような正規ツールを悪用する手法で検知を回避します。従来型のNetwork Security Monitoring（NSM）は大量のログを生成できますが、ログだけでは"インテリジェンス"にはなりません。 NSM + AI = 適応型・高精度・低ノイズのセキュリティ監視 本記事では、Artificial Intelligence（AI）が従来型NSMをどのように進化させ、プロアクティブなセキュリティ基盤へと変革するのかを解説します。