Category: Security

あなたのSOCは、アラートの洪水に溺れていないだろうか。 企業のセキュリティオペレーションセンター（SOC）が1日に受信するアラートは平均4,484件、28種類以上のツールから届く。アナリストが1件のアラートを調査するのに平均70分かかり、誰かが最初に確認するまでに56分が経過する。Devo社の「2024 SOC Performance Report」によれば、アラートの53%がfalse positiveであり、約半数は一度も調査されない。

ทีม SOC ขององค์กรกำลังจมอยู่กับปริมาณ alert ที่ท่วมหัว ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ระดับองค์กรโดยเฉลี่ยได้รับ 4,484 alerts ต่อวัน จากเครื่องมือกว่า 28 ระบบ นักวิเคราะห์ใช้เวลาเฉลี่ย 70 นาทีในการตรวจสอบ alert เพียงหนึ่งรายการ และกว่าจะมีคนเปิดดู alert นั้น เวลาก็ผ่านไปแล้ว 56 นาที จากรายงาน Devo SOC Performance Report ปี 2024 พบว่า 53% ของ alerts เหล่านั้นเป็น false positive และเกือบครึ่งหนึ่งไม่เคยถูกตรวจสอบเลย

Your SOC is getting buried alive. The average enterprise security operations center receives 4,484 alerts per day from 28 or more tools. An analyst spends 70 minutes investigating a single alert — and 56 minutes pass before anyone even looks at it. According to Devo’s 2024 SOC Performance Report, 53% of those alerts are false […]

历时三周、逐条commit的实录：使用Wazuh 4.x、IRIS-web和自研FastAPI集成器从零搭建生产级安全运营中心——检测规则、告警流水线、IOC情报富化，以及那些永远不会出现在架构图里的基础设施坑点。

Wazuh 4.x、IRIS-web、自社開発のFastAPIインテグレーターを用いてSecurity Operations Centerをゼロから構築した3週間の実録。検知ルール、アラートパイプライン、IOCエンリッチメント、そしてアーキテクチャ図には決して登場しないインフラのバグまで、commitの履歴をたどりながら振り返る。 スタック： Wazuh 4.x · IRIS-web · soc-integrator (FastAPI) · OpenSearch · Docker Compose · VirusTotal API · AbuseIPDB

บันทึกกว่าสามสัปดาห์ ติดตามทุก commit จากการสร้าง Security Operations Center ด้วย Wazuh 4.x, IRIS-web และ FastAPI integrator ที่พัฒนาเอง — ทั้ง detection rules, alert pipeline, IOC enrichment และบั๊กโครงสร้างพื้นฐานที่ไม่มีใครใส่ไว้ใน architecture diagram

A three-week, commit-by-commit account of building a production Security Operations Center using Wazuh 4.x, IRIS-web, and a custom FastAPI integrator — the detection rules, the alert pipelines, the IOC enrichment, and the infrastructure bugs no one puts in their architecture diagrams.

なぜ日本の中小企業はセキュリティ監視で損をしているのか 情報システム部門の担当者であれば、次のような状況に心当たりがあるだろう。 経営層からは「セキュリティをしっかりやれ」と言われる。しかし予算は限られている。大手SIerに相談すれば、マネージドSOCサービスの見積もりが月額数十万円から届く。契約期間は3年。何が監視されているかは月次レポートでしかわからない。アラートの内容を自分で確認したければ、別途問い合わせが必要だ。

为什么大多数安全项目还没开始就已经失败 "我们需要一个SOC。"每个刚刚遭遇安全事件、未能通过合规审计或刚刚任命了第一位CISO的组织，都会说出这句话。随之而来的是商业SIEM厂商的演示、数百万元的报价，以及长达12个月的部署计划。 大多数团队走出那间会议室，然后什么都没做。

なぜ多くのセキュリティプログラムは始まる前に失敗するのか 「SOCが必要だ」。この一言は、セキュリティインシデントを経験した直後、監査に不合格になった後、あるいは初めてCISOを採用した組織で必ず聞こえてきます。その後に続くのは、商用SIEMベンダーのプレゼン、数千万円規模の見積もり、そして12ヶ月の導入スケジュールです。 ほとんどのチームはそのミーティングから出て、何もしません。