Category: Security

บทนำ ใน Security Operations Center (SOC) ยุคใหม่ “ความเร็ว” และ “ความสม่ำเสมอ” คือหัวใจสำคัญ การวิเคราะห์เหตุการณ์แบบ Manual นั้นช้า ไม่สม่ำเสมอ และมีต้นทุนสูง ทางออกคือ Automated Decision Logic — โครงสร้างการตัดสินใจอัตโนมัติที่ประเมิน Alert และกำหนดการดำเนินการโดยไม่ต้องรอมนุษย์ บทความนี้อธิบายวิธีออกแบบระบบตัดสินใจอัตโนมัติโดยใช้: Shuffle (SOAR Platform) Wazuh (SIEM) DFIR-IRIS (Incident Response) PagerDuty (On-call Alerting) SOC Integrator แบบพัฒนาเอง (Django Backend) เราจะอธิบายด้วยตัวอย่างจริงและสถาปัตยกรรมที่สามารถนำไปใช้งานได้จริง ทำความเข้าใจองค์ประกอบของ Shuffle ก่อนออกแบบระบบตัดสินใจอัตโนมัติ เราควรเข้าใจองค์ประกอบหลักของ Shuffle และการทำงานร่วมกันของแต่ละส่วน 1. Backend (Core Engine) Backend คือหัวใจของระบบอัตโนมัติ ทำหน้าที่: […]

Introduction In a modern Security Operations Center (SOC), speed and consistency are everything. Manual triage is slow, inconsistent, and expensive. The solution is automated decision logic — a structured way to evaluate alerts and decide what action should happen automatically. This article explains how to build automated decision systems using: Shuffle (SOAR platform) Wazuh (SIEM) […]

现代 SOC（Security Operations Center，安全运营中心）通常由多种强大的安全工具组成。 例如： Wazuh（检测与关联分析） Shuffle（SOAR 自动化） IRIS（事件与案件管理） PagerDuty（告警升级与值班通知） 从技术上看，这些工具之间可以直接进行集成。 但许多组织在系统上线运行数月后，都会遇到同一个问题： 工具之间的直接集成会随着时间推移变得越来越复杂，最终难以控制。 因此，我们没有采用简单的工具直连模式，而是引入了一个关键架构组件： SOC Integrator —— API 编排与控制层（API Orchestration Layer）

現代のSOC（Security Operations Center）は非常に強力なツール群で構成されています。 例えば以下のような構成が可能です。 Wazuh（検知・相関分析） Shuffle（SOAR自動化） IRIS（インシデント管理） PagerDuty（エスカレーション／オンコール対応） しかし、多くの組織が運用開始から数か月後に直面する問題があります。 ツール同士を直接接続する構成は、時間とともに複雑化し、制御不能になりやすい という点です。 そこで私たちは、単純なツール間連携ではなく、以下のアーキテクチャを採用しました。 SOC Integrator — APIオーケストレーション層

ระบบ SOC สมัยใหม่มีเครื่องมือที่ทรงพลังมาก คุณสามารถเชื่อมต่อ: Wazuh (Detection & Correlation) Shuffle (SOAR Automation) IRIS (Case Management) PagerDuty (Escalation & On-call) แต่ปัญหาที่หลายองค์กรพบหลังจากใช้งานไปสักระยะคือ: การเชื่อมต่อแบบตรงระหว่างเครื่องมือหลายตัว ทำให้ระบบซับซ้อน ควบคุมยาก และขยายต่อได้ยาก ดังนั้นแทนที่จะเชื่อมทุกอย่างเข้าหากันโดยตรง เราจึงออกแบบองค์ประกอบใหม่ในสถาปัตยกรรมชื่อว่า:

Modern SOC stacks are powerful. You can connect: Wazuh (Detection & Correlation) Shuffle (SOAR Automation) IRIS (Case Management) PagerDuty (Escalation & On-call) But here’s the problem most organizations discover too late: Direct integrations between tools become operational chaos. Instead of connecting everything directly, we introduced a new architecture component: SOC Integrator — an API Orchestration […]

即使没有网络，现场工作也不应停止 现场作业往往发生在网络条件不理想的环境中。巡检、设备维护、现场调查、应急与灾害响应，常常位于偏远地区、工业区、地下设施或临时作业点。 以云端为核心的系统，在这些关键时刻往往无法正常工作。 OffGridOps 正是为这样的现实场景而设计。 OffGridOps 是一款 离线优先（Offline-first） 的现场作业应用，不依赖服务器或持续的网络连接，也能可靠地记录站点、作业、任务和事件，并附带可核查的证据。

通信が途切れても、現場の仕事は止まらない 現場業務は理想的な環境で行われるとは限りません。点検、保守作業、現地調査、災害対応などは、通信環境が不安定、または完全に圏外の場所で行われることが多くあります。 クラウド前提のツールは、まさにそのような重要な場面で使えなくなることがあります。 OffGridOps は、そうした現実の現場のために設計されました。 OffGridOpsは、オフラインファースト設計のフィールドオペレーションアプリです。サーバーや常時インターネット接続に依存せず、サイト、作業、タスク、インシデントを、証拠付きで確実に記録できます。

เมื่อสัญญาณหาย งานไม่ควรหยุด การทำงานภาคสนามแทบไม่เคยอยู่ในสภาพแวดล้อมที่สมบูรณ์แบบ งานตรวจสอบ งานซ่อมบำรุง การสำรวจพื้นที่ หรือการรับมือเหตุฉุกเฉิน มักเกิดขึ้นในพื้นที่ที่สัญญาณอ่อนหรือไม่มีสัญญาณเลย เช่น พื้นที่ห่างไกล เขตอุตสาหกรรม พื้นที่ใต้ดิน หรือพื้นที่ภัยพิบัติ เครื่องมือที่พึ่งพาคลาวด์เป็นหลัก มักล้มเหลวในช่วงเวลาที่สำคัญที่สุด OffGridOps ถูกสร้างขึ้นมาเพื่อสถานการณ์เหล่านี้ OffGridOps คือ แอปงานภาคสนามแบบ Offline‑first ที่ช่วยให้ทีมงานสามารถติดตามไซต์ งานปฏิบัติการ งานย่อย และเหตุการณ์ต่าง ๆ พร้อมหลักฐานที่ตรวจสอบได้ โดยไม่ต้องพึ่งพาอินเทอร์เน็ตหรือเซิร์ฟเวอร์ตลอดเวลา

When the network disappears, work shouldn’t stop Field teams rarely work in perfect conditions. Inspections, maintenance, surveys, and incident response often happen in places with weak or no connectivity—remote sites, industrial zones, underground facilities, or disaster areas. Cloud‑first tools fail exactly when teams need them most. OffGridOps was built for those moments. It is an […]