Category: Security

历时三周、逐条commit的实录：使用Wazuh 4.x、IRIS-web和自研FastAPI集成器从零搭建生产级安全运营中心——检测规则、告警流水线、IOC情报富化，以及那些永远不会出现在架构图里的基础设施坑点。

Wazuh 4.x、IRIS-web、自社開発のFastAPIインテグレーターを用いてSecurity Operations Centerをゼロから構築した3週間の実録。検知ルール、アラートパイプライン、IOCエンリッチメント、そしてアーキテクチャ図には決して登場しないインフラのバグまで、commitの履歴をたどりながら振り返る。 スタック： Wazuh 4.x · IRIS-web · soc-integrator (FastAPI) · OpenSearch · Docker Compose · VirusTotal API · AbuseIPDB

บันทึกกว่าสามสัปดาห์ ติดตามทุก commit จากการสร้าง Security Operations Center ด้วย Wazuh 4.x, IRIS-web และ FastAPI integrator ที่พัฒนาเอง — ทั้ง detection rules, alert pipeline, IOC enrichment และบั๊กโครงสร้างพื้นฐานที่ไม่มีใครใส่ไว้ใน architecture diagram

A three-week, commit-by-commit account of building a production Security Operations Center using Wazuh 4.x, IRIS-web, and a custom FastAPI integrator — the detection rules, the alert pipelines, the IOC enrichment, and the infrastructure bugs no one puts in their architecture diagrams.

なぜ日本の中小企業はセキュリティ監視で損をしているのか 情報システム部門の担当者であれば、次のような状況に心当たりがあるだろう。 経営層からは「セキュリティをしっかりやれ」と言われる。しかし予算は限られている。大手SIerに相談すれば、マネージドSOCサービスの見積もりが月額数十万円から届く。契約期間は3年。何が監視されているかは月次レポートでしかわからない。アラートの内容を自分で確認したければ、別途問い合わせが必要だ。

为什么大多数安全项目还没开始就已经失败 "我们需要一个SOC。"每个刚刚遭遇安全事件、未能通过合规审计或刚刚任命了第一位CISO的组织，都会说出这句话。随之而来的是商业SIEM厂商的演示、数百万元的报价，以及长达12个月的部署计划。 大多数团队走出那间会议室，然后什么都没做。

なぜ多くのセキュリティプログラムは始まる前に失敗するのか 「SOCが必要だ」。この一言は、セキュリティインシデントを経験した直後、監査に不合格になった後、あるいは初めてCISOを採用した組織で必ず聞こえてきます。その後に続くのは、商用SIEMベンダーのプレゼン、数千万円規模の見積もり、そして12ヶ月の導入スケジュールです。 ほとんどのチームはそのミーティングから出て、何もしません。

ทำไมโปรแกรมความปลอดภัยส่วนใหญ่ถึงล้มเหลวก่อนเริ่มต้น "เราต้องการ SOC" ประโยคนี้มักได้ยินในทุกองค์กรที่เพิ่งถูกโจมตี ไม่ผ่านการตรวจสอบ หรือเพิ่งจ้าง CISO คนแรก สิ่งที่ตามมาคือการนำเสนอของ vendor SIEM เชิงพาณิชย์ ใบเสนอราคาหลักล้านบาท และ timeline การติดตั้ง 12 เดือน ทีมส่วนใหญ่เดินออกจากห้องประชุมนั้นแล้วไม่ทำอะไรเลย

Why most small security programs fail before they start "We need a SOC." It’s a sentence that gets said in every organization that has just experienced a breach, failed an audit, or hired a CISO for the first time. What usually follows is a commercial SIEM vendor pitch, a six-figure quote, and a 12-month deployment […]

一份清晰的入门指南，详解 Wazuh 解码器与规则如何协同工作——字段是什么、从哪里来、何时需要解码器，以及日志如何变成告警。 标签： Wazuh · OSSEC · SIEM · 蓝队 · 检测工程 难度： 入门 → 中级 | 阅读时间： 15 分钟 如果你曾打开 Wazuh 规则文件，然后问自己： "这个字段从哪里来——规则、解码器，还是日志本身？" "这条规则要生效，我真的需要解码器吗？" "明明日志里有这个字符串，为什么 <field> 规则就是不触发？" ……你不是一个人。这些正是大多数人刚开始写 Wazuh 规则时必然会遇到的问题。本文将逐步解答所有疑惑，并在每个阶段配以流程图。