“我是X公司SOC團隊負責人，經過深思熟慮，最終我們鼓起勇氣把安全運營團隊解散了。”

老板說，文章點開率必須達到120%，好吧，只能出此上策。

年前DeepSeek的一度火爆，讓全球震驚！我和我的團隊已經充分意識到，未來（現在）SOC團隊安全運營工作的方式必將（已經）徹底改變：“過去是機器輔助人類，未來是人類協同AI。”

為此，我們決定打散團隊，嘗試引入新的技術，打造新的產品形態，來解決安全運營團隊的日常工作問題。讓我來先問你一個問題：“一個工作3年的一線安全工程師，和掌握了人類過去所有歷史經驗的大模型相比，誰更專業？”

“作為一名SOC團隊負責人，我想和大家分享一個瘋狂的決定 —— 我們要把傳統的安全運營團隊玩出新花樣了！”

為什么要這么玩？

讓我們面對現實吧：

• 優秀的安全工程師太難找了

• 每天的告警多得讓人頭禿

• 經驗傳承就像在玩"傳話游戲"

• 響應速度？可能黑客都喝完咖啡了我們還沒反應過來

Github項目倉庫地址：https://github.com/flagify-com/deepsoc

想象一下，如果把最強大的AI和最專業的安全自動化工具結合在一起會怎樣？DeepSOC就是這樣一個有趣的嘗試！

霧幟智能視頻號已于2025年3月14日（周五）下午15:30分發布DeepSOC項目啟動的直播，現場手把手指導如何玩轉。PS：本周還有一次直播，請到文末進行預約。

DeepSOC是什么？

簡單說，它就是一個超級智能的虛擬安全團隊，由5個AI特工（AI智能體）組成：

• 指揮官：統籌全局的決策者

• 經理：任務分配的能手

• 操作員：實際動手的好手

• 執行器：工具操作小能手

• 專家：專業知識擔當

就像真實的SOC團隊一樣，但是更快更智能：

1. 發現威脅？指揮官馬上分析做決策

2. 需要行動？安全經理拆解指揮官任務

3. 要執行？操作員秒速生成命令和參數

4. 需要工具？執行器立即到位

5. 要建議？專家隨時在線

還有更多好玩的！ DeepSec - 中文網絡安全運營領域的大模型訓練語料庫

官網：https://deepsec.top

為什么要搞這個？因為我們希望大模型能夠真正地融入到SOC團隊的網絡安全運營實戰中！

SOAR自動化 - 安全工具的終極玩法

• 編排自動化——高水平、可重復的操作過程自動化

• 社區免費版：https://github.com/flagify-com/OctoMation

• 可視化劇本編排，再復雜的邏輯也能自動化完成

• 開放API，供大模型調用

Github項目地址：https://github.com/flagify-com/deepsoc

霧幟智能CTO傅奎：

新技術的誕生，必然催生新的產品形態，如果只是簡單地宣稱"完成了deepseek對接"，這樣的軟文完全沒必要。早在2019年，霧幟智能就已經在傳統人工智能技術上實現了"AI+SOAR"虛擬作戰室和人機協同作戰的HoneyGuide智能風險決策系統。

為什么我們要做DeepSOC

傳統的安全運營工作面臨幾大挑戰：

1. 人力資源短缺：熟練的安全運營工程師稀缺，培養周期長

2. 信息過載：安全告警數量龐大，人工分析效率低下

3. 知識孤島：經驗難以規模化傳承，團隊成員間專業水平不均衡

4. 響應遲緩：從告警到響應的流程冗長，黃金處置時間常被浪費

以往的SOC團隊安全運營工作主要依賴SIEM、SOAR等產品，但這些工具仍需大量人工配置和維護，且缺乏足夠的智能性。不可否認，傳統安全產品未來在網絡安全攻防戰場中仍將發揮巨大作用，但是新的形勢日益變革和新的技術不斷涌現，迫使我們必須重新思考過去所有的工作。

DeepSOC項目正是基于這些痛點，利用大模型技術與傳統安全運營工具相結合，創造出一種全新的網絡安全產品形態：AI驅動的網絡安全運營中心——虛擬SOC團隊

DeepSOC的工作機制與可行性

DeepSOC設計了一套仿人類團隊協作的多Agent架構，包含5個核心角色：

• SOC指揮官（_captain）：總指揮，統籌全局，決策制定

• 安全經理（_manager）：任務分解，動作協調

• 安全操作員（_operator）：執行具體操作

• 安全執行器（_executor）：連接外部工具和系統

• 安全專家（_expert）：提供專業建議和知識支持

這五個Agent相互協作，形成完整的安全事件處理流水線：

1. 接收安全告警/事件輸入

2. SOC指揮官分析威脅并決策處置方向

3. 安全經理將任務分解為具體動作

4. 安全操作員承擔人與機器橋梁，將執行動作翻譯成執行參數

5. 安全執行器調用外部工具

6. 安全專家在事件處置的每一輪次提供專業總結和建議

系統采用WebSocket實時通信，通過API與現有SOAR 劇本（如霧幟智能HoneyGuide SOAR、OctoMation編排自動化）、MCP Client、 Function Calling Tools甚至人工集成，實現從告警到自動化處置的全流程智能化。

DeepSOC使用體驗

假設用戶創建了安全事件，描述信息是："SIEM告警外部IP 66.240.205.34正在對郵件網關服務器進行暴力破解攻擊"，并補充了上下文："郵件網關服務器的內網IP地址192.168.22.251"。

該事件創建后，系統將向AI大模型"虛擬指揮官"匯報，指揮官會向安全經理層安排任務：

• @分析員請查詢IP地址66.240.205.34的威脅情報

• @分析員請查詢郵件網關服務器192.168.22.251最近1小時內的登錄日志

• @協調員通知郵件網關服務器192.168.22.251的資產負責人當前的安全威脅

而經理層（AI Agent）將會調用大模型，對指揮官的任務進行細化，輸出劇本可操作性的動作：

• @安全工程師使用劇本【通用IP地址威脅情報信息查詢】查詢【66.240.205.34】的威脅情報

• @安全工程師使用劇本【操作系統登錄日志查詢】查詢【192.168.22.251】最近1小時內的登錄日志

• @安全工程師發送安全事件告警信息到【郵件網關服務器192.168.22.251的資產負責人】

最后由一線操作員將動作翻譯成機器可以識別的執行參數：

{
  "created_at": "2025-03-03T04:14:06",
  "event_id": "7ed73c14-bd19-4cfa-9ea4-321c5836008a",
  "id": 7,
  "message_content": {
    "data": {
      "commands": [
        {
          "action_id": "7aab3d84-d360-4405-b4bd-814c47a02842",
          "command_assignee": "_executor",
          "command_entity": {
            "playbook_id": 12316887511154270,
            "playbook_name": "General_IP_Threat_Intelligence_Query"
          },
          "command_name": "通用IP地址威脅情報信息查詢",
          "command_params": {
            "src": "66.240.205.34"
          },
          "command_type": "playbook",
          "task_id": "5d28123b-e731-4759-a751-cb040182ad9f"
        },
        {
          "action_id": "3d0c2500-d0e1-420f-bed0-66ef221a5221",
          "command_assignee": "_executor",
          "command_entity": {
            "playbook_id": 12321445036046216,
            "playbook_name": "os_login_log_query"
          },
          "command_name": "操作系統登錄日志查詢",
          "command_params": {
            "src": "192.168.22.251",
            "time_window_minute": 60
          },
          "command_type": "playbook",
          "task_id": "3f818254-58a7-45c7-9d4c-16c633a5fe1a"
        },
        {
          "action_id": "350a236e-c678-49bc-b60a-e792529f809e",
          "command_assignee": "_executor",
          "command_entity": {
            "user_id": "zhangsan",
            "user_name": "張三"
          },
          "command_name": "發送安全事件告警信息到郵件網關服務器192.168.22.251的資產負責人",
          "command_params": {
            "ip": "192.168.22.251"
          },
          "command_type": "manual",
          "task_id": "d7d4f470-9bef-4be1-ae25-51398c95fd2a"
        }
      ],
      "event_id": "7ed73c14-bd19-4cfa-9ea4-321c5836008a",
      "from": "_operator",
      "req_id": "493a3831-f802-4adf-a413-36316b7c7ab1",
      "res_id": "2b906467-98bb-4d93-8c38-009970aebe1a",
      "response_type": "COMMAND",
      "round_id": 1,
      "to": "_executor",
      "type": "llm_response"
    },
    "timestamp": "2025-03-03T12:14:06.022411",
    "type": "llm_response"
  },
  "message_from": "_operator",
  "message_id": "90c9cc0b-487f-435a-bafa-eb5c7424dbf2",
  "message_type": "llm_response",
  "round_id": 1,
  "updated_at": "2025-03-03T04:14:06"
}

執行器拿到命令參數后，將調用SOAR Playbook、Function Calling Tools、MCP Tools等能力，完成大模型指令的最后落地。

一輪任務完成后，系統會請求安全專家（AI Agent）對執行結果和事件處置進展進行總結，向指揮官做一次戰況匯報。指揮官根據當前處置的情況，決定是否繼續下一輪任務發放或者結束事件。

以上過程，完全模擬絕大多數組織內部的網絡安全運營SOC團隊的工作過程，因此安全人員容易配合，也容易參與。分角色的多Agent既可以方便用戶針對性優化，也支持在某個Agent故障時，更懂業務的安全人員人工接管。

DeepSOC的開放能力

DeepSOC開放了如下能力，允許舍棄用戶自行發戶和共享：

• 自定義大模型參數（Base_URL、API Key、Model等）

• SOAR劇本自定義（劇本ID、名稱、描述、參數等）

• 多Agent提示詞（用戶可以針對不同的Agent單獨優化提示詞）

• WebSocket消息廣播機制（允許用戶人工/自動方式向作戰室廣播消息）

DeepSOC支持"全自動駕駛FSD模式"也支持一件切換"人工駕駛模式"。除了目前的多Agent自動化事件處置流程，接下來還將增加ChatSOC能力，支持工程師與AI對話方式解決安全問題，并在對話過程中驅動外部能力（SOAR、Function Calling Tools、MCP Tools）等。

我們將如何運營這個開源項目

• 每周同步進度（直播形式）：透明展示項目進展，收集社區反饋

• 共享開源成果：代碼、模型、文檔全部開放，鼓勵社區貢獻

• 優先解決社區提問/功能需求：以實際應用場景為導向，不斷優化產品

我們非常清楚，要想做好DeepSOC這樣的產品，離不開專業的大模型數據，為此同步啟動中文網絡安全運營領域的開源語料項目——DeepoSec。DeepSec是與DeepSOC同步發起的開源項目，旨在為DeepSOC項目提供更加具有網絡安全靈魂的大模型微調語料基礎。

官方網站：https://deepsec.top

中文網絡安全運營領域的開源語料的必要性

大模型的能力很大程度上取決于其訓練數據的質量和數量。中文網絡安全領域的專業語料相對稀缺，尤其是安全運營相關的語料。這導致即使是先進的大模型，在處理中文安全運營任務時也面臨專業性不足的問題。

然而縱觀市場，目前沒有我們需要的理想的大模型產品。盡管DeepSeek-R1等模型問世以來，一直在快速發展，但是受限于網絡安全領域尤其是安全運營環節的特殊性，現有的模型分析和處置安全事件時，還缺少火候 ，其中最重要的原因是，缺少針對網絡安全運營領域的微調訓練。

為此，我們發起中文網絡安全運營領域的開源語料項目DeepSec。DeepSec試圖通過人肉+AI輔助方式構建豐富的安全運營語料庫，為大模型落地網絡安全運營場景做基礎準備。

DeepSec項目旨在構建一個全面的中文網絡安全運營領域開源語料庫，至少涵蓋：

1. 安全事件報告：各類網絡攻擊和安全事件的詳細分析報告

2. 威脅情報數據：惡意IP、域名、文件哈希等結構化威脅情報

3. 安全運營對話：SOC團隊處理安全事件的真實對話記錄（去敏后）

4. 安全工具文檔：常見安全工具的中文使用文檔和最佳實踐

5. 行業標準規范：網絡安全領域的各類標準、規范和流程文檔

6. 組織內部業務語言：網絡安全團隊在組織內部的溝通語言和方式

這些語料將用于微調現有大模型，使其在安全運營場景中表現更出色。

項目組工作機制

本項目，力爭做到廠商無關化，任何安全廠商、甲方客戶和同行人員都可以積極參與，我們將采取基本的委員會輪值和雙周工作會議機制，加速推進項目進程。

• 委員會輪值機制：每月輪換項目負責人，確保多元視角

• 雙周工作會議：定期同步進度，解決技術難題，規劃下一階段工作

關于DeepSec項目的詳細規劃進展，近期將公開在官方網站：https://deepsec.top

開啟編排自動化新征程（SOAR as MCP Server）

今天無論我們使用多么聰明的大模型產品，都不可能依賴大模型完成安全運營過程中的所有工作。尤其是當大模型決策要調用某個威脅情報，要封禁某個IP，要啟動某個WAF策略的時候，都需要通過外部的能力來幫大模型實現。大模型落地安全運營最后一公里，離不開調用外部世界的觸手。所以需要Function Calling Tools、MCP Tools、SOAR安全劇本甚至人類工程師連接外部能力。

OctoMation社區免費版（Github地址：https://github.com/flagify-com/OctoMation），為大家提供劇本編排能力，并支持在DeepSOC中調用（通過API，和結構化定義）。在DeepSOC開源之際，任何參與項目的人員都可以下載并向OctoMation提交測試License申請，OctoMation項目組會加速審批進度。用戶可以在OctoMation中創建邏輯復雜、信息豐富的安全劇本，并在DeepSOC交互過程中，讓大模型選擇和執行劇本，加速安全事件運營。

在DeepSOC的架構中，我們設計了專門的SOAR集成模塊，通過標準化的API接口，使大模型能夠無縫調用各類安全工具和自動化劇本。這種集成方式有幾大優勢：

1. 降低集成門檻：預定義的接口規范使任何安全工具都能輕松接入

2. 提升響應速度：自動化執行減少人工干預，縮短響應時間

3. 增強可定制性：組織可根據自身需求定制專屬劇本和工具集

4. 智能決策支持：大模型可根據歷史經驗，智能推薦和調用最適合的劇本

這種"大模型+SOAR"的組合將徹底改變安全運營的工作方式，使SOC團隊能夠將精力從重復性任務轉移到更具戰略性的安全工作上。

結語：安全運營的未來

我們正處在AI技術革命的浪潮中，未來AI參與網絡安全運營是必然趨勢，而且AI犯錯誤的概率一定比人類低。同時， 未來算法會更優秀，算力要求也更低；因此，盡早行動，為安全運營FSD提前做好準備，是非常現實的問題，也是非常理性的選擇。

回到開頭的問題：一個工作3年的一線安全工程師和掌握全部歷史經驗的大模型相比，誰更能做好安全運營？

我們的答案是：兩者結合才是最優解。大模型擅長知識整合和模式識別，而人類安全專家則擁有創造性思維和道德判斷能力。DeepSOC和DeepSec項目的目標不是替代安全人員，而是讓AI成為安全專家的得力助手，共同應對日益復雜的網絡安全挑戰。

所以，我們并非真的"解散"了安全運營團隊，而是在擁抱技術變革的同時，重新定義安全運營的工作方式。通過開源社區的力量，我們希望加速這一變革，讓每個組織都能夠建立起更高效、更智能的安全運營能力。

如果你：

• 對AI+安全感興趣

• 想讓安全運營變得更有趣

• 期待和一群極客一起創新

那就趕快加入我們，共同探索安全運營的未來吧！

掃碼加微信（備注：deepsoc或者deepsec），進入社區群，一起參與DeepSOC項目。即使是圍觀，也歡迎啊！

我知道，你還有100個疑問。沒關系，進群來，咱們一起聊聊！

記住：安全運營不必枯燥，讓我們一起把它變得更有趣！?

直播提醒：DeepSOC開發者培訓將于3月22日 15:30開啟直播，歡迎大家預約觀看！