老板说，文章点开率必须达到120%，好吧，只能出此上策。😭😭😭

年前DeepSeek的一度火爆，让全球震惊！我和我的团队已经充分意识到，未来（现在）SOC团队安全运营工作的方式必将（已经）彻底改变：“过去是机器辅助人类，未来是人类协同AI。”

为此，我们决定打散团队，尝试引入新的技术，打造新的产品形态，来解决安全运营团队的日常工作问题。让我来先问你一个问题：“一个工作3年的一线安全工程师，和掌握了人类过去所有历史经验的大模型相比，谁更专业？”

为什么要这么玩？🤔

让我们面对现实吧：

优秀的安全工程师太难找了

每天的告警多得让人头秃

经验传承就像在玩"传话游戏"

响应速度？可能黑客都喝完咖啡了我们还没反应过来

所以，我们搞了个大动作：DeepSOC（+DeepSec）！🚀

Github项目仓库地址：https://github.com/flagify-com/deepsoc

想象一下，如果把最强大的AI和最专业的安全自动化工具结合在一起会怎样？DeepSOC就是这样一个有趣的尝试！

雾帜智能视频号已于2025年3月14日（周五）下午15:30分发布DeepSOC项目启动的直播，现场手把手指导如何玩转。PS：本周还有一次直播，请到文末进行预约。

DeepSOC是什么？

简单说，它就是一个超级智能的虚拟安全团队，由5个AI特工（AI智能体）组成：

指挥官：统筹全局的决策者

经理：任务分配的能手

操作员：实际动手的好手

执行器：工具操作小能手

专家：专业知识担当

DeepSOC是怎么工作的？

就像真实的SOC团队一样，但是更快更智能：

发现威胁？指挥官马上分析做决策

需要行动？安全经理拆解指挥官任务

要执行？操作员秒速生成命令和参数

需要工具？执行器立即到位

要建议？专家随时在线

还有更多好玩的！

DeepSec - 中文网络安全运营领域的大模型训练语料库

官网：https://deepsec.top

为什么要搞这个？因为我们希望大模型能够真正地融入到SOC团队的网络安全运营实战中！

SOAR自动化 - 安全工具的终极玩法

编排自动化——高水平、可重复的操作过程自动化

社区免费版：https://github.com/flagify-com/OctoMation

可视化剧本编排，再复杂的逻辑也能自动化完成

开放API，供大模型调用

开源DeepSOC（AI驱动的网络安全运营中心）

Github项目地址：https://github.com/flagify-com/deepsoc

雾帜智能CTO傅奎：

为什么我们要做DeepSOC

传统的安全运营工作面临几大挑战：

人力资源短缺：熟练的安全运营工程师稀缺，培养周期长

信息过载：安全告警数量庞大，人工分析效率低下

知识孤岛：经验难以规模化传承，团队成员间专业水平不均衡

响应迟缓：从告警到响应的流程冗长，黄金处置时间常被浪费

以往的SOC团队安全运营工作主要依赖SIEM、SOAR等产品，但这些工具仍需大量人工配置和维护，且缺乏足够的智能性。不可否认，传统安全产品未来在网络安全攻防战场中仍将发挥巨大作用，但是新的形势日益变革和新的技术不断涌现，迫使我们必须重新思考过去所有的工作。

DeepSOC项目正是基于这些痛点，利用大模型技术与传统安全运营工具相结合，创造出一种全新的网络安全产品形态：AI驱动的网络安全运营中心——虚拟SOC团队

DeepSOC的工作机制与可行性

DeepSOC设计了一套仿人类团队协作的多Agent架构，包含5个核心角色：

SOC指挥官（_captain）：总指挥，统筹全局，决策制定

安全经理（_manager）：任务分解，动作协调

安全操作员（_operator）：执行具体操作

安全执行器（_executor）：连接外部工具和系统

安全专家（_expert）：提供专业建议和知识支持

这五个Agent相互协作，形成完整的安全事件处理流水线：

接收安全告警/事件输入

SOC指挥官分析威胁并决策处置方向

安全经理将任务分解为具体动作

安全操作员承担人与机器桥梁，将执行动作翻译成执行参数

安全执行器调用外部工具

安全专家在事件处置的每一轮次提供专业总结和建议

系统采用WebSocket实时通信，通过API与现有SOAR 剧本（如雾帜智能HoneyGuide SOAR、OctoMation编排自动化）、MCP Client、 Function Calling Tools甚至人工集成，实现从告警到自动化处置的全流程智能化。

DeepSOC使用体验

假设用户创建了安全事件，描述信息是："SIEM告警外部IP 66.240.205.34正在对邮件网关服务器进行暴力破解攻击"，并补充了上下文："邮件网关服务器的内网IP地址192.168.22.251"。

该事件创建后，系统将向AI大模型"虚拟指挥官"汇报，指挥官会向安全经理层安排任务：

@分析员 请查询IP地址66.240.205.34的威胁情报

@分析员 请查询邮件网关服务器192.168.22.251最近1小时内的登录日志

@协调员 通知邮件网关服务器192.168.22.251的资产负责人当前的安全威胁

而经理层（AI Agent）将会调用大模型，对指挥官的任务进行细化，输出剧本可操作性的动作：

@安全工程师 使用剧本【通用IP地址威胁情报信息查询】查询【66.240.205.34】的威胁情报

@安全工程师 使用剧本【操作系统登录日志查询】查询【192.168.22.251】最近1小时内的登录日志

@安全工程师 发送安全事件告警信息到【邮件网关服务器192.168.22.251的资产负责人】

最后由一线操作员将动作翻译成机器可以识别的执行参数：

{
  "created_at": "2025-03-03T04:14:06",
  "event_id": "7ed73c14-bd19-4cfa-9ea4-321c5836008a",
  "id": 7,
  "message_content": {
    "data": {
      "commands": [
        {
          "action_id": "7aab3d84-d360-4405-b4bd-814c47a02842",
          "command_assignee": "_executor",
          "command_entity": {
            "playbook_id": 12316887511154270,
            "playbook_name": "General_IP_Threat_Intelligence_Query"
          },
          "command_name": "通用IP地址威胁情报信息查询",
          "command_params": {
            "src": "66.240.205.34"
          },
          "command_type": "playbook",
          "task_id": "5d28123b-e731-4759-a751-cb040182ad9f"
        },
        {
          "action_id": "3d0c2500-d0e1-420f-bed0-66ef221a5221",
          "command_assignee": "_executor",
          "command_entity": {
            "playbook_id": 12321445036046216,
            "playbook_name": "os_login_log_query"
          },
          "command_name": "操作系统登录日志查询",
          "command_params": {
            "src": "192.168.22.251",
            "time_window_minute": 60
          },
          "command_type": "playbook",
          "task_id": "3f818254-58a7-45c7-9d4c-16c633a5fe1a"
        },
        {
          "action_id": "350a236e-c678-49bc-b60a-e792529f809e",
          "command_assignee": "_executor",
          "command_entity": {
            "user_id": "zhangsan",
            "user_name": "张三"
          },
          "command_name": "发送安全事件告警信息到邮件网关服务器192.168.22.251的资产负责人",
          "command_params": {
            "ip": "192.168.22.251"
          },
          "command_type": "manual",
          "task_id": "d7d4f470-9bef-4be1-ae25-51398c95fd2a"
        }
      ],
      "event_id": "7ed73c14-bd19-4cfa-9ea4-321c5836008a",
      "from": "_operator",
      "req_id": "493a3831-f802-4adf-a413-36316b7c7ab1",
      "res_id": "2b906467-98bb-4d93-8c38-009970aebe1a",
      "response_type": "COMMAND",
      "round_id": 1,
      "to": "_executor",
      "type": "llm_response"
    },
    "timestamp": "2025-03-03T12:14:06.022411",
    "type": "llm_response"
  },
  "message_from": "_operator",
  "message_id": "90c9cc0b-487f-435a-bafa-eb5c7424dbf2",
  "message_type": "llm_response",
  "round_id": 1,
  "updated_at": "2025-03-03T04:14:06"
}

执行器拿到命令参数后，将调用SOAR Playbook、Function Calling Tools、MCP Tools等能力，完成大模型指令的最后落地。

一轮任务完成后，系统会请求安全专家（AI Agent）对执行结果和事件处置进展进行总结，向指挥官做一次战况汇报。指挥官根据当前处置的情况，决定是否继续下一轮任务发放或者结束事件。

以上过程，完全模拟绝大多数组织内部的网络安全运营SOC团队的工作过程，因此安全人员容易配合，也容易参与。分角色的多Agent既可以方便用户针对性优化，也支持在某个Agent故障时，更懂业务的安全人员人工接管。

DeepSOC的开放能力

DeepSOC开放了如下能力，允许舍弃用户自行发户和共享：

自定义大模型参数（Base_URL、API Key、Model等）

SOAR剧本自定义（剧本ID、名称、描述、参数等）

多Agent提示词（用户可以针对不同的Agent单独优化提示词）

WebSocket消息广播机制（允许用户人工/自动方式向作战室广播消息）

DeepSOC支持"全自动驾驶FSD模式"也支持一件切换"人工驾驶模式"。除了目前的多Agent自动化事件处置流程，接下来还将增加ChatSOC能力，支持工程师与AI对话方式解决安全问题，并在对话过程中驱动外部能力（SOAR、Function Calling Tools、MCP Tools）等。

我们将如何运营这个开源项目

每周同步进度（直播形式）：透明展示项目进展，收集社区反馈

共享开源成果：代码、模型、文档全部开放，鼓励社区贡献

优先解决社区提问/功能需求：以实际应用场景为导向，不断优化产品

开放DeepSec（中文网络安全运营领域的开源语料项目）

我们非常清楚，要想做好DeepSOC这样的产品，离不开专业的大模型数据，为此同步启动中文网络安全运营领域的开源语料项目——DeepoSec。DeepSec是与DeepSOC同步发起的开源项目，旨在为DeepSOC项目提供更加具有网络安全灵魂的大模型微调语料基础。

官方网站：https://deepsec.top

中文网络安全运营领域的开源语料的必要性

大模型的能力很大程度上取决于其训练数据的质量和数量。中文网络安全领域的专业语料相对稀缺，尤其是安全运营相关的语料。这导致即使是先进的大模型，在处理中文安全运营任务时也面临专业性不足的问题。

然而纵观市场，目前没有我们需要的理想的大模型产品。尽管DeepSeek-R1等模型问世以来，一直在快速发展，但是受限于网络安全领域尤其是安全运营环节的特殊性，现有的模型分析和处置安全事件时，还缺少火候 ，其中最重要的原因是，缺少针对网络安全运营领域的微调训练。

为此，我们发起中文网络安全运营领域的开源语料项目DeepSec。DeepSec试图通过人肉+AI辅助方式构建丰富的安全运营语料库，为大模型落地网络安全运营场景做基础准备。

DeepSec项目旨在构建一个全面的中文网络安全运营领域开源语料库，至少涵盖：

安全事件报告：各类网络攻击和安全事件的详细分析报告

威胁情报数据：恶意IP、域名、文件哈希等结构化威胁情报

安全运营对话：SOC团队处理安全事件的真实对话记录（去敏后）

安全工具文档：常见安全工具的中文使用文档和最佳实践

行业标准规范：网络安全领域的各类标准、规范和流程文档

组织内部业务语言：网络安全团队在组织内部的沟通语言和方式

这些语料将用于微调现有大模型，使其在安全运营场景中表现更出色。

项目组工作机制

本项目，力争做到厂商无关化，任何安全厂商、甲方客户和同行人员都可以积极参与，我们将采取基本的委员会轮值和双周工作会议机制，加速推进项目进程。

委员会轮值机制：每月轮换项目负责人，确保多元视角

双周工作会议：定期同步进度，解决技术难题，规划下一阶段工作

关于DeepSec项目的详细规划进展，近期将公开在官方网站：https://deepsec.top

开启编排自动化新征程（SOAR as MCP Server）

今天无论我们使用多么聪明的大模型产品，都不可能依赖大模型完成安全运营过程中的所有工作。尤其是当大模型决策要调用某个威胁情报，要封禁某个IP，要启动某个WAF策略的时候，都需要通过外部的能力来帮大模型实现。大模型落地安全运营最后一公里，离不开调用外部世界的触手。所以需要Function Calling Tools、MCP Tools、SOAR安全剧本甚至人类工程师连接外部能力。

OctoMation社区免费版（Github地址：https://github.com/flagify-com/OctoMation），为大家提供剧本编排能力，并支持在DeepSOC中调用（通过API，和结构化定义）。在DeepSOC开源之际，任何参与项目的人员都可以下载并向OctoMation提交测试License申请，OctoMation项目组会加速审批进度。用户可以在OctoMation中创建逻辑复杂、信息丰富的安全剧本，并在DeepSOC交互过程中，让大模型选择和执行剧本，加速安全事件运营。

在DeepSOC的架构中，我们设计了专门的SOAR集成模块，通过标准化的API接口，使大模型能够无缝调用各类安全工具和自动化剧本。这种集成方式有几大优势：

降低集成门槛：预定义的接口规范使任何安全工具都能轻松接入

提升响应速度：自动化执行减少人工干预，缩短响应时间

增强可定制性：组织可根据自身需求定制专属剧本和工具集

智能决策支持：大模型可根据历史经验，智能推荐和调用最适合的剧本

这种"大模型+SOAR"的组合将彻底改变安全运营的工作方式，使SOC团队能够将精力从重复性任务转移到更具战略性的安全工作上。

结语：安全运营的未来

我们正处在AI技术革命的浪潮中，未来AI参与网络安全运营是必然趋势，而且AI犯错误的概率一定比人类低。同时， 未来算法会更优秀，算力要求也更低；因此，尽早行动，为安全运营FSD提前做好准备，是非常现实的问题，也是非常理性的选择。

回到开头的问题：一个工作3年的一线安全工程师和掌握全部历史经验的大模型相比，谁更能做好安全运营？

我们的答案是：两者结合才是最优解。大模型擅长知识整合和模式识别，而人类安全专家则拥有创造性思维和道德判断能力。DeepSOC和DeepSec项目的目标不是替代安全人员，而是让AI成为安全专家的得力助手，共同应对日益复杂的网络安全挑战。

所以，我们并非真的"解散"了安全运营团队，而是在拥抱技术变革的同时，重新定义安全运营的工作方式。通过开源社区的力量，我们希望加速这一变革，让每个组织都能够建立起更高效、更智能的安全运营能力。

如果你：

对AI+安全感兴趣

想让安全运营变得更有趣

期待和一群极客一起创新

那就赶快加入我们，共同探索安全运营的未来吧！

扫码加微信（备注：deepsoc或者deepsec），进入社区群，一起参与DeepSOC项目。即使是围观，也欢迎啊！

我知道，你还有100个疑问。没关系，进群来，咱们一起聊聊！

记住：安全运营不必枯燥，让我们一起把它变得更有趣！🚀✨

直播提醒：DeepSOC开发者培训将于3月22日 15:30开启直播，欢迎大家预约观看！