对比
面向自营 SOC 的 MSP 的 Blackpoint Cyber 开源替代方案
Blackpoint Cyber 和 SocTalk 回答的是不同的问题。Blackpoint 销售托管检测与响应,由 24/7 人工 SOC 代表 MSP 进行检测并主动响应。SocTalk 是面向自营 SOC 的 MSP 和 MSSP 的开源软件,AI 分诊在分析师掌控之下承担走量的工作。
两个产品各是什么
Blackpoint 交付的 MDR 背后是其自有的 24/7/365 SOC,公司称这支团队由前 NSA、DIA 和 CIA 行动人员组成。其平台 CompassOne 打包了安全态势、资产清单、ITDR 和精简化的 LogIC SIEM;Standard 档位包含 365 天日志存储。
SocTalk 是采用 Apache 2.0 许可的 AI 优先 SOC 平台,安装和运营都由你自己完成。一个控制平面在你自己的 Kubernetes 上为每个客户运行专属的 Wazuh manager 和 indexer,存储由你拥有并自行定容。AI 负责分诊、调查和提议;升级和对外操作进入你团队的复核队列。
响应如何运作
Blackpoint 宣传人工主导、AI 加速的 SOC,代表合作伙伴主动响应。其 AI SOC Agent 于 2026 年 7 月发布,可在 Microsoft 365 和 Google Workspace 中自主遏制高置信度的身份威胁,报告的平均遏制时间不到 2 分钟。
SocTalk 把遏制当作人的决定。AI 给出裁决,但隔离端点或禁用账户始终是一项提议,由具名分析师批准;不存在自主模式。一种设计省去了等待合作伙伴批准的时间,另一种把每个对外操作都放在你团队的签核之后。
部署
Blackpoint 是云端交付的 SaaS,使用专有代理,通过合作伙伴协议和 Pax8 市场销售;其公开资料中未描述任何自托管选项。SocTalk 运行在原生 Kubernetes 1.30+ 上,从单台虚拟机上的 k3s 到本地集群再到 EKS、AKS 或 GKE,并支持气隙。演示虚拟机几分钟启动;生产安装约一小时。
定价与条款
Blackpoint 的定价未公布,报价通过合作伙伴协议获取。合同条款以及退出时的数据导出条款同样没有公开文档。SocTalk 在 Apache 2.0 下免费使用,没有许可费、按端点收费或社区版与企业版之分。你支付基础设施和 LLM 令牌;另有托管的 SocTalk Cloud 选项。退出时没有什么可取消的,数据(Postgres、Wazuh 索引、审计日志)本来就存放在你的集群上。
Blackpoint 更合适的场景
Blackpoint 自带 SOC 人力。一支真实的 24/7/365 人工团队代表你进行检测和响应,夜间、周末和节假日的排班问题都归他们。
身份攻击上的速度是另一点。SocTalk 的分析师批准关口是刻意的设计选择,不去追求 Blackpoint 所报告的无人值守 2 分钟以内遏制。
打包方式也更简单。代理、SOC 服务和 LogIC SIEM 作为一个产品家族出自同一供应商,该供应商每年接受 SOC 2 Type II 审计,报告可在其 Trust Center 签署 NDA 后获取,并通过 MSP 已在使用的渠道开通。不用搭集群,也不用运维技术栈。
SocTalk 的不同之处
SOC 仍由你的分析师交付,AI 压缩其中的工作量。确定性摄取过滤在任何模型调用之前就化解掉大部分噪音,例行案例自动关闭,同一支团队大约能处理 5-10 倍的告警量。客户关系、数据平面和交付都留在你手里。
人工控制是结构性的。升级始终经过人工复核,护栏策略只能让分诊更严格,每个决定都记入只可追加的审计日志。自托管软件没有可继承的供应商鉴证;你自己的审计日志、按租户隔离和合规导出可支持对运营的 SOC 2 风格审计。模型按租户选择,从 Anthropic 到 OpenAI 兼容端点,再到数据完全不出你基础设施的本地 Ollama。
经济账是可检验的。Wazuh 完全开源,没有 SocTalk 平台许可,经常性成本是你自己的基础设施和 LLM 令牌,本地模型可以把令牌开销降到零。离开是一次 helm uninstall,而非一次合同事件。
五分钟看到它跑起来
下载演示虚拟机或克隆代码仓库。完整平台采用 Apache 2.0 许可,没有功能门槛。
以下事实于 2026 年 7 月依据下列来源核实。产品名称归其所有者所有,SocTalk 与 Blackpoint Cyber 无关联。指正请联系 hello@soctalk.ai。
