logo
其他专业级📊 数据

Splunk SOAR Certified Automation Developer

验证 Splunk SOAR(Security Orchestration, Automation and Response)自动化开发能力,涵盖 Playbook 设计与 Python 开发、App 集成、REST API 调用,面向 SOAR 开发工程师的专业认证。

开始刷题查看学习路径
$0
考试费
65
题量
90m
考试时长
70/100
及格分
?
一句话定论 · 看情况

做安全自动化编排的 SOAR 开发者考这个,纯 SOC 分析师或不做自动化的安全工程师不需要。

会员权益

JR 会员全站通

一个会员解锁全部认证题库、课程折扣和专属工具

  • 全部认证题库免费刷
  • 课程最高 5 折优惠
  • AI 工具 & Chrome 插件
  • 优先预约 1v1 导师
查看会员方案

这张认证到底考什么

先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。

SPLK-3003 Splunk SOAR Certified Automation Developer 是 Splunk SOAR(原 Phantom)平台的开发者认证,60 题 / 75 分钟。

Splunk SOAR 是安全编排、自动化和响应(SOAR)平台,核心能力是将安全运维流程编排为可重复执行的 Playbook — 告警触发后自动执行 IOC 查询、IP 封锁、工单创建等动作。和 SOAR Admin 认证不同,Developer 认证聚焦于 Playbook Python 开发(约 30%)、自定义 App 开发(约 20%)和 REST API 集成(约 15%)。

考试要求能读懂和编写 Python 代码 — Playbook 的 Custom Function、App Connector 的 action handler 都是 Python。约 25% 的题给一段 SOAR Python 代码问逻辑或排错。

你会反复碰到的核心服务

Splunk SOAR Playbook 设计与开发Visual Playbook Editor(VPE)使用Python 自定义函数(Custom Function)开发SOAR App 与连接器(Connector)开发REST API 集成与 Webhook 配置容器(Container)与工件(Artifact)管理案例(Case)管理工作流自动化SOAR 平台用户权限管理Playbook 测试、调试与版本控制

学完以后你能带走什么

  • 掌握 Splunk SOAR 平台的 Playbook 完整开发生命周期
  • 能够使用 Python 开发自定义函数和 SOAR App 连接器
  • 熟练配置 REST API 集成和 Webhook 触发器实现端到端自动化
  • 自信通过 Splunk SOAR Certified Automation Developer(SPLK-3003)认证考试

考试详情

考试代码
SPLK-3003
发证机构
其他认证机构
时长
90 分钟
题目数
65
及格分
70/100
有效期
3
考试费用
$0 USD
题型
single-choice、multiple-choice
考试语言
English
官方页面
打开官方页面

适合谁考

适合人群

  • 负责在 Splunk SOAR 平台开发自动化 Playbook 的安全自动化工程师
  • 需要将 EDR、防火墙、SIEM 等安全工具集成到 SOAR 平台的开发工程师
  • 具备 Python 编程基础并希望进入安全自动化领域的开发人员
  • 希望通过 SOAR 认证提升安全工程竞争力的 SOC 工程师

开始前最好先有

  • 具备 Python 编程能力(中级水平),熟悉函数、类、异常处理和 JSON 数据处理
  • 了解 REST API 基本概念:HTTP 方法、认证方式(API Key、OAuth)、JSON 格式
  • 具备安全运营基础知识:安全事件生命周期、IOC 类型、威胁响应流程
  • 建议了解 Splunk 基础操作,有 SOAR 或安全编排平台使用经验者优先

值不值得考?职业价值

Splunk SPLK-3003 持证人的薪资区间、对应岗位、以及真实的职业影响。

澳洲
$130K-175KAUD
美国
$115K-165KUSD
新加坡
$95K-145KSGD
SOAR DeveloperSecurity Automation EngineerSOC Engineer安全自动化工程师

SOAR 工程师是 SOC 自动化转型中需求增长最快的角色之一。Splunk SOAR(Phantom)在 SOAR 市场占有率约 20-25%,和 Palo Alto XSOAR 并列第一梯队。

适合考的人:在 Splunk SOAR 环境中开发 Playbook 和自定义 App 的安全自动化工程师。

不适合考的人:不写代码的 SOC 分析师,或者使用其他 SOAR 平台(XSOAR、Tines、Swimlane)的人。

备考节奏

有 AWS 实操经验

4-6

零基础切入

8-12

建议日投入

1-2 小时/天

学习路径预览

3
1
Splunk SOAR 认证概览:平台架构与核心概念
40 min
2
Playbook 开发:Python 自定义函数与 App 集成
120 min
3
Playbook 调试、部署管理与综合模拟考试
100 min

分阶段备考路径

过来人总结的分阶段备考节奏,按周拆分,不是空话。

1

第一阶段:SOAR 核心概念(1-2 周)

Container(安全事件容器)、Artifact(IOC/证据)、Asset(集成的安全工具)、Action(对 Asset 执行的操作)四个核心对象。Visual Playbook Editor(VPE)的 Decision Block、Filter、Format Block 使用。

2

第二阶段:Playbook Python 开发 + App 开发(2-3 周)

Custom Function 的 Python 开发(输入/输出参数定义、phantom.rules API)。App Connector 开发框架:BaseConnector 类继承、handle_action 方法、action JSON 定义。在 SOAR 社区版(免费)上练习开发和调试。

3

第三阶段:REST API + 模考(1-2 周)

SOAR REST API 端点(/rest/container、/rest/artifact、/rest/action_run)的 CRUD 操作。Playbook 的测试和调试方法。做 2 套模考,Python 代码阅读题务必快速准确。

通过者的真实经验

过来人的备考时长、分数、以及踩过的坑。

有 Python 基础的话不难,核心是理解 SOAR 的对象模型(Container → Artifact → Action → Result)。App 开发的 BaseConnector 继承模式是高频考点 — handle_action 方法里怎么分发不同 action 的逻辑。

A. Kumar通过
SOAR 开发者 @ MSSP · 备考 5 周

同赛道认证对比

Splunk SPLK-3003Splunk SPLK-3001Splunk SPLK-1003
机构其他其他其他
级别专业级专业级助理级
考试费$0$0$0
时长90 min90 min90 min
题量656565
有效期3 3 3

备考技巧与常见失误

⚠️

**不熟悉 Container/Artifact 关系** — Container 是一个安全事件,Artifact 是事件中的 IOC(IP、Hash、URL 等)。Playbook 从 Container 触发,对 Artifact 执行 Action。

⚠️

**App 开发框架不熟** — BaseConnector 的 initialize/handle_action/finalize 生命周期、action 参数从 param 字典获取的方式都是考点。

⚠️

**忽略 Playbook 调试** — SOAR 的 Playbook Debugger 功能、/opt/phantom/var/log/spawn.log 日志位置都会考到。

FAQ

常见问题

如果你准备考 Splunk SPLK-3003,先从真题型练习开始。

81+ 练习题、章节学习路径、模考、错题复盘和 AI 导师都在备考页里。

进入备考页

$39 起 · 前 2 章可免费试学

你可能顺手也会看这些

Splunk SPLK-3001

其他 · 专业级
$065 90 min

Splunk SPLK-1003

其他 · 助理级
$065 90 min

Splunk SPLK-2002

其他 · 助理级
$065 90 min