Splunk SOAR Certified Automation Developer
验证 Splunk SOAR(Security Orchestration, Automation and Response)自动化开发能力,涵盖 Playbook 设计与 Python 开发、App 集成、REST API 调用,面向 SOAR 开发工程师的专业认证。
做安全自动化编排的 SOAR 开发者考这个,纯 SOC 分析师或不做自动化的安全工程师不需要。
JR Academy Membership
Unlock all certifications, courses & tools at a fraction of the cost
- All certification exam prep included
- Course discounts up to 50%
- AI tools & Chrome extensions
- Priority 1-on-1 coaching
What this certification covers
This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.
SPLK-3003 Splunk SOAR Certified Automation Developer 是 Splunk SOAR(原 Phantom)平台的开发者认证,60 题 / 75 分钟。
Splunk SOAR 是安全编排、自动化和响应(SOAR)平台,核心能力是将安全运维流程编排为可重复执行的 Playbook — 告警触发后自动执行 IOC 查询、IP 封锁、工单创建等动作。和 SOAR Admin 认证不同,Developer 认证聚焦于 Playbook Python 开发(约 30%)、自定义 App 开发(约 20%)和 REST API 集成(约 15%)。
考试要求能读懂和编写 Python 代码 — Playbook 的 Custom Function、App Connector 的 action handler 都是 Python。约 25% 的题给一段 SOAR Python 代码问逻辑或排错。
You will work with
After preparation
- 掌握 Splunk SOAR 平台的 Playbook 完整开发生命周期
- 能够使用 Python 开发自定义函数和 SOAR App 连接器
- 熟练配置 REST API 集成和 Webhook 触发器实现端到端自动化
- 自信通过 Splunk SOAR Certified Automation Developer(SPLK-3003)认证考试
Exam details
Who should take it
Good fit
- 负责在 Splunk SOAR 平台开发自动化 Playbook 的安全自动化工程师
- 需要将 EDR、防火墙、SIEM 等安全工具集成到 SOAR 平台的开发工程师
- 具备 Python 编程基础并希望进入安全自动化领域的开发人员
- 希望通过 SOAR 认证提升安全工程竞争力的 SOC 工程师
Before you start
- 具备 Python 编程能力(中级水平),熟悉函数、类、异常处理和 JSON 数据处理
- 了解 REST API 基本概念:HTTP 方法、认证方式(API Key、OAuth)、JSON 格式
- 具备安全运营基础知识:安全事件生命周期、IOC 类型、威胁响应流程
- 建议了解 Splunk 基础操作,有 SOAR 或安全编排平台使用经验者优先
Is it worth it? Career value
Salary ranges, target job titles, and the real career impact of holding Splunk SPLK-3003.
SOAR 工程师是 SOC 自动化转型中需求增长最快的角色之一。Splunk SOAR(Phantom)在 SOAR 市场占有率约 20-25%,和 Palo Alto XSOAR 并列第一梯队。
适合考的人:在 Splunk SOAR 环境中开发 Playbook 和自定义 App 的安全自动化工程师。
不适合考的人:不写代码的 SOC 分析师,或者使用其他 SOAR 平台(XSOAR、Tines、Swimlane)的人。
Study preparation
With hands-on AWS
From scratch
Daily pace
Learning path preview
3 chaptersStep-by-step preparation
A concrete week-by-week plan from past test-takers — not generic advice.
第一阶段:SOAR 核心概念(1-2 周)
Container(安全事件容器)、Artifact(IOC/证据)、Asset(集成的安全工具)、Action(对 Asset 执行的操作)四个核心对象。Visual Playbook Editor(VPE)的 Decision Block、Filter、Format Block 使用。
第二阶段:Playbook Python 开发 + App 开发(2-3 周)
Custom Function 的 Python 开发(输入/输出参数定义、phantom.rules API)。App Connector 开发框架:BaseConnector 类继承、handle_action 方法、action JSON 定义。在 SOAR 社区版(免费)上练习开发和调试。
第三阶段:REST API + 模考(1-2 周)
SOAR REST API 端点(/rest/container、/rest/artifact、/rest/action_run)的 CRUD 操作。Playbook 的测试和调试方法。做 2 套模考,Python 代码阅读题务必快速准确。
Real test-taker experiences
What it actually took for real candidates to pass — prep time, scores, and lessons learned.
有 Python 基础的话不难,核心是理解 SOAR 的对象模型(Container → Artifact → Action → Result)。App 开发的 BaseConnector 继承模式是高频考点 — handle_action 方法里怎么分发不同 action 的逻辑。
Certification comparison
| Splunk SPLK-3003 | Splunk SPLK-3001 | Splunk SPLK-1003 | |
|---|---|---|---|
| Provider | 其他 | 其他 | 其他 |
| Level | 专业级 | 专业级 | 助理级 |
| Fee | $0 | $0 | $0 |
| Duration | 90 min | 90 min | 90 min |
| Question count | 65 | 65 | 65 |
| Validity | 3 yrs | 3 yrs | 3 yrs |
Study tips and common mistakes
**不熟悉 Container/Artifact 关系** — Container 是一个安全事件,Artifact 是事件中的 IOC(IP、Hash、URL 等)。Playbook 从 Container 触发,对 Artifact 执行 Action。
**App 开发框架不熟** — BaseConnector 的 initialize/handle_action/finalize 生命周期、action 参数从 param 字典获取的方式都是考点。
**忽略 Playbook 调试** — SOAR 的 Playbook Debugger 功能、/opt/phantom/var/log/spawn.log 日志位置都会考到。
FAQ
Frequently Asked Questions
If you plan to take Splunk SPLK-3003, start with real practice.
81+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.
Go to exam prepFrom $39 · 2 free chapters