利用Cisco XDR在GovWare安全运营中心揭开攻击面纱

本文详细介绍了Cisco XDR平台如何作为GovWare安全运营中心的核心检测与响应系统,通过集成Splunk、Endace、Secure Network Analytics等多种工具,实时关联分析,快速识别并处理恶意端口扫描、未加密文件传输等多种安全威胁,有效提升了检测与响应效率。

Cisco XDR 作为 GovWare SOC 的一级和二级检测与响应平台,在整个运营过程中发挥了关键作用。它与 Splunk、Endace、Secure Network Analytics (SNA)、Secure Malware Analytics (SMA)、Cisco Secure Firewall、Cisco Secure Access (CSA) 以及第三方情报源集成,实现了实时关联和分析,能够快速识别潜在的安全风险和事件。这种集成显著缩短了平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

在 GovWare SOC 运营期间,Cisco XDR 共检测到 39 起事件。其中,12 起事件对 GovWare 的安全态势构成直接影响,其余 27 起被归类为不构成直接威胁的低风险事件。确认的威胁占所有检测到事件的 30.7%。SOC 团队对每个案例进行了深入分析和响应,更关键的事件已及时上报给 GovWare 网络运营中心。

以下是构成直接威胁的 12 起已确认事件的列表。

对这些事件进行更深入的分析后发现,它们的来源始于网络、SNA、Secure Firewall、Endace、Secure Access 以及其他平台(包括与 Splunk 的集成)。通过 XDR 的关联和分析,这些事件被识别出来,并可归类为以下攻击类型:

  • 恶意端口扫描
  • 恶意域名访问
  • 恶意互联网 IP 地址访问
  • 关键应用和资产的明文密码传输
  • 电子邮件漏洞利用
  • 疑似数据丢失

以下对两个特别具有代表性的攻击案例进行深入分析,作为案例研究和经验教训。

案例研究 1:威胁狩猎——未加密的关键文件传输

调查步骤

  1. 集成与网络上下文:Endace 捕获 SPAN 流量。它可以提取文件并生成 Zeek 日志。Zeek 日志被发送到 Splunk。提取的文件通过 Splunk Attack Analyzer 发送到 Cisco Secure Malware Analytics (SMA),SMA 与 Cisco XDR 集成。
  2. 事件发起:Cisco XDR 中的自动化工作流持续监控来自 SMA 的事件。每当检测到关键文件通过未加密协议传输时,它会自动生成事件警报并发送给 SOC 分析师。
  3. 在 Splunk 中搜索关键指标:通过在 Splunk 中运行 SPL 搜索,我们可以找到与该文件传输匹配的日志。从具有相同文件 UID 的日志中,我们确定了事件的真实源 IP 地址。
  4. 通过数据包捕获进行深入分析:我们根据源和目标 IP 地址搜索和过滤流量,并在 Endace 中定位到与此事件相关的原始会话。我们检索了原始文件,并使用 Endace 中的 Wireshark 检查了详细的会话和数据包内容。
  5. 要点与响应:通过在 XDR、SMA、Splunk 和 Endace 中的调查,我们确定了源 IP、目标 IP、URL、文件名和协议。我们确认这是一起涉及关键业务文件未加密传输的高风险事件。该事件已报告给 GovWare 团队。提醒与会者传输关键业务文件时避免使用未加密协议,以降低数据泄露风险。

案例研究 2:狩猎针对互联网网关的恶意扫描

调查步骤

  1. 集成与网络上下文:来自与会者的 SPAN 流量被发送到 Cisco Telemetry Broker (CTB)。CTB 将流量转换为 NetFlow 并发送到 Secure Network Analytics (SNA) 和 XDR Analytics。同时,防火墙将其连接和事件日志发送到 XDR。SNA 分析 NetFlow 数据并可以生成端口扫描事件。XDR Analytics 分析 NetFlow 和日志数据,并可以生成内部端口扫描器事件。
  2. 事件发起:这些事件由 XDR 引擎关联,以创建与恶意扫描相关的事件。此事件的数据源包括 SNA 和 XDR Network。虽然优先级标记为低,但经过关联后,事件已经具有很高的准确性,因此潜在影响应视为高。
  3. 在 Secure Network Analytics (SNA) 中调查:在 SNA 主机态势界面中,我们可以看到主机所属的资产组、它访问的内部组和互联网位置,以及一个清晰表明来自该主机的端口扫描的安全事件。
  4. 在 XDR Analytics 中调查:我们观察到它也在 XDR Analytics 中触发了内部端口扫描器警报。执行恶意扫描的三个 IP 地址被关联并归为一组。它们的目标是 Cisco 安全防火墙上相同的互联网网关地址。观察到同一源 IP 向互联网网关的多个端口发送了大量连接尝试。即使没有收到响应包,该 IP 仍在不断尝试新的端口,这清楚地显示了恶意扫描行为。
  5. 要点与响应:互联网网关是 Cisco 安全防火墙,它成功阻止了恶意扫描尝试。尽管如此,此类扫描仍可能影响网络,因此我们将事件报告给了 GovWare NOC 团队以进行持续监控。

除了上述两次详细调查外,XDR 还检测到了其他事件,例如明文密码传输、恶意域名访问和恶意互联网 IP 地址访问。这些事件已升级到 Tier3 团队,他们将进行调查和报告。

最终总结

作为自动化、智能化的安全检测与响应平台,Cisco XDR 在 GovWare SOC 运营中扮演了至关重要的角色。它使 SOC 分析师能够实时检测和调查真实事件。

在 XDR 内部调查事件时,分析师可以查看攻击链、在工作日志中添加注释、更新事件状态,并在需要进一步行动时上报给 Splunk、Endace、防火墙、Secure Access 团队和 Talos 团队。

在整个 SOC 运营期间,XDR 的自动化、关联、工作流和情报显著提升了 SOC 的检测、调查和响应能力,并有效保障了 GovWare 会议的安全。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次