GovWare 2025安全运营中心

继在RSAC 2025、Black Hat Asia和Cisco Live San Diego 2025成功部署安全运营中心（SOC）后，思科东盟执行团队批准了为GovWare会议首次设立SOC。这一举措需要与GovWare、Image Engine以及滨海湾金沙（MBS）网络运营中心（NOC）密切合作，为与会者建立一个安全的会议网络，并由SOC提供安全保障。

SOC建立在三大核心使命之上：

• 保护 —— 通过防御来自内部和外部的各种威胁和攻击，确保GovWare 2025网络的安全。
• 教育 —— 通过引人入胜的SOC参观之旅和富有洞察力的博客内容，提升与会者的理解和安全意识。
• 创新 —— 通过开发和实施新的集成、完善流程、优化工作流、部署自动化，并与人工智能协作，持续提升安全能力。

与会者被邀请接入免费、安全的GovWare 2025网络，并被建议遵循最佳安全实践，同时需接受《2025年GovWare会议与展览条款与条件及行为准则》以及《数据保护与隐私声明》。

数据保护和隐私是SOC团队的首要关切。会议结束后，所有数据均被销毁，并向GovWare管理层提交了销毁证明。

当发现与会者的设备或账户遭到入侵或不安全时，SOC团队会努力识别、定位并协助修复威胁。

GovWare SOC仅用两天时间便成功部署，这得益于充分的预先规划和专业经验。快速搭建通过以下方式实现：

• 部署“盒子里的SOC”，这是一个通过在RSAC会议上多年经验锤炼而成的定制硬件解决方案，能够实现与MBS、Splunk Enterprise Security和思科安全云的快速连接。
• 借鉴了来自RSAC 2025和Cisco Live San Diego SOC的成熟专业知识、工作流和流程，许多资深工程师提供了现场部署和专门的远程支持。
• 集成了通过十年保护全球最具敌意的Black Hat网络所积累的先进创新和安全实践。
• 与技能高超的全数据包捕获供应商Endace合作，其在2025年RSAC会议和Cisco Live San Diego积累的基础经验至关重要，并延伸至对GovWare的承诺。

SOC架构

SOC团队与NOC集成，连接了“盒子里的SOC”和用于DNS的思科安全访问虚拟设备。他们创建了来自内联思科安全防火墙/Firepower保护的网络流量的交换端口分析器（SPAN）馈送，并将其发送到EndaceProbe数据包捕获平台，以记录所有网络流量，便于分析异常行为。EndaceProbe还生成并摄取元数据（包括Zeek日志）到Splunk Enterprise Security平台。Endace重建并过滤文件内容，将其流式传输到Splunk Attack Analyzer（并进一步传输到Secure Malware Analytics）进行沙箱分析。

以下屏幕截图展示了从防火墙摄取系统日志和来自交换机的SPAN数据，然后将其发送到流收集器，以便将日志存储在思科安全网络分析中。日志副本也同时被发送到思科XDR云进行分析和检测。

SOC团队使用Duo Central来实现对本地和云端工具的单点登录访问。

事实证明，基于云的解决方案（特别是XDR和Splunk Cloud）的实施，对于在有限的设置时间内优化效率、减少人工至关重要。预先配置的数据和设置（尤其是来自Ivan Berlinson创新成果的Splunk仪表板）从之前的项目中无缝集成。

事件由Tier 1/Tier 2分析师在思科XDR中进行调查，威胁情报由思科Talos提供，alphaMountain、Pulsedive和StealthMole以及社区资源捐赠了许可证。

当需要将事件上报给Tier 3事件响应人员时，经过丰富信息的事件会从思科XDR发送到Splunk Enterprise Security。

部署了AI Defense来保护SOC云基础设施，同时部署了思科身份智能。

统计数字

统计数字始终是SOC参观之旅中最受欢迎的部分。以下是今年活动的统计数据：

• 与会者（GovWare）：14,000+
• 捕获的总数据包（Endace）：15亿
• 捕获的总日志（Splunk）：5920万事件
• 总会话数（Endace）：3490万
• 唯一设备总数（按MAC地址，DHCP）：1,600+
• 写入磁盘的总数据包（Endace）：1.4 TB
• 写入云的总日志（Splunk）：5920万事件
• 峰值带宽利用率（Endace）：200 Mbps
• DNS请求（思科安全访问）：420万（162次被阻止）
• 明文用户名/密码总数（Endace）：35
• 具有明文用户名/密码的唯一设备/账户（Endace）：5
• 发送进行恶意软件分析的文件（Endace）：34,705个文件对象被Endace重建，2,581个发送到Splunk Attack Analyzer，1,382个发送到Secure Malware Analytics。

SOC发现与经验教训

查看在GovWare SOC内部工作的工程师撰写的博客：

• 案例研究：在GovWare SOC使用思科XDR揭露攻击
• 思科Talos事件响应：在GovWare 2025进行威胁狩猎
• 使用思科安全防火墙监控加密客户端Hello（ECH）
• 在GovWare使用思科基础AI模型的智能体AI
• Splunk SOAR在GovWare的行动：零接触明文密码响应
• 从检测到深入分析：Splunk Attack Analyzer与Endace在GovWare 2025安全中的应用
• “盒子里的SOC”硬件更新
• GovWare强制门户（Wi-Fi登录页面）
• GovWare守护者：使用思科安全访问进行实时威胁检测
• 在GovWare 2025使用Splunk狩猎可疑网络活动
• Apple内容缓存以节省网络带宽
• 全数据包捕获揭示伪装成HTTP POST中MPEG的可疑流量
• 全数据包捕获揭示与许多恶意IP地址建立空数据连接的突发可疑连接
• 适应与克服——SOC中的陆军经验

致谢

感谢工程师们，他们通过保护网络和教育与会者（以及您），使GovWare的首次SOC取得圆满成功。

• 滨海湾金沙网络运营中心联络人：John Lee Kuo Yang
• GovWare/Image Engine联络人：Goh Choon Hua, Ivan Lim 和 Zoe Chin
• 思科新加坡：Sharon Koo, Peter Lye, Juan Huat Koo, David Ong 和 Ian Lim
• 思科安全和Splunk SOC团队：
  • 创新、AI防御、云保护套件：Ryan MacLennan
  • Splunk事件响应：Allison Gallo 和 Sumit Juyal
  • Splunk Enterprise Security集成：Kenneth Bouchard
  • Talos IR威胁猎手：Yuri Kramarz
  • XDR集成：Ivan Berlinson
  • 入侵防护套件、智能体AI：Aditya Sankar, Ahmadreza Edalat 和 Robin Wei
  • 用户保护套件：Claire Fulk
  • 防火墙和安全云控制：Adam Kilgore 和 Carol Trincia Dsouza
  • Splunk远程支持：Josh Wilson
• Endace SOC团队：
  • 联合SOC负责人：Steve Fink
  • 产品副总裁：Cary Wright
  • 集成：Barry ‘Baz’ Shaw
  • 工程：Sundarram Paravata

关于GovWare

GovWare会议与展览是该地区首屈一指的网络信息与连接平台，提供多渠道接触点，以推动社区情报共享、培训和战略合作。

作为三十多年来值得信赖的纽带，GovWare汇聚了亚洲及全球的政策制定者、技术创新者和最终用户，推动关于最新趋势和关键信息流动的相关对话。它通过集体洞察和伙伴关系赋能增长与创新。

其成功得益于多年来有幸服务的网络安全及更广泛的网络社区的信任与支持，以及秉持相同价值观和使命以丰富网络生态系统的组织合作伙伴。