思科GovWare安全运营中心（SOC）的三个主要目标：

• 保护会议网络
• 教育客户、合作伙伴和与会者认识潜在安全风险
• 通过持续演进进行创新

你可能还记得之前在思科Live圣地亚哥2025 SOC博客中，贡献者Austin Pham和Tony Iacobelli构建了一个仪表板，用于识别网络流量中与会者和参展商的明文凭证。这可能导致诸如未经授权的系统访问、数据泄露或网络设备被入侵等潜在漏洞。他们通过一个Python脚本，能够自动通过电子邮件通知相关人员访问SOC，以获取有关解决明文密码传输的指导。

在他们构建的简单而高效的解决方案基础上，我们决定使用仪表板中的一个搜索，在Splunk企业安全（ES）中创建一个检测。这才是真正力量显现的地方：将ES与Splunk SOAR结合，使我们能够在ES内完全自动化并跟踪整个事件响应过程，将手动流程转变为无缝的端到端编排。

在我们深入探讨具体操作之前，需要说明的是，Splunk ES已从8.1升级到8.2.3，并与Splunk SOAR配对。其中内置的一些创新简单解决方案将被我们用来解决我们的用例。

首先，我们需要有点"科学怪人"精神（这是最贴切的赞美）。Austin和Tony创建了一个构造并不简单的复杂搜索，但它为我构建我的发现提供了坚实的基础。其美妙之处在于？只要对Splunk有基本了解，任何人都可以进行简单的修改，以传递创建发现所需的字段，同时创建正确的实体/风险对象字段。我们识别出的这些发现和字段对于下游自动化至关重要。

下图显示了ES内部的检测概览。

接下来，我们将讨论剧本。

随着Splunk ES和SOAR配对，产品间的工作流程对SOC分析师来说是无缝的，对SOAR管理员来说也更容易编排来自ES的事件自动化。

该剧本包含两个模块。第一个模块使用开箱即用的内部SMTP操作发送电子邮件。我们用发现中的实体/风险对象字段填充了收件人字段（即受影响的用户电子邮件地址），并包含了标准的主题行和正文。

第二个模块是一个ES API模块，用于"更新发现或调查"，这是与Splunk ES交互的45个ES API操作之一，作为与SOAR配对的一部分。通过该模块，我们将处置状态设置为"良性阳性 – 可疑但符合预期"，并将状态从"新建"更改为"已关闭"。

我们的最后一步是创建一个自动化规则，这是ES 8.x中的一项新功能。通过它，我们能够将我们的发现"Threat-SE Endace Clear Text Password Detection – Rule"与我们的剧本"Email User with Clear Text PW"连接起来。现在，我们的端到端用例处理无需SOC分析师干预即可完成，除了后续审查。

这是剧本完成时产生的电子邮件输出示例。

通过实施这种自动化，它为我们的Tier 1和Tier 2分析师腾出了时间，使其能够专注于其他事件调查。

查看我在GovWare SOC的同事们撰写的其他博客。

关于GovWare

GovWare会议与展览是该地区首屈一指的网络信息与连接平台，提供多渠道触点，推动社区情报共享、培训和战略合作。

作为三十多年来值得信赖的连接点，GovWare汇聚了亚洲乃至全球的政策制定者、技术创新者和最终用户，就最新趋势和关键信息流展开相关对话。它通过集体见解和伙伴关系推动增长与创新。

其成功在于多年来有幸服务并赢得网络安全及更广泛网络社区的信任和支持，以及拥有共同价值观和丰富网络生态系统使命的组织合作伙伴。

我们很乐意听取您的想法！提出问题并通过社交媒体与思科安全保持联系。

思科安全社交媒体 领英、脸书、Instagram、X