Cisco SNA 从网络数据中提取安全价值

What: The Network General Ledger

定义与隐喻： SNA (原 Stealthwatch) 是网络的“总账”。如同财务总账记录每一笔交易，SNA 记录每一次网络通信。

单一事实来源: 端点日志可能被黑客擦除，但网络数据包在线路上的传输无法被撤销。Telemetry 数据不可篡改，提供了绝对的客观性。
无代理架构: 利用现有的路由器、交换机、防火墙作为传感器。无需在服务器或IoT设备上安装 Agent，即可实现对 100% 网络资产的可视化。

核心理念： "Network as a Sensor" & "Network as an Enforcer"。

Why: 填补防御盲区

解决传统 FW 和 EDR 无法覆盖的痛点：

影子 IT & BYOD
员工私自接入的未受管设备，无法安装 EDR，但在网络流量中无处遁形。
IoT/OT 设备
摄像头、打印机、医疗设备等“黑盒”系统，往往是内网薄弱环节。
加密流量威胁
恶意软件利用 TLS 隐藏 C&C 通信，传统 DPI 无法深入检测。
横向移动
一旦通过边界，黑客在内网的流量通常被信任，防火墙视而不见。

How: 全栈可视与检测

覆盖范围：

Campus DC AWS/Azure

检测逻辑双引擎：

统计基线 (Baselining): 学习“什么是正常”。建立长达数月的流量模型。
实时行为启发式 (Heuristics): 识别“什么是已知恶”。基于特征的确定性检测。

商业价值 (ROI & Business Value)

↓ 90%

MTTD (检测时间)

从事后数月缩短至实时

↓ 50%

MTTR (响应时间)

联动 ISE 自动隔离

100x

查询速度

Data Store 新架构

365+ Days

数据留存

支持长期取证调查

与安全框架的深度映射

MITRE ATT&CK 覆盖详解

Tactic (战术)	SNA Detection Capabilities (技术实现)
Reconnaissance 侦察	端口扫描: 检测单一源对多个目的IP的特定端口尝试。 IP 扫描: 检测单一源对子网段的遍历。 TCP/UDP 扫描: 识别 SYN Flood 或异常 UDP 流量。
Lateral Movement 横向移动	SMB/RDP 异常: 发现非管理员 PC 发起的大量 445/3389 连接。 Suspect Data Hoarding: 内部主机间的大流量文件传输。 New Connection: 首次出现的服务器间连接关系。
C & C 命令与控制	Beaconing: 识别即使在抖动(Jitter)掩盖下的周期性心跳通信。 DGA Detection: 算法识别随机生成的恶意域名请求。 Talos Feed: 匹配已知的 C2 IP 和域名。
Exfiltration 数据渗漏	Data Hoarding: 目标主机向外部（或云盘）发送异常流量。 DNS Tunneling: 检测 DNS TXT 记录中的高熵数据负载。

NIST CSF 2.0 & Zero Trust

NIST CSF 2.0

DETECT (检测)

SNA 处于核心地位。提供全天候的异常行为检测，不依赖已知签名，发现未知威胁。

RESPOND (响应)

通过 Webhook 或 ISE 联动，将检测转化为行动（隔离、抓包、重定向）。

Zero Trust (零信任)

SNA 是零信任架构中的 “持续信任验证引擎”。

Segmentation Verification (分段验证):

零信任不仅仅是定义策略，更需要验证策略。SNA 监控实际流量，报告任何跨越 Trust Zone 的违规通信（例如：PCI 区域访问互联网，或研发网直连财务网）。

Architectural Insight: The Gap Filler

大多数组织在 Prevent (防火墙) 和 Endpoint (EDR) 投入巨大，但在 Network Detection & Response (NDR) 存在短板。SNA 正是填补这一空白，监控那些绕过防火墙且无法安装 EDR 的威胁。

架构组件 (Architecture)

Network Devices
Routers, Switches
NetFlow

Flow Collector
Ingest & Dedupe
FC

Data Store
Columnar DB
Massive Scale

SNA Manager
Console & Policy
SMC

1. Flow Collector (FC)

遥测数据的摄入点。核心功能包括：

数据去重 (Deduplication): 合并重复流日志。
流拼接 (Stitching): 拼接双向通信为单会话。
NAT 还原: 结合 FW 日志关联 NAT 前后 IP。

2. SNA Manager (SMC)

系统的管理控制台与可视化大脑。

集中管理: 管理所有 FC 和 Sensors。
可视化: 提供 Java (Legacy) 和 Web UI。
策略中心: 定义主机组 (Host Groups) 和策略。

3. Flow Sensor (FS)

针对无法生成 NetFlow 的盲区提供的 DPI 探针。

L7 解析: 识别 HTTP Host, URL, DNS。
性能监控: 计算 RTT, SRT 等延迟指标。

4. Cisco Telemetry Broker (CTB)

现代混合云环境的数据枢纽。

协议转换: 私有格式转标准 IPFIX。
多云支持: 摄取 AWS/Azure 流日志。
智能路由: 过滤分发给 SNA 和 Splunk。

Deep Dive: Data Store 架构优势

传统架构使用本地数据库，查询受限。新版 Data Store 采用分布式列式存储集群：

速度: 查询速度提升 100 倍，秒级返回亿级记录。
留存: 支持 1-2 年以上的原始流记录存储。
分离: 计算 (SMC) 与存储分离，弹性扩展。

多层检测引擎 (Multi-Layer Detection)

1. 行为启发式 (Heuristics)

机制： 基于预定义的逻辑算法，不依赖历史基线。主要针对已知的攻击特征。

典型事件：

Address Scan: 单源 IP 快速访问大量目的 IP。
Brute Force Login: 短时间内大量的 SSH/RDP 连接尝试。
High Concern Index: 聚合多个低严重度事件生成的综合评分。

优势： 即插即用，部署当天即可发现简单的扫描和暴力破解行为。

2. 统计学习与基线 (Statistical Baselining)

机制： 动态建立每个主机、主机组的行为模型。

Peer Group Baselining (对等组分析)

这是 SNA 的杀手锏。它不仅对比“历史的自己”，还对比“同组的伙伴”。

场景： 假设“市场部 PC”组内的主机通常只访问 Mail 和 Web 服务器。如果有台 PC 突然开始连接数据库服务器（即使流量不大），这相对于 Peer Group 是异常的。

技术辩证: "污染的基线"

Q: 如果部署时主机已被攻陷，基线是否会被污染？
A: 是的，基线会偏高。但 SNA 结合了“全局威胁情报”和“启发式检测”。即使基线被污染，其 C&C 通信仍会触发 Talos 告警，其扫描行为仍会触发启发式规则。

3. 融合分析 (Converged Analytics)

基于机器学习的高级分析层，通过云端或本地引擎处理。

实体建模 (Entity Modeling): 自动推断设备角色（如：这是一台打印机、那是一台 iPhone）。
行为预测: 基于角色预测其应有行为。例如：打印机不应该发起 PowerShell 远程调用。

4. Cisco Talos 威胁情报

全球最大的非政府威胁情报组织。

实时注入: SMC 每小时自动下载最新的 Talos Feed。
包含内容: 恶意 IP 黑名单、C2 域名列表、僵尸网络特征。
关联: 一旦内网 IP 接触 Talos 列表中的对象，立即触发 Security Event。

核心黑科技 - 加密流量分析 (ETA)

The Challenge: Encryption Blindness

超过 80% 的网络流量是加密的。传统解密（MITM）方案成本高、涉及隐私法律风险，且难以处理 TLS 1.3 的 PFS (完全前向保密) 特性。

Cisco Solution: 无需解密，通过分析“元数据”识别恶意软件。

ETA 核心指标 (The Fingerprint)

SNA 分析加密数据包的以下特征，生成指纹：

1. SPLT (Sequence of Packet Lengths and Times)

初始数据包序列的大小和时序。不同应用（如 Google 搜索 vs. 恶意软件心跳）在握手阶段的数据包大小模式具有独特的“节奏”。

Benign Pattern

Malware Pattern

2. IDT (Inter-Arrival Time)

数据包到达的时间间隔。自动化脚本与人类行为在时间间隔上有显著差异。

3. Byte Distribution

载荷内字节分布的概率。加密内容通常具有高熵值。

Cryptographic Compliance (合规性)

ETA 不仅用于检测恶意软件，还用于审计加密强度：

Metric	Function
TLS Version	识别过时的 TLS 1.0/1.1 使用情况。
Cipher Suite	发现弱加密套件（如 NULL ciphers, RC4）。
Key Length	识别短密钥（如 < 1024 bit RSA）。

Hardware Support:

ETA 需要网络设备支持生成 Enhanced NetFlow。支持平台包括：Catalyst 9000 Switches, ISR 4000 Routers, CSR 1000v 等。

威胁狩猎 (Threat Hunting)

场景描述

当新的 0-day 漏洞爆发或收到新的威胁情报（IOC）时，被动等待告警是不够的。安全分析师需要主动出击，确认企业“过去”是否受到过攻击。

Data Store 价值

传统 NetFlow 采集器因存储限制，通常只保留 30 天明细。SNA Data Store 架构支持 1 年以上 的流记录存储，为回溯性分析提供基础。

实战工作流 (Workflow)

1. Trigger (触发)

Talos 发布关于 "SolarWinds" 供应链攻击的报告，列出了相关的恶意 C2 域名和 IP 地址。

2. Search (搜索)

在 SNA Flow Search 界面输入恶意 IP。选择时间范围："Last 6 Months"。

Peer IP = [Malicious_IP] AND Time = [Last 180 Days]

3. Validation (验证)

查询结果返回了 3 次连接记录，发生在 4 个月前。显示内网主机 10.1.5.8 向该 IP 发送了 500MB 数据。

4. Scope (定损)

聚焦 10.1.5.8，查询其在受害时间段内的所有通信对象（Peers），确定它是否作为跳板扫描了其他服务器。

关键过滤条件 (Filters)

Subject / Peer IP: 谁在通信？
Application: 使用了什么协议？
Total Bytes: 传输了多少数据？
Duration: 连接持续了多久？

高级技巧

利用 Custom Security Events，将本次狩猎的特征保存为规则。如果未来再次出现类似的流量模式，系统将自动告警，变“狩猎”为“自动检测”。

用户实体行为分析 (UEBA) & 内部威胁

数据囤积 (Data Hoarding)

场景： 离职倾向员工试图窃取公司知识产权，或被攻陷的账户正在准备数据渗漏。

SNA 检测逻辑：

基线对比： 某用户平时每天仅产生 50MB 外部流量，突然在深夜产生 5GB 上行流量。
阈值告警： Suspect Data Hoarding 告警触发。
行为上下文： 结合 NVM (Network Visibility Module) 数据，可以看到是哪个 进程 (Process) 发起了传输（例如：是 Chrome.exe 访问 Google Drive，还是 powershell.exe 连接未知 IP）。

挖矿检测 (Cryptomining)

场景： 恶意软件利用服务器算力挖矿，或内部员工违规利用公司资源。

SNA 检测逻辑：

协议识别： 识别 Stratum 协议或已知的矿池通信端口。
长连接 (Long Flows): 挖矿流量通常表现为持续时间极长、包大小均匀的连接。
Talos Intelligence: 匹配已知的矿池 IP 地址。
Peer Group: 一台 Web 服务器不应该持续连接外部的高端口 IP。

Deep Dive: AnyConnect NVM (端点上下文)

传统 NetFlow 只能看到 IP 到 IP。SNA 结合 AnyConnect NVM 模块，提供了类似 EDR 的网络视角，即使用户在 VPN 之外。

User Context

Device Name

Process Name

Parent Process

价值： 当 SNA 发现异常流量时，NVM 能直接告诉你：“这是由 User: Alice 的 Laptop-01 上的 Tor.exe 发起的”。

勒索软件防御 (Ransomware Defense)

Kill Chain View

勒索软件不仅仅是最后的“加密”。它包含一系列网络行为。SNA 的目标是在“加密”发生前阻断它。

Key Strategy: 早期检测与自动化隔离。

1. Infection
Phishing / Drive-by

2. Recon & Spread
Scanning / SMB
SNA Detects

3. C & C
Key Exchange
SNA Detects

4. Encryption
Damage Done

检测阶段 (Detection)

侦察阶段: 检测内部 IP 扫描（Reconnaissance）。
横向移动: 检测针对 SMB (445) 和 RDP (3389) 端口的异常连接尝试（Worm propagation）。
C2 通信: 检测与已知恶意域名或 TOR 节点的通信。

响应阶段 (Response with ISE)

ANC (Adaptive Network Control): SNA 触发高置信度告警 -> 调用 ISE API -> ISE 向交换机/WLC 发送 CoA (Change of Authorization)。
结果: 受感染端口被关闭，或设备被移入 Quarantine VLAN，物理阻断传播路径。

Case Study: WannaCry Pattern

WannaCry 利用 EternalBlue 漏洞通过 SMB 端口疯狂扫描内网。

                SNA Alarm: "Worm Propagation" & "Addr Scan TCP/445"

                Source: 10.20.1.50 (Patient Zero)

                Targets: Entire Subnet 10.20.1.0/24

                Action: Auto-Quarantine via ISE within 3 minutes.

零信任与合规审计 (Compliance & Zero Trust)

策略验证 (Policy Violation)

企业网络通常基于业务逻辑进行分段（如 PCI DSS 要求持卡人数据环境隔离）。

Custom Policy 示例:

Subject: Host Group "PCI_Servers"
Peer: Host Group "Internet" OR "Guest_Wifi"
Action: Alarm "PCI Violation"

SNA 持续监控实际流量，一旦发现 PCI 服务器发起或接收来自互联网/访客区的流量，立即报告。这用于证明分段控制的有效性。

影子 IT (Shadow IT)

定义： 业务部门绕过 IT 审批使用的云服务或软件。

检测方法：

利用 Talos 应用分类，识别未授权的 SaaS 应用（如 Dropbox, WeTransfer）。
识别非标端口上的服务（如在 80/443 以外运行 Web 服务）。

价值： 帮助 CISO 找回 IT 治理权，并发现潜在的数据泄露渠道。

审计报告 (Auditing)

SNA 可以生成满足合规性要求的详细报告：

Top Talkers
谁消耗了带宽？

Flow Traffic
详细通信日志

Security Events
安全事件汇总

网络运维协同 (NetOps/SecOps Convergence)

MTTI: Mean Time To Innocence (缩短无辜证明时间)

当应用变慢时，由于指责游戏（是网络问题？还是应用问题？），排查往往耗时。SNA 提供客观数据来终结争论。

关键性能指标 (Performance Metrics)

通过 Flow Sensor 或支持 AVC (Application Visibility and Control) 的设备，SNA 能够测量：

RTT (Round Trip Time)	网络往返延迟。如果 RTT 高，说明网络拥塞或路由问题。
SRT (Server Response Time)	服务器响应时间。如果 SRT 高而 RTT 低，说明应用服务器负载过高或数据库查询慢。
Retransmits (重传率)	数据包丢失导致的重传。指示链路质量差。

场景模拟

用户投诉： "访问 CRM 系统很慢！"

SNA 分析结果：

Client IP: 10.1.1.5
Server IP: 192.168.20.10 (CRM)
Network RTT: 2ms (网络极其通畅)
Server SRT: 2500ms (服务器响应极慢)

结论： 网络团队可以将截图发给应用团队，证明网络是“无辜”的，问题出在服务器端。

容量规划 (Capacity Planning)

SNA 不仅看安全，也看流量趋势。通过长期数据，识别：

带宽利用率达到饱和的接口。
DSCP (QoS) 标记错误的应用流量。
非业务流量（如 Youtube, Netflix）对核心业务带宽的占用。

数据流向与运营流程 (Workflow)

Step 1: 广泛采集 (Ingest)

尽可能从所有接触点获取遥测数据：

Infrastructure: 开启 Core/Distribution Switch, Edge Routers 的 NetFlow/IPFIX。
Firewalls: 集成 Cisco FTD/ASA (通过 SAL) 获取事件日志。
Proxy: 集成 WSA / Zscaler 日志。
Endpoints: 部署 AnyConnect NVM 模块，获取进程级可视性。

Target: 100% Network Visibility

Step 2: 关联分析 (Correlate)

原始 IP 地址缺乏上下文。此阶段通过集成 Cisco ISE 丰富数据：

Identity: 谁登录了该 IP？(AD User)
Device: 设备类型是什么？(iPad, Printer)
SGT (Security Group Tag): 安全组标记是什么？

SMC 将这些上下文“缝合”到流记录中，使告警从 "10.1.1.1 访问恶意网站" 变为 "HR员工 Bob 的 iPad 访问恶意网站"。

Step 3: 告警与响应 (Act)

将洞察转化为行动：

告警分级: 区分 Critical, Major, Minor 事件。利用 Host Groups 策略降噪。
Response Management: 配置自动化规则。
- Send Email to SOC.
- Send Syslog to SIEM.
- Trigger Webhook (ServiceNow Ticket).
- ISE Quarantine (Adaptive Network Control).

运营最佳实践 (Best Practices):

Host Group Tuning: 部署初期的首要任务。准确划分 "Catch All" 里的 IP 到正确的组（如 Servers, Users, Printers），是消除误报的关键。
Baseline Training: 系统通常需要 2-4 周时间建立稳定的基线。在此期间不要急于开启所有阻断策略。

集成联动与生态 (Integrations)

+ Cisco ISE (Identity Services Engine)

SNA 最关键的集成伙伴。双向联动：

Context Exchange (ISE -> SNA): ISE pxGrid 向 SNA 推送会话信息 (User, MAC, SGT)。让网络分析具备身份感知能力。
Mitigation (SNA -> ISE): SNA 调用 ISE ANC (Adaptive Network Control) 策略。
Action: Quarantine / Port Shutdown / Re-auth.
Trigger: 检测到勒索软件或数据泄露时自动触发。

+ Cisco XDR

SNA 是 XDR 架构中的核心 NDR 组件。

High Fidelity Events: SNA 不会把每一条流都发给 XDR，只发送经过确认的高置信度告警。
Correlation: XDR 将 SNA 的网络侧告警与 Endpoint (Secure Endpoint), Email, Cloud 侧的告警进行跨域关联，绘制完整的攻击故事线。

+ SIEM / Splunk

痛点: 将所有 NetFlow 直接发给 SIEM 极其昂贵且效率低下。

SNA 价值: 作为预处理器。

SNA 处理海量原始流量，进行去重和分析。
仅将告警 (Alerts) 和 精简后的日志 发送给 SIEM。
显著降低 SIEM 的数据摄入授权费用 (EPS/GB usage)。

+ Secure Firewall (FTD)

通过 Security Analytics and Logging (SAL) 集成：

将防火墙事件日志与 NetFlow 关联。
在 SNA 界面中查看触发了防火墙规则的流量详情。
弥补防火墙在“允许通过的流量”中无法进行深层行为分析的短板。

总结与订购指南 (Summary & Ordering)

The Network is The Sensor

SNA 转变了网络安全的范式：从“边界防御”转向“无处不在的持续监控”。
在零信任的世界里，网络遥测数据是唯一不可篡改的真理。

Licensing Model (授权模式)

SNA 主要基于 FPS (Flows Per Second) 计费，而非设备数量。

Flow License: 购买总 FPS 容量（如 10k FPS, 50k FPS）。多个 Flow Collector 可以共享许可池。
Term Based: 1年, 3年, 5年订阅。
Smart Licensing: 通过 Cisco Smart Software Manager (CSSM) 云端集中管理，灵活性高。
Endpoint License (SaaS only): SaaS 版本部分场景可按端点数计费。

部署选项 (Deployment Options)

Option	Description	Use Case
Hardware Appliance	专用物理服务器。	高性能需求，超大型园区网。
Virtual (VM)	VMware ESXi, KVM.	大多数企业的标准选择，灵活扩容。
SNA Cloud (SaaS)	Cisco 托管 SMC 和 Data Store。	云优先策略，减少运维负担，无需维护存储。

Thank You

Document generated for CISSP Architecture Series

Cisco Secure Network Analytics Architecture