网络是企业最大的安全传感器。Cisco Secure Network Analytics(SNA)通过无代理(Agentless)方式采集全网 NetFlow / IPFIX 遥测数据, 结合 Encrypted Traffic Analytics (ETA)、行为建模与 Talos 威胁情报,为组织提供覆盖 MITRE ATT&CK 全链路与 NIST CSF 2.0 全域的网络检测与响应(NDR)能力—— 无需解密、无需部署端点代理,即可发现加密隧道中的威胁、内部横向移动与数据泄露行为。
What · Why · How · ROI
Cisco Secure Network Analytics(SNA),前称 Stealthwatch,是 Cisco 的旗舰网络检测与响应(Network Detection & Response, NDR)平台。 它以 NetFlow / IPFIX / sFlow 遥测数据为核心数据源,将企业网络基础设施——路由器、交换机、防火墙、无线控制器——转化为分布式安全传感器。 与传统 IDS/IPS 依赖签名匹配不同,SNA 构建行为基线(Behavioral Baseline),然后通过多层检测引擎(启发式规则、统计模型、机器学习、威胁情报) 发现偏离正常行为的异常活动[1][8]。
SNA 的独特价值在于它无需在终端安装代理,无需对加密流量进行解密,即可对东西向(East-West)和南北向(North-South) 流量实现全面可观测性。在当今超过 80% 的互联网流量已加密的背景下,这一能力尤为关键[2]。
正如企业财务依赖总账(General Ledger)记录每一笔交易,SNA 的 Flow Collector 与 Data Store 共同构成网络的 "总账"——每一条网络会话的源 / 目 IP、端口、协议、字节数、包数、时间戳、TCP 标志位等元数据都被忠实记录并长期存储。 安全团队可随时 "审计" 任意时间窗口的网络活动,追溯威胁的完整横向移动路径,就像审计师查阅总账追踪资金流向一样[8]。
企业安全投入长期集中于边界防火墙和终端 EDR,但攻击者一旦突破边界,便在内网中自由穿梭。以下现实构成了 NDR 的核心驱动力:
NetFlow/IPFIX/ETA
从路由器、交换机、FW
行为基线 + 多层检测引擎
98+ 安全检测模型
告警 → ISE 隔离 / XDR 联动
Webex / Syslog / SIEM
步骤一:采集(Ingest)。Flow Collector(FC)接收来自网络设备的 NetFlow v5/v9、IPFIX、sFlow、NSEL(Cisco Secure Firewall 专用)遥测数据。 每台 FC 最高支持约 300,000 FPS(flows per second)。对于无法原生导出 NetFlow 的网段,可部署 Flow Sensor(物理 / 虚拟) 通过 SPAN/镜像端口进行 Deep Packet Inspection 并生成 NetFlow 记录,同时提取 ETA 元数据。所有采集数据被统一汇入 Data Store 进行持久化存储[1][3]。
步骤二:关联(Correlate)。Stealthwatch Management Console(SMC / Manager)是分析大脑。它从 FC / Data Store 获取流记录, 并运行多层检测引擎:
步骤三:响应(Act)。告警通过多条路径触发响应: ① 通过 pxGrid 向 Cisco ISE 下发 Adaptive Network Control(ANC)策略, 实现端口级别的即时隔离; ② 向 Cisco XDR 推送行为事件,XDR 将来自 SNA 的网络信号与来自 Endpoint / Email / Cloud 的遥测数据交叉关联, 自动生成或升级 Incident[10]; ③ 通过 Syslog / Webhook / REST API 向 Splunk、SIEM、SOAR 平台推送告警,融入现有 SOC 工作流; ④ v7.6.0 新增 Webex Webhook 通知,告警可直接推送至 Webex 空间,便于协作响应[7]。
SNA 的 ROI 体现在以下维度:
SNA 的 "无代理" 并非一个营销术语,而是其架构设计的根本特征。以下对比说明了这一优势的工程意义:
| 维度 | 传统 EDR(Agent-based) | SNA(Agentless NDR) |
|---|---|---|
| 覆盖范围 | 仅限可安装代理的终端(Windows/Mac/Linux) | 所有产生或经过流量的设备——包括 IoT、OT、BYOD、打印机、摄像头 |
| 部署周期 | 需逐台终端安装并维护代理版本 | 在网络设备上启用 NetFlow 导出即可,通常数小时内完成 |
| 性能影响 | 代理占用终端 CPU/内存 | NetFlow 导出对设备 CPU 影响通常 < 2% |
| 加密流量 | 需要在终端解密后分析 | ETA 直接分析加密元数据,无需解密 |
| 东西向可见性 | 依赖终端之间均安装代理 | 交换机级别 NetFlow 提供逐跳可见性 |
| OT/IoT 适用性 | 无法在 PLC/SCADA/摄像头上安装代理 | 天然覆盖,无需任何终端改造 |
这意味着 SNA 能在组织 Day-1 即提供全面的网络可见性——不需要等待终端代理 100% 覆盖(在大型企业中这往往需要数周甚至数月)。 同时,SNA 与 EDR 并非替代关系,而是互补关系:NDR + EDR + XDR = 完整的检测三角。Cisco 的方案中,SNA(NDR)与 Cisco Secure Endpoint(EDR)通过 Cisco XDR 统一关联,形成端到端的威胁可见性闭环[10]。
MITRE ATT&CK · NIST CSF 2.0 · Zero Trust
SNA 的检测能力可映射至 MITRE ATT&CK for Enterprise 框架的多个战术(Tactics)和技术(Techniques)。 以下矩阵展示 SNA 在各攻击阶段的覆盖情况以及对应的具体检测机制[8][9]:
| 战术 Tactic | 覆盖技术 Techniques (示例) | SNA 检测机制 |
|---|---|---|
| Initial Access 初始访问 |
T1190 Exploit Public-Facing App T1133 External Remote Services T1078 Valid Accounts |
异常入站连接模式检测;新外部 IP 首次访问内部服务告警;ISE 集成 + 异常认证流量关联 |
| Command & Control 命令与控制 |
T1071 Application Layer Protocol T1573 Encrypted Channel T1568 Dynamic Resolution (DGA) T1090 Proxy / Tor |
ETA 加密流量分析——SPLT/IDP 指纹识别恶意 TLS 会话;Talos TI 匹配已知 C2 IP/域名; DNS 行为异常检测(高频 NXDOMAIN / DGA 模式);Tor 出口节点 / 已知 Proxy 通信告警 |
| Lateral Movement 横向移动 |
T1021 Remote Services (RDP/SSH/SMB) T1210 Exploit Remote Services T1570 Lateral Tool Transfer |
东西向行为基线——Host Group 间异常通信检测;新出现的内部对等体告警;SMB/RDP 暴力尝试检测; 内部扫描行为(端口扫描、地址扫描) |
| Exfiltration 数据外泄 |
T1048 Exfil Over Alt Protocol T1041 Exfil Over C2 Channel T1567 Exfil to Cloud Storage |
数据外泄检测模型 (Data Hoarding / Large Upload)——监控单一主机向外部目标的累计上传字节数, 超出动态基线即告警;DNS 隧道外泄(高编码熵 DNS 查询);非常规端口大流量告警 |
| Discovery 发现 |
T1046 Network Service Discovery T1018 Remote System Discovery |
内部侦察检测——高速端口扫描(Addr_Scan / Port_Scan)、ICMP Sweep、 ARP 扫描、对多子网的异常连接尝试 |
| Credential Access 凭据访问 |
T1110 Brute Force T1557 Adversary-in-the-Middle |
SMB/RDP/SSH 暴力破解检测(短时间内高频失败连接);ARP 欺骗异常检测 |
| Impact 影响 |
T1486 Data Encrypted for Impact (Ransomware) T1499 Endpoint DoS |
勒索软件行为链:内部侦察 → 横向传播 → 大量 SMB 写操作告警;DDoS 异常流量检测 |
SNA 不仅在战术层面提供广泛覆盖,更在每个战术中通过多信号融合提供深度检测。例如,对于 C2 通信(T1071/T1573), SNA 同时使用 ETA 指纹、Talos IP 信誉、DNS 行为异常、信标周期检测(Beacon Detection)四种独立信号,任一单独信号可能只是低置信度告警, 但 Converged Analytics 将其融合后可产生高置信度的 "Detection Finding",大幅降低误报率[7][8]。
NIST Cybersecurity Framework 2.0(2024 年 2 月发布)将安全能力组织为六大功能(Functions)。 SNA 在其中五个功能均有直接贡献[8]:
| CSF 功能 | 相关类别 Category | SNA 贡献 |
|---|---|---|
| GOVERN 治理 |
GV.RM 风险管理策略 GV.SC 供应链风险 |
SNA 的 Host Group 分级与策略映射为风险管理提供网络层量化依据;Data Store 长期留存支持审计治理 |
| IDENTIFY 识别 |
ID.AM 资产管理 ID.RA 风险评估 |
自动发现网络中所有活跃 IP 主机(包括未被 CMDB 登记的影子 IT / IoT 设备),生成资产清单; 基于流量行为进行资产风险评分 |
| PROTECT 保护 |
PR.AC 访问控制 PR.DS 数据安全 |
通过 ISE pxGrid 联动实施微分段(Micro-Segmentation)访问控制; 监控数据流动路径,确保敏感数据不经非授权路径传输 |
| DETECT 检测 |
DE.AE 异常与事件 DE.CM 持续监控 |
核心功能域——98+ 检测模型持续运行,覆盖全网 7×24 行为监控; ETA 加密流量检测;Converged Analytics ML 异常检测 |
| RESPOND 响应 |
RS.AN 分析 RS.MI 缓解 |
Flow 查询回溯取证;通过 ISE ANC 自动隔离受感染主机; XDR 联动自动生成 Incident 与推荐 Playbook |
| RECOVER 恢复 |
RC.RP 恢复计划执行 | 事件后使用 Data Store 进行根因分析(RCA),验证威胁已清除,确认业务恢复后的流量正常基线 |
Zero Trust 的核心原则是 "永不信任,持续验证"(Never Trust, Always Verify)。Cisco 的 Zero Trust 架构包含三大支柱—— Workplace(网络)、Workload(应用)、Workforce(用户)。SNA 在 Workplace 支柱中扮演关键角色[2][8]:
图 2-1:SNA 在 Zero Trust 架构中的角色——持续行为验证引擎
Technical Deep Dive
Cisco Secure Network Analytics 采用 分布式架构,各组件各司其职,协同完成从遥测采集、行为建模到告警生成的完整闭环。 下图展示了核心组件及其交互关系[2][10]:
Flow Collector 是 SNA 的"耳朵",负责接收并处理来自网络基础设施的所有遥测数据。 每个 FC 实例可处理高达 300,000 FPS(硬件)或 150,000 FPS(虚拟化), 支持 NetFlow v5/v9、IPFIX、sFlow 以及 NSEL(Secure Firewall)[6]。
| 能力 | 说明 |
|---|---|
| Flow 去重与缝合 | 将双向 Flow 合并为单一会话记录,消除 ingress/egress 重复计数 |
| 启发式检测 | 实时运行 98+ 安全事件模型,如 Addr_Scan、Worm_Propagation、Data_Hoarding 等 |
| Peer Group 基线 | 基于角色的统计行为基线引擎,每主机维护独立 Concern Index (CI) |
| ETA 元数据处理 | 解析 SPLT/IDP/BD 字段,传递至 Manager 进行加密流量分类 |
| 接口元数据 | 通过 SNMP 轮询关联 ifIndex → 接口名 → 速率 → 利用率 |
| 横向扩展 | 支持多 FC 并行部署,由 Manager 统一聚合 |
Manager(原 Stealthwatch Management Console)是 SNA 的控制中枢,承担 ML 推理、策略管理、 告警聚合与可视化 等核心职责。每套 SNA 部署 有且仅有一台 Manager[10]。
| 能力 | 说明 |
|---|---|
| Converged Analytics | 基于 ML 的高级检测引擎,融合多维度特征进行 Entity Modeling(详见 3.2) |
| Web 管理界面 | 统一仪表盘,支持 Dashboard 钉选 & 计划报告(v7.6.0 新增) |
| 策略与分组 | Host Group 树形结构,自定义安全事件策略,基于角色的访问控制 (RBAC) |
| 告警聚合 | Detection Findings 可直接作为 Alerts & Observations 推送(v7.6.0 增强)[7] |
| 集成网关 | pxGrid、REST API、Syslog、SNMP Trap、Webex Webhook 等全协议输出 |
| Global Manager | 支持多 Domain 联邦管理,适用于跨区域 / 多租户大型部署 |
Data Store 是 SNA 的 长期遥测仓库和加速查询引擎,基于列式数据库(Vertica)构建, 专为时序 Flow 数据的写入密集型和分析查询型工作负载优化[3]。
| 规格 | 数值 |
|---|---|
| 节点扩展 | 1(评估)→ 3(生产最低)→ 36(最大集群) |
| 单节点硬件 | DN6300:2×16C Xeon Gold, 512GB RAM, 24×2.4TB SAS[3] |
| 新硬件支持 | DN6400 & UCS M8 平台(v7.6.0 新增)[7] |
| 3×DN6300 性能 | 700K FPS 持续写入,平均查询 <2 分钟 |
| 1×DN6300 性能 | 500K FPS 持续写入,平均查询 <7 分钟 |
| 数据压缩 | ~10:1 平均压缩比,显著降低存储成本 |
| 高可用 | K-Safety=1(≥3 节点时),容忍单节点故障无数据丢失 |
| 数据保留 | 由存储容量和 FPS 决定;3×DN6300@700K FPS ≈ 数月级保留 |
| IPv6 支持 | v7.6.0 起数据节点管理接口支持 IPv6[7] |
FPS × 86400 × 保留天数 ÷ 压缩比 估算原始磁盘需求Flow Sensor(可选):
Cisco Telemetry Broker (CTB):
SNA 的核心竞争力在于其 四层纵深检测架构,从确定性规则到机器学习再到全球威胁情报, 层层叠加形成高置信度的威胁发现能力[2][10]。
运行位置:Flow Collector
98+ 预置安全事件模型
确定性匹配,毫秒级触发
运行位置:Flow Collector
Peer Group 行为画像
CI/TCI 动态评分,偏差告警
运行位置:Manager + Data Store
Entity Modeling 实体建模
多维度特征融合 + 异常检测
来源:Cisco Talos 全球情报
IP/域名/URL 信誉评分
已知 C2 & 恶意基础设施匹配
| 检测层 | 运行位置 | 技术原理 | 典型检出示例 |
|---|---|---|---|
| L1 启发式 | Flow Collector |
基于预定义阈值和模式的确定性规则。例如 Addr_Scan 在 N 秒内触达 >M 个不同目标 IP 即触发。
管理员可调整阈值和启用/禁用策略[2]。
|
端口扫描 (Port_Scan)、地址扫描 (Addr_Scan)、蠕虫传播 (Worm_Propagation)、 数据囤积 (Data_Hoarding)、Suspect UDP Activity、ICMP Flood、 Max Flows Served、Beaconing 等 |
| L2 统计基线 | Flow Collector | Peer Group Analysis:将功能相似的主机归为同一 Peer Group(如"所有 Web 服务器"), 自动学习组内行为基线(流量模式、协议分布、通信对端)。 个体偏离群体基线时触发异常,动态更新 Concern Index (CI)[2][10]。 | 某服务器突然大量外联异常国家/IP、工作站异常使用 SSH、 打印机发起 DNS 隧道、非工作时段流量激增、 协议比例异常(如 HTTP 占比从 5% 跳至 80%) |
| L3 ML 融合 | Manager + Data Store | Converged Analytics 引擎对每个实体(Host/User)建立 多维度行为模型, 融合 Flow 统计、ETA 特征、DNS 行为、端口分布、时间模式等 100+ 特征维度。 使用无监督 ML 算法检测低速隐蔽威胁[10]。 Data Store 提供长时间窗口的历史数据回溯能力,使 ML 能发现跨越数天/数周的慢速攻击模式。 | 隐蔽 C2 通信(低频率、加密、域名随机化)、 内部横向移动序列(多跳串联检测)、 DGA 域名通信、DNS 隧道精细识别、 加密流量中的恶意分类(配合 ETA) |
| L4 Talos 情报 | Manager (Cloud Feed) | 每日从 Cisco Talos 获取最新威胁情报 Feed,涵盖 恶意 IP、C2 域名、 已知攻击基础设施。SNA 将实时 Flow 数据与情报匹配, 生成高置信度告警[6]。 | 与已知 Botnet C2 通信、访问 Tor 出口节点、 连接已知恶意矿池、与制裁地区 IP 通信、 已知 APT 基础设施关联 |
当前企业超过 80% 的流量已加密(TLS/HTTPS),传统基于有效载荷的检测手段几乎完全失效。 ETA 是 Cisco 的专利技术,能够 在不解密的前提下 识别加密流量中的恶意活动, 完美兼顾安全与隐私[1][2]。
| 特征 | 全称 | 分析内容 |
|---|---|---|
| SPLT | Sequence of Packet Lengths and Times | 记录 TLS 会话前 N 个报文的 长度序列和时间间隔。 恶意流量(如 C2 心跳)呈现高度规律的长度/时间模式,与正常 HTTPS 浏览差异显著。 |
| IDP | Initial Data Packet | 提取 TLS ClientHello 中的 明文元数据: TLS 版本、加密套件列表、扩展字段、SNI。 自签名证书、异常加密套件、非标准 TLS 实现均为高风险指标。 |
| BD | Byte Distribution | 分析会话 payload 的 字节值频率分布(0x00-0xFF)。 真正的加密流量应呈均匀分布;若出现明显峰值/谷值, 可能是伪装加密或低质量加密实现。 |
Catalyst 9K / ISR 4K / CSR 1000v 等设备运行 IOS-XE ≥16.6.2, 在硬件/软件层面提取 SPLT、IDP、BD 元数据, 封装在 Flexible NetFlow 模板中导出[1]。
Flow Collector 接收包含 ETA 字段的 NetFlow 记录, 将 SPLT/IDP/BD 与常规 Flow 五元组信息关联, 形成增强型会话记录。
Manager 上的 Converged Analytics 引擎使用 训练好的分类模型,综合 SPLT 时序模式、 IDP 证书特征、BD 分布偏差进行恶意/良性判定。
高置信度恶意判定生成安全事件告警, 可联动 ISE 执行 ANC 隔离策略, 或推送至 XDR 平台进行跨域关联。
et-analytics 全局配置Data Store 是 SNA 7.x 引入的关键组件,将传统 FC 本地存储的 Flow 数据集中到 高性能列式数据库集群中,彻底改变了遥测数据的保留时长和查询效率[3]。
| 集群规模 | 硬件型号 | 最大持续 FPS | 平均查询延迟 | K-Safety | 适用场景 |
|---|---|---|---|---|---|
| 1 节点 | DN6300 | 500,000 | <7 分钟 | 0(无冗余) | PoC / 评估环境 |
| 3 节点 | DN6300 | 700,000 | <2 分钟 | 1 | 中型企业生产部署 |
| 3 节点 | DN6300 | ~1,050,000 | <3 分钟 | 1 | 大型企业(3×FC 聚合) |
| 6 节点 | DN6300 | ~1,500,000+ | <2 分钟 | 1 | 大型/超大型企业 |
| 最大 36 节点 | DN6300/DN6400 | 按需线性扩展 | 亚分钟级 | 1 | 运营商 / 超大规模 |
SNA 支持硬件设备、虚拟化和 SaaS 三种部署形态,适应不同规模和基础设施环境[6][7]。
| 组件 | 硬件设备型号 | 虚拟机规格 (VMware/KVM) | SaaS |
|---|---|---|---|
| Manager | SNS-3655-K9 (UCS M5) SNS-3755-K9 (UCS M6) |
16 vCPU / 64GB RAM / 2TB 磁盘 ESXi 7.0U3+ 或 KVM |
Cisco Cloud 托管 |
| Flow Collector | SNS-3655-K9 (至 200K FPS) SNS-3755-K9 (至 300K FPS) |
16 vCPU / 64GB RAM / 4TB 磁盘 至 150K FPS |
Cisco Cloud 托管 |
| Data Node | DN6300: 2×16C Xeon Gold, 512GB, 24×2.4TB DN6400 (新): UCS M8 平台[7] |
仅支持物理设备部署 | Cisco Cloud 托管 |
| Flow Sensor | SNS-3615-K9 | 8 vCPU / 32GB RAM / 500GB 磁盘 | N/A |
| UDP Director | SNS-3615-K9 | 4 vCPU / 16GB RAM / 200GB 磁盘 | N/A |
Core Use Cases — 从威胁猎捕到合规审计,SNA 在真实运营中的五大高价值场景
传统安全工具以告警驱动为核心——只有触发签名或规则才会通知分析师。威胁猎捕(Threat Hunting)则相反:分析师基于假设主动出击,在海量遥测数据中搜索尚未触发告警的隐匿威胁[2]。SNA 凭借 Data Store 提供的长期流数据存储能力(默认保留 ≥90 天原始 NetFlow),让猎捕团队具备对历史流量的全量回溯能力。
| 对比维度 | 传统 Flow Collector 方案 | Data Store 方案 |
|---|---|---|
| 数据保留时长 | 通常 7–30 天(受本地磁盘限制) | ≥90 天(可扩展至数月)[3] |
| 查询响应时间 | 分钟至小时级(取决于数据量) | < 2 分钟(分布式 ClickHouse 引擎)[3] |
| 跨时间回溯能力 | 受限,需逐 FC 查询拼接 | 统一索引,单次查询覆盖全集群 |
| 0-Day IoC 匹配 | 需手动逐日导出对比 | 直接 Flow Search 全量匹配 |
SNA 的行为分析引擎为每个主机和用户自动建立行为基线(Baseline),持续监控偏差。当员工或受损设备的行为模式偏离正常范围时,系统会生成高置信度告警。结合 ISE 身份上下文(用户名、设备类型、SGT 安全组标签),SNA 将网络异常从"IP 地址"级别提升到"用户身份"级别[2][10]。
当某用户在短时间内从多个内部服务器下载异常大量数据时,SNA 识别该行为偏离其历史基线,生成 Data Hoarding 告警。
典型场景:离职员工带走敏感数据、被入侵账户的数据收集阶段[2]
加密货币挖矿通常表现为:高 CPU 持续利用 + 与矿池的固定端口长连接 + 低但稳定的外发流量。SNA 通过多层引擎协同检测:
NVM(Network Visibility Module)可补充进程级信息,识别挖矿程序二进制文件名[10]
svchost.exe(可能被注入)而非正常业务应用,大幅缩短调查时间。
| 上下文字段 | 来源 | 价值 |
|---|---|---|
| 用户名(Username) | ISE via pxGrid | 将告警锚定到具体人员,而非仅 IP |
| 设备类型(Device Type) | ISE Profiling | 区分员工笔记本 vs. IP 电话 vs. IoT 设备 |
| SGT 安全组标签 | ISE TrustSec | 按安全组分析策略合规性 |
| 认证方式 | ISE 会话详情 | 判断是否为合规设备 802.1X 接入 |
| 位置信息 | ISE NAS/Location | 关联物理位置与异常行为 |
勒索软件攻击并非瞬间爆发,其生命周期通常包含 侦察 → 初始访问 → 横向移动 → 数据窃取 → 加密 等阶段。SNA 的价值在于在加密发生之前的早期阶段检测并阻断攻击链[2][9]。
零信任架构的落地依赖于持续验证——但如何验证微分段策略是否真的有效?SNA 提供"策略合规性的独立验证层":通过实际流量分析确认策略执行情况,发现违反分段规则的异常通信[10]。
SNA 基于实际 NetFlow 数据构建主机组(Host Group)间流量矩阵,帮助安全团队:
未经批准的 SaaS 应用和个人设备是合规审计的常见盲区。SNA 通过以下方式发现影子 IT:
| 合规框架 | 相关要求 | SNA 支持能力 |
|---|---|---|
| PCI DSS 4.0 | 10.2 — 实施日志记录机制 11.5 — 网络入侵检测 |
NetFlow 全量记录 + NDR 检测引擎 |
| 等保 2.0 | 安全区域边界 — 入侵防范 安全计算环境 — 网络审计 |
东西向流量监控、行为基线异常检测 |
| GDPR | Article 32 — 适当的安全措施 Article 33 — 72 小时违规通知 |
加速事件调查(MTTD/MTTR 降低),辅助快速上报 |
| ISO 27001 | A.12.4 — 日志和监控 A.13.1 — 网络安全管理 |
持续网络监控、异常行为检测、审计追溯 |
SNA 不仅是安全工具。NetFlow 中固有的网络性能指标使其同时成为网络运维(NetOps)的有力助手。v7.6.0 中增强的 Dashboard 功能进一步促进了安全与网络团队的协作[7]。
Round-Trip Time(RTT)和 Server Response Time(SRT)是 NetFlow 中的关键性能指标:
SNA 长期流量趋势分析帮助网络团队:
Mean Time to Identify(MTTI)— 从用户报障到定位根因的时间:
Workflow & Operations — Ingest → Correlate → Act
Cisco SNA 的核心优势之一是不依赖单一数据源。它能够融合来自网络基础设施、端点、云平台和第三方安全设备的多种遥测数据,构建全方位的网络可见性。以下是 SNA 支持的主要数据源及其摄入路径:
| 数据源 | 协议 / 格式 | 摄入方式 | 提供的可见性 | 备注 |
|---|---|---|---|---|
| 路由器 / 交换机 | NetFlow v5/v9, IPFIX, Flexible NetFlow | 直接发送至 Flow Collector | L3/L4 流量元数据、接口利用率、TOS/DSCP | Catalyst 9K 支持 Enhanced NetFlow 含 Application ID[1] |
| Cisco Secure Firewall | NSEL (NetFlow Security Event Logging) | 直接发送至 Flow Collector | ACL 动作(Permit/Deny)、NAT 前后 IP、用户身份 | FTD 7.x 可同时导出 NSEL + ETA 数据[2] |
| Cisco Meraki MX/MS | NetFlow v9 | 通过 Meraki Dashboard 配置导出 | 分支机构流量、SD-WAN Overlay 流 | 需 MX 15.x+ firmware |
| Web 代理日志 | Squid / W3C / BlueCoat 格式 | 通过 UDP Forwarder 或 Syslog 至 Flow Collector | 完整 URL、HTTP 方法、User Agent、响应码 | 为 NetFlow 增加 L7 应用层上下文[2] |
| 防火墙事件日志 | Syslog (ASA/FTD) | 通过 SAL (Security Analytics and Logging) 导入 | 连接事件、IPS 事件、Malware 事件 | SAL 可将 FTD 日志统一存入 SNA Data Store[7] |
| AnyConnect NVM | IPFIX (nvzFlow) | NVM Collector 嵌入 Flow Collector | 端点进程名、进程哈希、父进程、用户名 | 实现 Endpoint ↔ Network 行为关联[2] |
| AWS / Azure / GCP | VPC Flow Logs, NSG Flow Logs | 通过 Cloud Connector 或 Flow Sensor Virtual | 云 East-West 流量、跨 VPC/VNet 通信 | 支持多云环境统一监控[6] |
| 第三方网络设备 | NetFlow v5/v9, IPFIX, sFlow (via conversion) | 直接发送至 Flow Collector | 非 Cisco 设备的 L3/L4 元数据 | sFlow 需通过 Flow Sensor 进行协议转换[9] |
| ISE 身份数据 | pxGrid 2.0 (REST/WebSocket) | Manager ↔ ISE pxGrid Controller | IP-用户映射、设备类型、安全组标签 (SGT) | 实现 IP → 身份 → 行为 三维关联[8] |
SNA 的运营价值体现在将海量遥测数据转化为可操作的安全洞察。以下三阶段工作流覆盖了从数据摄入到威胁响应的完整闭环:
| 阶段 | 关键活动 | SNA 功能映射 | 输出 | SOC 团队角色 |
|---|---|---|---|---|
| ① INGEST | 遥测数据收集 | Flow Collector 接收 NetFlow/IPFIX/NSEL/NVM | 标准化流记录 | NetOps:配置 Exporter;SecEng:验证覆盖度 |
| 身份融合 | ISE pxGrid → IP-User-SGT 映射 | 身份化的流记录 | IAM 团队:维护 ISE 策略 | |
| 数据持久化 | Data Store 长期存储(列式压缩) | 可查询历史数据 | Platform 团队:监控 DS 集群健康 | |
| ② CORRELATE | 行为基线建立 | Dynamic Entity Modeling (2-3 周学习期) | 每个主机/用户的行为画像 | Tier 2 分析师:审查基线异常 |
| 多引擎检测 | L1 规则 + L2 统计 + L3 行为 + L4 实体建模 | 分级告警 (CI/TCI 评分) | Tier 1 分析师:处理高置信度告警 | |
| 回溯分析 | 新 IoC 回扫历史 Data Store 数据 | 追溯发现(Retrospective Alert) | Threat Hunter:主动狩猎 | |
| ③ ACT | 自动隔离 | ISE ANC → 将威胁主机放入隔离 VLAN/DACL | 威胁遏制(秒级) | 自动化 / Tier 1 审批 |
| 深度调查 | Flow Search + Host Snapshot + 加密会话详情 | 完整攻击时间线 | Tier 2/3 分析师 | |
| 联动响应 | SecureX/XDR 联动、SIEM 告警推送、Firewall 策略更新 | 跨平台协同响应 | SOC Manager:编排 Playbook |
SNA 的告警体系经过精心设计,旨在减少告警疲劳(Alert Fatigue),让 SOC 团队聚焦于真正重要的安全事件。
Data Store 是 SNA 实现长期数据保留和高速查询的关键组件。以下性能数据基于 Cisco 官方测试和设计指南[3]:
| 性能指标 | DS 6200(物理) | DS Virtual | 备注 |
|---|---|---|---|
| 最大流摄入速率 | 4,000,000 fps (3节点) | 取决于底层资源 | 每节点约 1.3M fps |
| 数据压缩比 | ~10:1(列式压缩) | ~10:1 | 实际比率取决于流多样性 |
| 单节点裸存储 | 38.4 TB NVMe SSD | 自定义 | DS 6200 配置参考 |
| 有效存储(压缩后) | ~384 TB(逻辑,3节点) | 自定义 | 含 10:1 压缩 + 冗余因子 |
| 数据保留期 | 数月至 365 天+ | 数月至 365 天+ | 取决于平均 fps 和存储容量 |
| 查询延迟(典型) | 亿级记录查询 < 30 秒 | 取决于底层资源 | 分布式并行扫描[3] |
| 数据冗余 | RF=2(3节点中允许1节点故障) | RF=2 | 自动再平衡 |
| 最小集群节点 | 3 节点 | 3 节点 | 生产环境最低要求 |
| 最大集群节点 | 5 节点(v7.5+) | 5 节点 | 通过添加节点线性扩展[7] |
| 网络要求 | 节点间 10 Gbps、RTT < 10ms | 同左 | DS 节点必须同数据中心部署[3] |
所需存储 (TB) ≈ 平均 fps × 86,400 × 保留天数 × 每流字节数 ÷ 压缩比 ÷ 1012
| 成熟度等级 | SOC 特征 | SNA 推荐功能 | 预期成效 |
|---|---|---|---|
| Level 1 初始级 |
依赖手动日志审查;少量安全工具;响应时间以天计 |
• 基础 NetFlow 监控 • 预定义告警策略 • Manager 仪表盘可视化 |
• 网络可见性从 0 → 80%+ • 发现之前不可见的异常通信 • MTTI 缩短 50%+ |
| Level 2 发展级 |
SIEM 已部署;有 Tier 1/2 分析师;基本事件响应流程 |
• ISE 身份集成 • ETA 加密流量分析 • SIEM 告警联动 • Data Store 历史查询 |
• 加密流量威胁检测能力 • 身份驱动的告警上下文 • 回溯分析覆盖 90天+ |
| Level 3 优化级 |
专职 Threat Hunting 团队;SOAR 自动化;MITRE ATT&CK 覆盖评估 |
• 高级 Threat Hunting(Flow Search) • ISE ANC 自动隔离 • SecureX/XDR 联动编排 • 自定义检测模型 • API 集成至安全数据湖 |
• 主动威胁发现能力 • 秒级自动遏制 • MITRE ATT&CK 技术覆盖 ≥70% • MTTR < 30 分钟 |
Cisco Secure Network Analytics 的核心价值不仅在于独立检测能力,更在于它作为安全运营中枢与整个 Cisco 安全生态及第三方平台的深度联动。通过标准协议(pxGrid、REST API、Syslog、eStreamer)以及原生集成,SNA 既是高保真遥测数据的生产者,也是跨产品关联响应的协调者。[2][10]
ISE 是 SNA 最重要的集成伙伴。通过 pxGrid 2.0 双向通道,SNA 从 ISE 获取身份上下文(用户名、设备类型、位置、安全组标签 SGT),同时在检测到威胁时通过 ANC(Adaptive Network Control) 指令反向通知 ISE 执行网络级响应。这构成了「检测 → 上下文 → 响应」的完整闭环。[2][8][10]
| 方向 | 数据类型 | 协议 / 方法 | 用途说明 |
|---|---|---|---|
| ISE → SNA 上下文注入 |
用户名 (Username) | pxGrid Session | 将 IP 地址映射为真实用户身份,实现告警归因到「人」 |
| MAC 地址 & 设备类型 | pxGrid Session | 识别设备画像(BYOD / IoT / 企业资产),辅助异常行为判定 | |
| 安全组标签 (SGT) | pxGrid TrustSec | 按 SGT 分组流量,支持微分段合规监控和零信任策略验证 | |
| 设备位置 & 姿态 | pxGrid Session | 关联物理/逻辑位置,用于地理围栏策略和 VPN 用户区分 | |
| SNA → ISE 响应指令 |
ANC Quarantine | pxGrid ANC API | 将可疑主机移至隔离 VLAN,限制网络访问同时保留调查能力 |
| ANC Shutdown | pxGrid ANC API | 对高危主机执行端口关断(802.1X CoA),彻底阻断网络连接 | |
| ANC Unquarantine | pxGrid ANC API | 误报确认后自动恢复主机正常网络权限,减少业务中断 |
Cisco XDR(Extended Detection and Response)是 Cisco 安全运营平台的大脑。SNA 作为 NDR 层核心数据源,向 XDR 推送高保真网络检测事件(Detection Findings),由 XDR 与来自 Endpoint、Email、Identity、Firewall 等多源信号进行跨域关联,自动生成结构化 Incident 并触发 Playbook 响应。[10]
| 能力 | 说明 | 业务价值 |
|---|---|---|
| Detection Findings 推送 | SNA 将高 CI 告警以结构化格式实时推送至 XDR | 网络维度信号与端点、身份信号自动关联,消除人工拼接 |
| 跨产品关联 | XDR 将 SNA 网络异常与 Secure Endpoint 进程、ISE 身份等数据融合 | 单一告警提升为完整攻击故事,显著降低误报率 |
| Incident 自动生成 | XDR 基于多源关联结果自动创建结构化 Incident | 分析师直接获得可操作情报,MTTI 缩短 60%+ |
| 响应 Playbook | 通过 Cisco XDR 自动化工作流触发 ISE 隔离、防火墙封堵等操作 | 从检测到响应实现SOAR 级别编排,秒级闭环 |
| 统一 Dashboard | 在 XDR 控制台统一呈现 SNA 网络检测与全域安全态势 | SOC 团队无需切换多个工具,单一玻璃面板运营 |
SNA 提供多种方式向 SIEM 系统输出数据,但核心原则是「发送高价值告警,而非原始流数据」。这一策略既确保 SIEM 获得可操作情报,又避免了海量 NetFlow 数据导致的许可证成本爆炸和告警疲劳。[2][8]
SNA Manager 将安全告警以 CEF/LEEF 格式通过 Syslog 发送至 SIEM。
通过 eStreamer 协议推送详细安全事件数据(含流记录和告警元数据)。
Cisco Telemetry Broker 可作为流量代理,对 NetFlow/IPFIX 去重、过滤后转发。
| 维度 | 直接推送原始流 | SNA 过滤后推送告警 | 推荐度 |
|---|---|---|---|
| 日均数据量 | 数十 GB ~ TB 级 | 数百 MB 级(仅高 CI 告警) | 推荐 |
| SIEM 许可成本 | 极高(按摄入量计费) | 大幅降低(减少 70-90% 摄入量) | 推荐 |
| 告警质量 | 海量低价值事件,需人工筛选 | 高 CI 告警已经过 ML 关联,可操作性强 | 推荐 |
| 分析师工作量 | 需编写大量 SIEM 规则 | SNA 内置 98+ 检测模型,开箱即用 | 推荐 |
| 回溯调查 | 依赖 SIEM 保留期 | SNA Data Store 独立保留数月原始流数据 | 推荐 |
Cisco Secure Firewall(ASA / FTD)通过 NSEL(NetFlow Security Event Logging) 向 SNA 输出连接级安全事件日志,使 SNA 获得防火墙视角的连接建立/拆除、NAT 转换、ACL 匹配信息,丰富流分析的上下文。[1][9]
flow-export 指向 SNA Flow CollectorSNA v7.6.0 版本带来了多项集成和运营增强,进一步强化了 SNA 在安全运营体系中的连接能力。[7]
| 功能 | 描述 | 运营价值 |
|---|---|---|
| Webex Webhook | 新增原生 Webex 消息推送支持;当 SNA 生成高优先级告警时,自动发送至指定 Webex 空间 | SOC 团队无需守在控制台,通过 Webex 即时获知威胁,加速响应 |
| Dashboard 调度 & 固定 | 支持 Dashboard 的定时邮件发送和自定义固定(Pinning),可创建个性化运营视图 | 管理层自动收到安全态势日报/周报;分析师自定义工作面板 |
| Detection Findings | 全新 Detection Findings 数据格式,为 XDR 和第三方平台提供结构化检测输出 | 简化跨平台集成,统一告警格式,加速自动化流水线 |
| IPv6 DN 增强 | 扩展 IPv6 设备追踪能力,在双栈/纯 IPv6 环境中保持完整可视性 | 面向 5G / IoT 场景的 IPv6 流量不再成为检测盲区 |
| UI/UX 改进 | 全新告警详情页面、改进的流搜索界面、更直观的策略管理向导 | 降低分析师学习曲线,提升日常运营效率 |
| Detection Pack 更新 | 增量式 Detection Pack 更新机制,新增检测模型无需重启系统 | 持续跟进最新威胁态势,零停机更新检测能力 |
SNA 提供 REST API v2,允许安全团队和 DevOps 团队构建自定义自动化流程、集成到内部安全编排平台、或开发定制化报表。[6][10]
| API 端点类别 | 功能 | 典型用例 |
|---|---|---|
| /alerts | 查询、确认、关闭安全告警 | SOAR 平台自动拉取告警、更新状态、触发 Playbook |
| /flows | 执行流搜索查询(类似 Flow Search UI) | 自动化威胁猎捕脚本、定制化流量报表 |
| /hosts | 查询主机画像、标签、策略分配 | 资产管理系统同步、自动化 Host Group 维护 |
| /policies | 读取和管理检测策略、响应规则 | 批量策略部署、Infrastructure-as-Code 自动化 |
| /tags | 管理 Host Group 和自定义标签 | 动态分组更新、与 CMDB 同步 |
| /reports | 生成和导出报表 | 合规审计自动化报告、管理层定期简报 |
| 集成对象 | 协议 / 方法 | 方向 | 核心价值 | 优先级 |
|---|---|---|---|---|
| Cisco ISE | pxGrid 2.0 | 双向 | 身份上下文注入 + ANC 自动响应 | ★★★ |
| Cisco XDR | 原生集成 | SNA → XDR | 跨域关联、Incident 生成、Playbook 响应 | ★★★ |
| Splunk | eStreamer / Syslog | SNA → Splunk | 高价值告警汇总、合规报告、降低 SIEM 成本 | ★★☆ |
| Secure Firewall | NSEL (NetFlow v9) | FW → SNA | 防火墙连接事件增强流分析上下文 | ★★☆ |
| Secure Endpoint | XDR 中继 | 间接关联 | 网络 + 端点双维度验证,降低误报 | ★★☆ |
| Webex | Webhook (v7.6.0) | SNA → Webex | 即时协作告警通知,加速 SOC 沟通 | ★☆☆ |
| ServiceNow | REST API | SNA → SNOW | 自动创建安全事件工单、ITSM 集成 | ★☆☆ |
| SOAR 平台 | REST API / Webhook | 双向 | 全自动化响应编排、多工具联动 | ★☆☆ |
| 自定义系统 | REST API v2 | 双向 | 定制化集成、自动化脚本、CI/CD 流水线 | 按需 |
纵观全文,Cisco Secure Network Analytics (SNA) 以 网络即传感器 (Network-as-a-Sensor) 的理念,将企业已有的路由、交换与防火墙基础设施转变为全域安全遥测来源,无需部署额外镜像探针,即可实现对东西向及南北向流量的全面可见性与威胁检测。[1][8]
SNA 采用基于 FPS (Flows Per Second,每秒流数) 的许可模型。FPS 衡量的是 Flow Collector 每秒从网络设备接收并处理的 NetFlow/IPFIX 记录数量。客户根据自身网络规模预估 FPS 需求,选择对应的 License Tier。[6][8]
提示:Cisco SNA 提供内置的 FPS 仪表盘,部署后可实时监控实际消耗。
SNA v7.5+ 全面采用 Cisco Smart Software Licensing,通过 Smart Account / Virtual Account 统一管理:
SNA 提供三种部署形态,客户可根据现有基础设施与运维偏好灵活选择:[6][7]
| 对比维度 | 硬件 Appliance | 虚拟化 (VMware / KVM) | SaaS / Cloud |
|---|---|---|---|
| 部署位置 | 客户本地 Data Center | 客户本地或私有云 (ESXi / KVM) | Cisco 托管云 |
| 典型场景 | 高性能、大规模、监管合规 | 中等规模、虚拟化优先 | 快速 PoV、中小规模、运维精简 |
| 管理开销 | 硬件运维 + 软件升级 | 虚拟机运维 + 软件升级 | Cisco 托管,客户专注分析 |
| FPS 上限 | 单 FC 最高 ~400K FPS (DS 模式) | 依 VM 资源配置而定 | 按订阅 Tier 弹性扩展 |
| Data Store 支持 | ✅ 完整支持 (推荐 3 节点起) | ✅ 支持 (需满足资源要求) | ✅ Cisco 管理 |
| 许可模式 | FPS Term License | FPS Term License | SaaS 订阅 |
以下为典型部署规模参考,实际配置需结合 Cisco 架构师评估。[3][6][8]
| 部署规模 | 预估 FPS | Manager (SMC) | Flow Collector (FC) | Data Store (DS) | Flow Sensor (FS) | 典型环境 |
|---|---|---|---|---|---|---|
| Small | ≤ 25K | 1× 虚拟 | 1× 虚拟 | 可选 (3 节点) | 按需 | 中小企业 / 单站点 |
| Medium | 25K – 100K | 1× 虚拟或硬件 | 1-2× 虚拟或硬件 | 3 节点 (推荐) | 按需 | 中型企业 / 多站点 |
| Large | 100K – 500K | 1× 硬件 | 2-5× 硬件 | 3-5 节点 | 按需 | 大型企业 / 多 DC |
| XL | 500K – 5M+ | 1× 硬件 (HA 可选) | 5-25× 硬件 | 5+ 节点 (K-safety ≥ 1) | 按需 | 超大型企业 / SP / 国防 |
以下列出 SNA 常见 PID 供采购参考,具体 PID 以 Cisco Commerce Workspace (CCW) 最新数据为准:[6]
| PID | 说明 | 形态 | 备注 |
|---|---|---|---|
L-SNA-SM-K9 |
SNA Manager (SMC) 软件 | 虚拟 | 必选 |
L-SNA-FC-K9 |
SNA Flow Collector 软件 | 虚拟 | 必选 ≥ 1 |
SNA-220-K9 |
SNA Manager Appliance | 硬件 (UCS) | — |
SNA-320-K9 |
SNA Flow Collector Appliance | 硬件 (UCS) | — |
SNA-DS-NODE |
SNA Data Store Node | 硬件 / 虚拟 | 最少 3 节点 |
L-SNA-FPS-<TIER> |
FPS License (按 Tier) | 订阅 | 1 / 3 / 5 年 |
L-SNA-FS-K9 |
SNA Flow Sensor 软件 | 虚拟 | 可选 |
L-SNA-UDP-K9 |
SNA UDP Director 软件 | 虚拟 | 可选 |
* PID 信息基于公开 Data Sheet[6],实际订购请通过 Cisco CCW 或授权合作伙伴确认。
联系 Cisco 团队或授权合作伙伴,申请 Proof-of-Value 试用,在您的真实环境中验证检测效果。
利用 Cisco CX 或合作伙伴的 Network Readiness Assessment,评估 NetFlow 覆盖率并规划 FPS 容量。
参考本文第 3、5 节的架构与数据流指南,配合 Data Store Design Guide[3] 完成生产环境部署。