Technology Integration
Important
Medium
80% Confidence
思科XDR整合多源数据实现精准告警调优
内容摘要
思科安全团队通过整合XDR、Splunk和Endace网络遥测数据,成功分离防火墙IPS告警噪声与真实威胁。利用Zeek日志字段分析确认良性网络活动源,针对特定签名条件实施抑制策略。该案例展示了多源数据交叉验证在复杂环境中的闭环调优能力。
核心要点
思科在Cisco Live EMEA期间遭遇防火墙IPS触发的'溢出尝试'告警风暴。通过整合Cisco XDR、Splunk和Endace(Zeek)网络遥测数据,团队发现告警集群源于被动SPAN镜像流量,IPS处于检测模式(InlineResult: Would block)。
借助Endace提供的Zeek日志URI和User_Agent字段,确认触发告警的源主机行为为良性活动,包括操作系统连接测试、Apple captive portal验证、iboss云代理连接器和Qualys漏洞管理代理通信。
团队将六起事件定性为误报,针对特定签名(SigID 17536)在满足'接口为SPAN/被动'且'IPS动作为Would block'条件时进行抑制,成功压制后续17起类似事件及数百条相关告警。
借助Endace提供的Zeek日志URI和User_Agent字段,确认触发告警的源主机行为为良性活动,包括操作系统连接测试、Apple captive portal验证、iboss云代理连接器和Qualys漏洞管理代理通信。
团队将六起事件定性为误报,针对特定签名(SigID 17536)在满足'接口为SPAN/被动'且'IPS动作为Would block'条件时进行抑制,成功压制后续17起类似事件及数百条相关告警。
重要性说明
思科通过实际案例验证其XDR平台的多源集成能力,强化安全运营效率价值主张。这种数据关联方法可能成为行业应对告警疲劳的标准实践。...