思科将防火墙与运行时深度遥测原生集成至Splunk检测工作流

内容摘要

思科发布新版防火墙软件，引入原生高级日志记录功能，并与Isovalent运行时安全平台深度结合，将其产生的结构化协议级遥测数据及预置检测规则直接注入Splunk SIEM。此举旨在将分散的运行时事件、防火墙日志与Splunk的分析能力融合，实现从孤立告警到基于上下文的高置信度威胁检测的转变。

核心要点

Cisco Secure Firewall通过软件更新，新增“原生高级日志记录”功能，提供包含DNS、HTTP、FTP等协议级细节的详细结构化日志，改变了防火墙作为高容量数据源却难以深度分析的现状。
同时，Cisco Isovalent Enterprise Platform基于eBPF技术，提供跨Kubernetes和Linux工作负载的运行时可见性，涵盖进程执行、网络连接、文件访问和工作负载身份。
Splunk则作为集中分析层，利用这些遥测数据提供预置检测规则和关联分析，能够识别命令与控制（C2）、DNS隧道、可疑下载、信标活动等复杂威胁模式，将原始数据转化为可直接操作的安全事件。

重要性说明

这标志着安全运营控制层的转移。控制点正从分散的、功能单一的安全设备（仅生成告警），向集中化的分析平台（SIEM）所承载的“检测与响应工作流”迁移。价值也随之从拥有最好的独立检测引擎，转向谁能提供最丰富、最易被分析平台消费的“原生遥测数据”与“预置检测逻辑”。Cisco此举旨在通过强化与Splunk的共生关系，巩固其安全产品在企业SOC核心工作流中的“数据供给方”地位，从而在平台竞争中卡位。

PRO 决策建议

[Vendors] 其他安全厂商需评估是否跟进提供类似深度SIEM集成包，因为“可观测性即集成能力”正成为产品竞争力关键，否则可能被排除在主流SOC工作流之外。
[Enterprises] 安全团队应重新评估安全工具栈与SIEM的集成深度，优先选择能提供原生、结构化遥测与预置检测规则的产品，以降低运营摩擦并加速威胁响应。
[Investors] 需关注安全生态中“控制点”向平台（如SIEM，SOAR）集中的趋势，投资于能深度绑定主流平台或提供卓越跨平台数据供给能力的厂商。