bluefalconink/cisa-ed-26-03-tracker
GitHub: bluefalconink/cisa-ed-26-03-tracker
一款为 CISA 紧急指令 26-03 设计的 Cisco SD-WAN 漏洞合规追踪工具,提供从资产清点到威胁狩猎的完整工作流管理和报告导出能力。
Stars: 0 | Forks: 0
# 🦅 BlueFalconInk — CISA ED 26-03 合规追踪器
[](https://github.com/bluefalconink/cisa-ed-26-03-tracker/actions/workflows/generate-docs.yml)
**由 [BlueFalconInk LLC](https://github.com/bluefalconink) 构建** | [MIT License](LICENSE)
一款为联邦机构和企业提供的快速响应合规工具,旨在满足 **CISA 紧急指令 26-03** 关于 Cisco SD-WAN 漏洞 (CVE-2026-20127 & CVE-2022-20775) 的要求。
本项目与 **NSA、CISA、ASD's ACSC、Canadian Cyber Centre、NCSC-NZ** 以及 **NCSC-UK** 的联合指导协作开发。
## 🚨 关键截止日期
| 里程碑 | 截止时间 |
|-----------------------|------------------------------|
| **清单盘点 (Inventory)** | 2026年2月26日 — 11:59 PM ET |
| **补丁修补 (Patching)** | 2026年2月27日 — 5:00 PM ET |
| **最终报告 (Final Report)** | 2026年3月5日 |
## ✨ 功能特性
- **实时截止日期倒计时** — 针对清单盘点、补丁修补和报告截止日期的实时紧迫性追踪
- **仪表盘指标** — 一目了然的计数:总资产、取证完成数、已修补数、威胁狩猎完成数、已加固数
- **资产注册** — 手动录入单个资产,包含主机名、IP、系统类型、版本和备注
- **批量导入** — 一键导入 **CSV、Excel (.xlsx)、JSON 或 TSV**,支持通过正则进行智能列匹配、重复检测和预览
- **5步合规工作流** — 针对每个资产的追踪流程:清单盘点 → 取证 (3项工件) → 补丁 → 威胁狩猎 (6点检查清单) → 加固
- **取证关卡强制执行** — 在捕获所有3项取证工件之前,阻止补丁修补操作
- **6点威胁狩猎检查清单** — OMP 对等体、控制连接、用户账户、版本降级、审计日志、配置更改
- **集成威胁狩猎指南** — 攻击链/杀伤链阶段、CLI 命令参考、IOC 表、狩猎决策流程图
- **狩猎发现日志** — 记录单个 IOC 发现,包含类别、严重程度、描述、证据和分析人员归属
- **CISA 报告引擎** — 一键导出 JSON (包含狩猎检查清单 + 发现) 和 CSV,用于满足3月5日的截止期限
- **Docker 就绪** — 容器化部署,适用于 Google Cloud Run 并具备 IAP 安全防护
## 🚀 快速开始 (本地)
1. **克隆与设置:**
git clone https://github.com/bluefalconink/cisa-ed-26-03-tracker.git
cd cisa-ed-26-03-tracker
python -m venv venv
source venv/bin/activate # Linux/macOS
venv\Scripts\activate # Windows
pip install -r requirements.txt
2. **启动:**
streamlit run app.py
应用程序将在首次运行时自动创建 SQLite 数据库 (`compliance_data.db`)。
## 📥 批量资产导入
从任何常见格式导入您现有的资产清单:
| 格式 | 扩展名 | 备注 |
|--------|-----------|-------|
| CSV | `.csv` | 逗号分隔 |
| Excel | `.xlsx` | 读取第一个工作表 |
| JSON | `.json` | 对象数组或面向记录格式 |
| TSV | `.tsv` / `.txt` | 制表符分隔 |
**列匹配** 使用灵活的正则表达式模式 —— 您的列名无需完全精确。例如,`host_name`、`Hostname` 或 `device_name` 都会映射到主机名字段。重复的资产 (匹配主机名 + IP) 将被自动跳过。
## ☁️ 生产环境部署 (Google Cloud Run)
在 10 分钟内以安全、生产就绪的状态完成部署:
### 步骤 1: 构建容器
```
gcloud builds submit --tag gcr.io/$GOOGLE_CLOUD_PROJECT/cisa-tracker .
```
### 步骤 2: 部署到 Cloud Run
```
gcloud run deploy cisa-tracker \
--image gcr.io/$GOOGLE_CLOUD_PROJECT/cisa-tracker \
--platform managed \
--region us-east1 \
--no-allow-unauthenticated
```
### 步骤 3: 使用 Identity-Aware Proxy (IAP) 进行安全加固
1. 在 GCP 控制台中导航至 **Security > Identity-Aware Proxy**。
2. 为 `cisa-tracker` 服务启用 IAP。
3. 将您机构的用户组添加为 **IAP-secured Web App User**。
## 📝 合规工作流 (CISA 5步行动序列)
根据 ED 26-03 和补充指令:
| 步骤 | 行动 | 详情 |
|------|--------|---------|
| **1. 清单盘点 (Inventory)** | 记录所有 `vManage` 和 `vSmart` 实例 | 截止 2月26日 11:59 PM ET |
| **2. 收集工件 (Collect Artifacts)** | VM 快照、核心转储 (`/opt`, `/var`)、`/home` 副本 | 补丁修补 **之前** (UI 中强制执行) |
| **3. 补丁修补 (Patch)** | 应用 Cisco 更新 | 截止 2月27日 5:00 PM ET — 版本:`20.12.6.1+`, `20.15.4.2+`, `20.18.2.1+` |
| **4. 威胁狩猎 (Hunt)** | 针对每个资产的 6 点威胁狩猎检查清单 | OMP 对等体、控制连接、用户、版本、日志、配置 |
| **5. 实施 (Implement)** | 按照 Cisco SD-WAN 加固指南进行加固 | 限制暴露、隔离管理平面、增强日志 |
## 🔍 威胁狩猎指南
该应用程序包含基于 CISA、NSA 和五眼联盟合作伙伴联合指导的嵌入式 **威胁狩猎指南**:
- **攻击链** — 从初始访问 (CVE-2026-20127) 到横向移动的杀伤链阶段
- **CLI 命令** — 7 个参考命令,包含预期输出与可疑输出的指导
- **IOC 参考** — 网络级和主机级的失陷指标
- **决策流程图** — 逐步的威胁狩猎决策工作流
## 📊 数据持久化
此应用默认使用 **SQLite** 以便立即部署。若需长期的跨区域持久化,请更新 `database.py` 中的连接字符串以指向 **Google Cloud SQL (PostgreSQL)** 实例:
```
engine = create_engine('postgresql://user:pass@host/dbname')
```
## 📂 项目结构
```
cisa-ed-26-03-tracker/
├── .github/
│ └── workflows/
│ └── generate-docs.yml # GitHub Actions: auto-generate architecture docs
├── app.py # Main Streamlit application (920 lines)
├── database.py # SQLAlchemy 2.0 ORM models & session factory
├── requirements.txt # Python dependencies
├── Dockerfile # Container configuration (python:3.11-slim)
├── PRD_ED_26_03.md # Product Requirements Document
├── ARCHITECTURE.md # Auto-generated architecture documentation
├── LICENSE # MIT License
├── .gitignore # Python / SQLite / IDE ignores
├── ACSC-led Cisco SD-WAN Hunt Guide.pdf # Official joint threat hunt guide
└── README.md # This file
```
## 🗄️ 数据库模式 (Schema)
### `inventory` (SDWANInstance)
追踪每个 Cisco SD-WAN 资产在整个 5 步合规生命周期中的状态:
- 身份信息: `hostname`, `ip_address`, `sys_type`, `version`
- 取证: `snapshot_captured`, `core_dump_captured`, `home_dir_copied`, `forensics_captured`
- 补丁: `patch_applied`
- 狩猎: 6 个独立的检查清单布尔值 + `hunt_completed` (自动计算)
- 加固: `hardening_implemented`
- 元数据: `notes`, `timestamp`, `last_updated`
### `hunt_findings` (HuntFinding)
与资产关联的个别 IOC 发现:
- `asset_id` (FK → inventory), `category`, `severity`, `description`, `evidence`, `analyst`, `timestamp`
## 🔒 安全须知
- **切勿**在生产环境中使用 `--allow-unauthenticated` 进行部署。
- 使用 **Identity-Aware Proxy (IAP)** 在组织 SSO 之后把守访问权限。
- 将所有 SD-WAN 日志转发到远程外部 syslog 服务器。
- 在专用且受信任的网络上隔离 SD-WAN 管理平面。
- 通过防火墙和 IP 白名单限制 SD-WAN 控制组件的访问。
## 🦅 关于 BlueFalconInk LLC
BlueFalconInk LLC 为联邦机构和更广泛的安全社区构建快速响应的网络安全合规工具。本项目是开源的,可免费用于支持紧急指令响应。
**GitHub:** [github.com/bluefalconink](https://github.com/bluefalconink)
**License:** MIT
标签:CISA紧急指令, Cisco SD-WAN, Cloudflare, CVE-2022-20775, CVE-2026-20127, DInvoke, GitHub Advanced Security, GPT, Kubernetes, MITRE ATT&CK, Python, Streamlit, 仪表板, 企业安全, 合规性追踪, 安全加固, 工作流自动化, 库, 应急响应, 数字取证, 数据导入, 数据泄露, 无后门, 漏洞管理, 漏洞缓解, 端点安全, 网络安全, 网络安全审计, 网络资产管理, 联邦机构, 自动化脚本, 补丁管理, 访问控制, 请求拦截, 资产清单, 逆向工具, 隐私保护