Guscyrus-cyber/Splunk_TLS_SOC_monitoring_mac_lab

**TLS SOC 监控实验室** **描述** **TLS SOC 监控实验室：** TLS 流量被接入 Splunk Enterprise 并进行分析，旨在通过仪表板、报告、警报、检测、可视化和威胁狩猎调查来识别加密通信、HTTPS 活动、外部连接以及潜在的安全威胁。 **验证 TLS 索引** TLS 索引已存在 **上传 TLS 数据集** 数据集：tls_traffic.log\ 设置： Index: tls\ Host: MacBookPro\ Sourcetype: tls_traffic 描述：从数据包捕获分析中生成的 TLS 流量被接入 Splunk Enterprise，以支持加密流量监控和 HTTPS 活动调查。 请参考代码库中相应的查询和支持截图。 **验证接入** 搜索：index=tls\ 或\ source="tls_traffic.log" host="MacBookPro" index="tls" sourcetype="tls_traffic"\ \ 目的：验证 TLS 数据成功接入。 请参考代码库中相应的查询和支持截图。 **验证事件计数** 搜索：\ index=tls\ \| stats count 目的：确认 TLS 事件可用性。 请参考代码库中相应的查询和支持截图。 **审查 TLS 流量** 搜索：\ index=tls\ \| table \_time host sourcetype \_raw 目的：审查加密流量和 HTTPS 通信。 请参考代码库中相应的查询和支持截图。 **识别 HTTPS 流量** 搜索：index=tls 443 目的：识别使用端口 443 的 HTTPS 通信。 请参考代码库中相应的查询和支持截图。 **识别 QUIC 流量** \ QUIC (Quick UDP Internet Connections) 是一种现代传输层协议，也是 HTTP/3 的基础。传统的 HTTPS 443 流量分别依赖 TCP 和 TLS，而 QUIC 则在 UDP 上原生集成了加密。这使得 QUIC 能够更快地建立安全连接，并避免因数据包丢失而导致的“停滞”。 QUIC (UDP 443) 与传统 HTTPS (TCP 443) 之间的根本差异可以通过其底层技术、连接速度、可靠性和网络可见性来进行划分。  搜索：index=tls quic 目的：识别通过 UDP 443 的 QUIC 协议活动。\ 请参考代码库中相应的查询和支持截图。 **安全 Web 应用程序** index=tls (443 OR 8443) 目的：识别标准和非标准 HTTPS 通信。 请参考代码库中相应的查询和支持截图。 **云和应用程序流量** index=tls (443 OR 8443 OR 9443) 目的：识别云服务和企业应用程序常用的加密通信。 **识别外部 IP 地址** 搜索：\ index=tls\ \| table \_raw\ \ 查找类似以下的条目： 3.221.141.237.443\ 150.171.109.73.443\ 17.253.3.195.443\ 104.18.32.47.443\ 20.189.173.23.443 目的：识别通过加密通道进行通信的外部系统。 请参考代码库中相应的查询和支持截图。 **分析师观察** TLS 数据集显示： 192.168.1.193 → 外部 IP → 端口 443 这表明： 一个本地端点使用 HTTPS/TLS 和 QUIC 协议与多个 Internet 主机建立了加密通信。在捕获的流量中未观察到明确的恶意活动迹象。这些通信看起来与正常的加密 Web 和云服务活动一致。 ### 重要发现 一个 IP 反复出现： 104.18.32.47:443 包含许多条目： quic, protected 这表明端点与外部服务之间进行了重复的加密 HTTP/3 (QUIC) 通信。许多现代网站和云服务都会出现 QUIC 流量，这也证明了加密 UDP 通信的使用。 威胁狩猎分析识别出多个外部系统通过加密的 TLS 和 QUIC 协议与该端点进行通信。调查发现了端口 443 上的 HTTPS 流量以及与外部云托管服务的重复 QUIC 通信。未识别出可疑的目标，这表明在 SOC 环境中属于正常的加密 Internet 活动和安全通信监控。 **搜索 Apple 服务** 搜索：index=tls 17.253 目的：识别与 Apple 相关的加密通信。 输出表明通过 HTTPS/TLS 与 Apple 旗下的服务进行了加密通信。 使用的查询：index=tls 17.253 **分析** TLS 数据集包含以下两者之间的通信： 192.168.1.193 和 17.253.3.195:443 使用端口 443 (HTTPS/TLS)。 观察到的活动： 192.168.1.193 → 17.253.3.195:443\ 17.253.3.195:443 → 192.168.1.193 连接显示：Flags \[P.\]，这表明已传输数据。 随后显示：Flags \[F.\]，这表明数据交换完成后连接已正常关闭。 **分析师观察** TLS 调查识别出端点与在端口 443 上运行的外部 Apple 旗下服务之间的加密通信。该连接成功交换了数据并正常终止，表明这是合法的加密流量而非可疑行为。该活动展示了与 Apple 基础设施的正常 HTTPS 通信，并突显了使用 TLS 监控来识别与端点通信的外部服务提供商。 **重要发现** 观察到 17.253.3.195:443 交换了加密流量，随后正常关闭了会话。 正常会话的指标： 通过端口 443 的 TLS 流量\ 双向通信\ 数据传输 (Flags \[P.\])\ 会话正常终止 (Flags \[F.\])\ 无重复失败\ 无异常端口 对 TLS 流量的分析识别出在端口 443 上与 Apple 基础设施的加密 HTTPS 通信。该连接成功交换了数据并正常终止，展示了合法的加密通信，并为 TLS 监控环境中的外部服务交互提供了可见性。 **可视化** 查询：\ index=tls\ \| stats count\ \ 可视化： Single Value 面板标题： TLS Event Count 描述：显示接入到 TLS 索引中的 TLS 相关事件总数。 **报告** 报告名称：TLS Traffic Report 描述：总结在 TLS 数据集中观察到的加密流量活动。 **仪表板** 仪表板名称：TLS SOC Monitoring Dashboard 面板标题：TLS Activity Overview 描述：提供对加密网络通信和 HTTPS 活动的可见性。\ **警报** 查询：index=tls 443 警报名称：Encrypted Traffic Detection 描述：检测使用 TLS 和 HTTPS 协议的加密网络通信。 **检测规则** 查询：\ index=tls\ \| search quic OR 443 检测名称：TLS Communication Detection 描述：检测环境中观察到的加密通信和安全网络协议。 **威胁狩猎** 查询：\ index=tls\ \| table \_time host sourcetype \_raw 目的：调查加密通信、外部目的地、云服务以及可能表明恶意软件通信、命令与控制流量或未经授权的外部连接的异常 TLS 活动。 在威胁狩猎中，TLS 调查揭示了一些有用的发现。 **威胁狩猎发现** #### **1. 多个外部加密连接** 该端点通过端口 443 与多个外部 IP 地址进行了通信： 3.221.141.237\ 150.171.109.73\ 17.253.3.195\ 104.18.32.47\ 20.189.173.23\ 40.112.143.140 这表明与多个 Internet 服务进行了加密的 HTTPS/TLS 通信。 #### **2. Apple 服务通信** 观察到以下两者之间的加密流量： 192.168.1.193 ↔ 17.253.3.195:443 该连接交换了数据并正常终止，表明这是合法的与 Apple 相关的 TLS 通信。 #### **3. QUIC / HTTP3 活动** 最频繁的活动涉及： 104.18.32.47:443 包含重复的条目： quic, protected 这表明通过 UDP 443 进行的加密 HTTP/3 (QUIC) 通信。现代浏览器和云服务通常使用 QUIC 来提升性能。 #### **4. 加密数据传输** 多个连接包含： Flags \[P.\] 这表明应用程序数据已通过加密会话传输。 #### **5. 连接终止事件** 数据集包含： Flags \[F.\] 表明会话正常关闭。 以及 Flags \[R.\] 表明连接被重置。这些情况可能发生在正常的网络活动、应用程序关闭或中断的会话期间。 ### 评估 威胁狩猎识别出使用 TLS 和 QUIC 协议的正常加密 Internet 通信。调查发现了与多个外部服务的连接、加密数据传输、与 Apple 相关的 HTTPS 流量以及重复的 HTTP/3 通信。在数据集中未观察到明显的入侵指标、可疑目的地、恶意软件通信或命令与控制活动。该活动看起来与合法的加密 Web 和云服务使用情况一致。 TLS 威胁狩猎分析识别出了与多个外部服务的加密 HTTPS 和 QUIC 通信。调查揭示了正常的加密 Web 流量、Apple 服务通信、HTTP/3 活动和安全数据传输，展示了 TLS 监控如何为 SOC 环境中的加密网络活动提供可见性。

标签：TLS流量分析, 安全实验环境, 安全运营中心, 网络映射