Giới thiệu


Security Intelligence (SI) trong Cisco Secure Firewall Threat Defense là tuyến phòng thủ đầu tiên chống lại các kết nối độc hại. Thay vì phải tiêu tốn tài nguyên cho việc phân tích chuyên sâu (deep inspection), SI cho phép chặn ngay lập tức lưu lượng dựa trên danh tiếng (reputation intelligence) được cập nhật liên tục từ Cisco Talos hoặc các nguồn bên ngoài.

Cisco đã thay đổi thuật ngữ:

• Whitelist → Do Not Block list
• Blacklist → Block list

Điều này phản ánh sự cập nhật về ngôn ngữ trong tài liệu và giao diện sản phẩm.

---

Cách thức hoạt động

• Khi gói tin đến, Security Intelligence sẽ so khớp trước tiên với Block list hoặc Do Not Block list.
• Nếu nằm trong Block list → lưu lượng bị chặn ngay (không qua phân tích thêm).
• Nếu nằm trong Do Not Block list → được cho phép đi tiếp, không sinh cảnh báo.
• Quá trình lọc dựa trên:
  • IP address
  • URL
  • DNS name

Đối với URL/DNS trong kết nối HTTPS, thiết bị sẽ cần SSL Decryption để phân tích tên miền được yêu cầu.

Security Intelligence nằm ngay sau Prefilter policy và là bước đầu tiên trong Access Control Policy (ACP).

---

Các thành phần chính

1. Block List
   • Chứa IP/URL/DNS độc hại.
   • Khi khớp, lưu lượng bị chặn hoặc giám sát.
   • Không có thêm phân tích nào được thực hiện với traffic đã bị block.
2. Do Not Block List
   • Ghi đè lại block list khi có sai sót.
   • Lưu lượng matching sẽ tiếp tục đi qua pipeline bình thường.

---

Các loại đối tượng trong Security Intelligence


Security Intelligence quản lý danh sách thông qua các loại đối tượng sau:

• Feed objects:
  • Do Cisco cung cấp mặc định, cập nhật tự động (IP/URL/DNS có danh tiếng xấu).
  • Có thể thêm feed từ bên thứ ba.
  • Không cần triển khai policy khi feed được cập nhật.
• List objects:
  • File tĩnh (text) do admin tự tải lên FMC.
  • Chứa IP/URL/DNS cố định.
  • Khi cập nhật file list, không cần deploy policy.
• Network/URL objects & groups:
  • Được tạo thủ công trong FMC, dùng cho SI hoặc ACP.
• Global Block / Do Not Block:
  • Ban đầu rỗng, admin có thể thêm trực tiếp từ connection events để chặn hoặc cho phép ngay lập tức.

---

Intelligence Feeds mặc định của Cisco Talos


Cisco cung cấp nhiều feed phân loại theo từng nhóm nguy cơ, ví dụ:

• CnC – Command & Control botnets
• Open_proxy, Open_relay – Proxy/Mail relay mở
• Tor_exit_node – Exit node của Tor
• Bogon – IP chưa được phân bổ
• Banking Fraud, Phishing, Malware, Exploitkit, Cryptomining
• IoC, Suspicious, Newly_seen domains
• Và nhiều loại khác như Spam, Spyware, Link_sharing, Attacker,…

Mặc định, các feed này không bị block sẵn. Admin cần chọn category nào muốn giám sát hoặc block trong Access Control Policy.

• Feed update: mặc định 2 giờ/lần.
• FMC đẩy update xuống FTD: 30 phút/lần.
• Không cần deploy policy cho việc cập nhật này.

---

DNS Policy (liên quan Security Intelligence)


Ngoài IP/URL, SI còn hỗ trợ DNS policy để lọc domain name. Cơ chế cũng dựa trên approved list và blocked list. Tuy nhiên phần DNS policy thường được tách riêng, không bàn sâu trong nội dung này.

---

Use case thực tế

• Nếu feed của Cisco block nhầm một IP quan trọng, thay vì loại bỏ feed, admin có thể thêm IP này vào Do Not Block list.
• Khi phân tích sự kiện, analyst có thể Add to Block List hoặc Add to Do Not Block List ngay từ giao diện FMC → áp dụng tức thì mà không cần deploy lại policy.

---

Ý nghĩa với SOC & vận hành

• Hiệu suất: chặn sớm traffic độc hại, giảm tải cho Snort inspection.
• Linh hoạt: dễ dàng bổ sung feed bên ngoài hoặc tự tạo list riêng.
• Tốc độ phản ứng: analyst có thể ngay lập tức block/allow IP/URL từ event log.
• Cập nhật liên tục: Cisco Talos cung cấp nguồn feed luôn được làm mới theo thời gian thực.

---

👉 Tóm lại, Security Intelligence trong Cisco Secure Firewall Threat Defense là tuyến lọc sớm (early-stage filter) dựa trên danh tiếng IP/URL/DNS, giúp tiết kiệm tài nguyên, giảm độ trễ và nâng cao khả năng phòng thủ. Nó đóng vai trò bức tường đầu tiên trong pipeline xử lý lưu lượng, trước khi các engine nặng như Snort (IPS) được kích hoạt.
​