このトピックでは、NDR に関するよくある質問 (FAQ) とその回答をまとめています。
アセットのトラフィックを接続すると、ビジネス運用に影響はありますか?
いいえ、影響はありません。NDR は非侵入型の帯域外デプロイモードを採用しています。ミラーリングによってトラフィックをキャプチャするため、お客様のサービスにレイテンシーやジッターは発生しません。
アセットリストは手動で構成する必要がありますか?
いいえ、その必要はありません。アセットリストは自動的に同期・入力されるため、手動での構成は不要です。
分析のために手動でストレージに保存したり、インポートしたりする必要はありますか?
いいえ、その必要はありません。アセットのトラフィックはプロダクト内で直接分析されるため、追加の構成は不要です。必要に応じて、オリジナルメッセージを保持したり、PCAP パッケージをダウンロードしたりできます。
中国 (上海)、中国 (杭州)、中国 (北京) など、複数のリージョンにアセットがある場合、分析データは統合されますか、それとも個別に処理されますか?
NDR はリージョンごとにデータを個別に分析します。NDR はリージョン単位でデプロイされるため、異なるリージョンのアセットに対する脅威を独立して分析します。特定のリージョンの脅威分析を表示するには、コンソールでそのリージョンに切り替えてください。NDR は、そのリージョン内のアセットからのミラートラフィックを分析します。
トラフィックの収集時間は、収集が開始される時刻を指しますか、それともトラフィックが発生した時刻を指しますか?
収集操作の開始時刻を指します。NDR は、即時、スケジュール済み、定期的といった複数の収集オプションを提供しています。ニーズに最も合った収集スケジュールを定義できます。
オリジナルメッセージは、ローカルにダウンロードしないと表示できませんか?
いいえ。オリジナルメッセージをダウンロードしてローカルで表示するだけでなく、脅威分析機能を使用してメッセージのペイロードをオンラインで表示することもできます。この機能では、ルールヒットをトリガーしたフィールドもハイライト表示されます。
ペイロードには応答データも含まれますか?
はい。NDR は双方向分析を実行し、リクエストと応答の両方のデータをキャプチャします。
データのどの部分がルールヒットをトリガーしたかを確認できますか?
ルールヒットに関する主要な情報は、アラートカードとアラート詳細に表示されます。また、アラートリストのペイロードにあるルールヒットのセクションもハイライト表示されます。
プロダクトは、アラートを攻撃の成功または試行としてラベル付けしますか?
はい。アラート分析には、アセットが侵害されたかどうかを示す攻撃結果フィールドが含まれています。元の攻撃トラフィックのコンテキストを関連付けて分析することで、NDR は攻撃が成功したかどうかを判断できます。
プロトコルログのフィルタリングとメッセージ保持のフィルタリングは、論理的に同じものですか?
いいえ、異なります。ログのフィルタリングはプロトコルに基づいて行われるのに対し、メッセージ保持のフィルタリングは 5 タプルに基づいています。
メッセージの取得効率
NDR は 3 億のストリームを 10 秒未満で取得できます。また、プラットフォームはインターフェイスをリアルタイムでモニターし、タイムアウトを検出した場合には最適化を適用します。
検出フィールドのカスタマイズ
いいえ。NDR の検出エンジンは、クラウド上で標準化されたクラスター化されたデプロイを使用しています。そのため、すべてのユーザーに対して統一されており、現在のバージョンではカスタマイズをサポートしていません。特別な要件がある場合は、当社のプリセールスチームまでフィードバックをお寄せください。
プロトコルログが SLS に配信されない場合、どこに保存されますか?また、ストレージの制限はありますか?
ログ配信を構成しない場合、NDR プラットフォームがプロトコルログを保存します。これらのログは、ログ分析モジュールでフィルタリングおよび検索できます。サービスの商用提供開始後、ストレージコストが適用されます。