阿里雲全流量威脅檢測與響應NDR(Network Detection and Response)是一項安全產品,通過對網路流量的全面監控與分析,識別和響應潛在的安全威脅。
接入管理
當您使用NDR進行公網資產防護時,您必須先將雲上資產流量接入NDR。NDR支援自動全量接入和手動按需接入兩種接入方式,您可以根據業務實際需求,選擇合適的接入方式。
功能名稱 | 功能描述 | 相關文檔 |
互連網側流量接入 | 支援將雲上具有EIP/公網IP的ECS、SLB、NAT、ENI等資產流量一鍵接入NDR進行檢測分析,無需部署,即時開通,支援兩種接入方式:
|
報文留存
當您完成雲上資產流量接入後,可以在NDR上進行攻擊報文的留存檢索,同時可以手動設定報文留存過濾規則,將重點關注的核心業務資產流量按需留存,並建立PCAP產生任務將原始流量報文下載到本地進一步分析。
功能名稱 | 功能描述 | 相關文檔 |
報文留存檢索 | NDR會自動留存警示產生的攻擊事件及攻擊發生期間的原始流量,您可以在頁面進行攻擊留存報文與資產業務流量留存報文的檢索,支援BPF等進階查詢工具。 | |
報文留存過濾規則 | 您可以按需配置重點關注的核心業務資產流量的留存規則,支援黑白名單過濾邏輯,以及對於留存規則的增刪改查。 | |
PCAP產生任務 | 統一管理建立的PCAP產生任務,您可以查看與篩選歷史的PCAP產生任務,並進行報文的本地下載。 |
威脅分析
隨著雲上資產流量接入後,NDR會自動調用特徵檢測、威脅情報、惡意檔案及行為分析等多引擎檢測業務流量中存在的惡意攻擊與異常行為,產生警示資訊並進行攻擊事件的關聯分析,通過結合Request、Response雙向全流量及ATT&CK判斷攻擊發生的階段與攻擊結果,您可以在警示詳情頁面中進行失陷問題分析。
功能名稱 | 功能描述 | 相關文檔 |
警示分析 | 針對業務流量中的惡意攻擊與異常行為進行警示分析,您可在警示詳情中查看詳細的警示資訊與警示列表、線上查看攻擊報文Payload,關聯分析同一嫌疑者與受害者之間的多個警示事件,並提供攻擊報文流量的檢索與PCAP任務下載。 | |
ATT&CK攻擊矩陣 | 結合ATT&CK進行警示事件的彙總,自動判斷攻擊發生的階段與攻擊結果,並支援按照不同的攻擊技戰術查看對應彙總警示詳情內容。 | |
警示白名單 | 針對警示誤判及信任資產添加白名單,支援按照多種流資訊、協議欄位及規則資訊進行規則配置,並提供白名單規則的增刪改查功能。 |
日誌分析
協議日誌分析是NDR產品基於雙向流量,所能夠提供的深度日誌威脅分析基本能力。協議日誌提供留存和投遞能力,能夠保障關鍵資訊檢索、分析和推送給第三方產品進行進一步關聯,從而排查出關鍵攻擊特徵,方便使用者使用。
功能名稱 | 功能描述 | 相關文檔 |
日誌檢索 | 支援線上進行HTTP、DNS、TLS等七層協議日誌與五元組日誌檢索,可添加源IP、連接埠、協議、方向等多種篩選條件,日誌詳情中會進一步呈現原始日誌詳細欄位與負載資訊。 | |
日誌過濾規則 | 提供協議日誌按需過濾與留存,靈活定製核心業務流量資訊,支援豐富的日誌類型及欄位過濾條件,可對日誌過濾規則進行增刪改查。 | |
日誌投遞 | 支援將所有協議日誌自訂投遞到Log ServiceSLS中,NDR具備秒級投遞日誌能力。 |