阿里雲全流量威脅檢測與響應NDR(Network Detection and Response),是一款公用雲原生網路檢測與響應產品,操作簡單一鍵接入,無需部署,即開即用,可以快速檢測網路流量中存在的威脅。
雲原生NDR相比開源軟體及傳統商業化NDR產品優勢
特性 | 阿里雲NDR | 傳統商業化NDR軟體 | 開源NDR軟體 |
部署速度 | 快速 分鐘級 | 部署耗時 涉及底層資源開通 | 相對快速 配置複雜 |
成本效益 | 高 SaaS訂閱,CAPEX低 | 中 CAPEX+OPEX高 | 中 額外機器成本,OPEX高 |
營運效率 | 高 原生化整合 | 中 單獨採購,消耗IT資源 | 低 二次開發 |
維護更新 | 即時 分鐘級 | 自動 依賴供應商 | 手動 依賴社區 |
靈活擴充 | 彈性 PAYU | 低 額外採購License | 手動 自行管理 |
無需部署、即時開通、一鍵接入
無需部署、一鍵接入:無需複雜的引流配置,支援一鍵接入模式,幫您節省大量營運時間,滿足多種接入需求。
非侵入式旁路部署:雲上全量資產自動同步,不受限網路架構環境,按需選擇隨用隨開,全程旁路接入對業務零影響。
私網流量東西向檢測:解決內部網路中威脅橫向擴散與未授權敏感性資料傳輸檢測難題,協助您快速定位失陷資產,提高內網安全。
攻擊報文自動留存與檢索
攻擊報文流量自動留存:自動留存攻擊事件及攻擊發生前後流量,無需人工參與,攻擊流量自動留存相比全流量留存僅有其萬分之一大小,避免無用流量帶來高昂的儲存費用,兼顧留存需要與成本投入。
核心資產流量定製留存:支援自訂報文過濾規則,按需定製節約成本,滿足內外部合規審計與異常複現舉證,協助安全團隊加速事件響應效率。
流量報文高效檢索:支援BPF進階檢索組件、3億條日誌10秒內檢索完畢、線上攻擊Payload分析及PCAP產生,減少本地重複下載步驟,增強檢索頁面使用體驗,查詢結果響應效率直線上升。
全流量威脅檢測與多引擎關聯分析能力
雙向非同步全流量威脅檢測:Request、Response雙向全流量分析,增強RCE、SQLI、LFI攻擊確認能力,提升進階威脅應對能力,補全請求回包、響應流量等檢測盲點,極大降低威脅雜訊,減輕營運團隊誤判排查負擔。
多檢測引擎關聯分析:特徵規則、威脅情報、檔案沙箱、行為分析、暴露分析等多引擎檢測,時間軸呈現警示,覆蓋更廣泛的威脅類型,快速識別異常和關聯威脅事件,提高安全營運效率,加快安全團隊的響應速度。
結合ATT&CK推導攻擊意圖:瞭解攻擊者使用的技術與工具,識別入侵路徑、確認攻擊者身份與攻擊目的,支撐安全團隊快速識別系統漏洞,加強系統補丁更新,最佳化防火牆策略,關閉暴露服務,必要時舉證追究攻擊者法律責任。
全面資產服務梳理與情境化風險管理
情境化資產服務暴露面梳理:公網資產暴露常常伴隨駭客利用與監管通報處罰,NDR可自動識別雲資產上層商務服務,精準定位雲上資產對外暴露盲區,自動探索每日存在的高危連接埠暴露與弱口令登入風險問題。
敏感性資料暴露風險管理:NDR可基於流量檢測資產服務中存在敏感性資料暴露風險,識別風險資產地區,評估潛在的資料泄露問題,提升安全團隊業務資產風險營運的效率。
協議日誌檢索、過濾與投遞
協議日誌檢索:支援HTTP、DNS、TLS等七層協議日誌與五元組日誌檢索,進一步提煉原始日誌詳細欄位與負載資訊,無需安裝分析軟體,可視化追溯異常流量行為,滿足各類合規與監管要求。
協議日誌過濾:協議日誌按需過濾與留存,靈活定製核心業務流量資訊,支援豐富的日誌類型選擇及五元組過濾條件,極大降低日誌分析與儲存成本,提升營運管理效率。
協議日誌投遞:具備秒級投遞日誌能力,自訂日誌投遞欄位及儲存天數。