本文介紹使用Agentic NDR售前的常見問題解決方案。
資產流量接入過程會對業務造成影響嗎?
Agentic NDR是非侵入式的旁路部署模式,通過旁路鏡像的方式採集流量,不會對業務產生延時、抖動等問題影響。
資產接入列表需要手動設定或學習嗎?
資產列表是自動同步呈現的,不需要您手動進行配置。
資產流量接入後需要手動設定儲存,再匯入Agentic NDR裡做分析嗎?
資產流量直接整合在產品裡面進行分析,不需要您額外配置,支援按需進行原始報文留存與PCAP包下載。
如果在上海、杭州或北京有多個Region資產,分析資料是統一還是分開進行?
目前Agentic NDR是按照Region部署,您在不同Region下的資產是分開進行威脅檢測分析的。請通過控制台上方的地區資訊切換至您所需查看的地區,以接入該地區的資產鏡像流量進行威脅分析。
資產流量採集的時間是指採集操作開始的時間,還是流量發生的時間?
資產流量採集的時間指的是採集操作開始的時刻。Agentic NDR提供多種採集選項,包括即時採集、未來特定時刻的採集以及定期迴圈採集,您可以根據需求靈活定義採集時間。
原始報文只能下載到本地開啟嗎?
目前原始報文需下載到本地查看,而威脅分析則提供線上查看報文Payload,能夠直接展示命中的欄位。
Payload中有響應的資料嗎?
Agentic NDR是雙向報文檢測,請求和響應的資料都包含。
命中規則的部分能否看到?
在警示卡片和警示詳情中會有命中規則的關鍵資訊展示,警示列表Payload上規則命中部分也會高亮展示。
目前產品上是否有對警示作攻擊成功或嘗試攻擊的標註?
目前警示分析中有攻擊結果欄位,您可根據攻擊結果查看資產是否已經失陷,通過對攻擊原始流量進行上下文關聯分析,Agentic NDR能夠確認攻擊是否成功。
協議日誌過濾和報文留存過濾,邏輯上是一樣的嗎?
不一樣,日誌過濾是基於協議維度過濾,報文留存主要基於五元組進行過濾。
Agentic NDR報文檢索效率高不高,擔心資料留存量較大時檢索體驗會非常慢?
Agentic NDR支援3億條流在10秒內檢索完畢,同時會對介面即時監控,如果發現逾時會進行最佳化。
如果我們想自訂檢測的欄位,Agentic NDR的引擎是否支援?
因為雲上為叢集化部署,目前的版本Agentic NDR檢測引擎都是統一的,暫不支援使用者自訂,如有特殊需求可以聯絡售前人員進行反饋。
協議日誌如果不投遞到SLS,會儲存到哪個平台,是否有容量限制?
如果不進行日誌投遞,可以儲存到Agentic NDR本地平台,在日誌分析模組可以進行日誌篩選與檢索,正式售賣後會產生部分容量的成本。