全部產品
Search

搜尋本產品

    Cloud Firewall:威脅分析

    文件中心

    Cloud Firewall:威脅分析

    更新時間:Jan 30, 2026

    全流量威脅檢測與響應NDR(Network Detection and Response)提供威脅分析能力,包含警示分析、ATT&CK攻擊矩陣以及警示白名單功能。本文介紹如何進行威脅分析。

    威脅分析概覽

    威脅分析是全流量威脅檢測與響應產品的核心能力,基於阿里雲自研的入侵檢測、威脅情報、行為分析及安全沙箱等檢測引擎,可為企業使用者提供全流量的攻擊檢測與威脅分析能力,並提供警示資料的統計、彙總分析、關聯分析能力。

    同時NDR產品還可以對網路流量中傳輸的檔案進行還原和風險分析,針對可疑風險檔案進行警示並提供樣本資料供使用者分析。

    警示分析

    1. 登入全流量威脅檢測與響應控制台

    2. 在左側導覽列,選擇检测响应 > 威胁分析

    3. 告警分析頁簽,查看當前的失陷數量與警示總數,瞭解每種警示的發現時間與嫌疑者、受害者的訪問關係。

      您可以按照多個篩選條件查詢指定範圍的警示分析資料,並通過警示名稱攻击者IP受害者IP進行分組彙總統計,攻击者IP受害者IP之間存在級聯關係。通過特定的攻击者IP,可以關聯到相應的受害者IP,反之亦然。選擇某一攻击者IP受害者IP時,下方地區的警示資料資訊將即時更新,單擊受害者IP地址,可在對話方塊查看具體的資產詳情。tupian.png

    警示詳細資料

    警示詳情包含警示基本資料、警示詳細日誌、相關報文列表、及關聯警示資訊及ATT&CK技術資訊五個模組為您多維度深入剖析當前警示事件,協助您快速研判和處置警示事件。

    AI警示解釋

    進入詳情頁面後,針對該條警示資訊,將通過安全AI助手自動產生並展示以下警示解釋:

    警示解釋

    說明

    警示總結

    對警示資訊進行概述,包括攻擊者、受害者、警示名稱、檢測引擎等基本資料,並概括攻擊意圖。

    Payload內容分析

    對檢出的Payload進行解釋,包括內容解釋,攻擊手法,可能造成的威脅等。

    攻擊結果分析

    對引擎攻擊結果進行解釋。當引擎標記攻擊結果為嘗試時,由大模型根據請求/響應報文,研判攻擊結果。

    威脅情報

    在威脅情報中查詢攻擊者IP以及Payload中出現的網域名稱和IP,並解釋威脅情報資訊。

    關聯警示分析

    對攻擊者和受害者在48小時內的相關警示進行概括,分析攻擊意圖、處於攻擊階段等。

    攻擊者IP威脅分析

    概括攻擊IP近一天的警示觸發情況,從攻擊次數、時間、攻擊結果、受害資產等的分布,分析攻擊者IP威脅態勢情況。

    防禦建議

    結合警示內容、警示分析解讀,從日誌排查、應用排查、存取控制等方面給出防禦建議。

    基本資料

    基本信息地區,顯示該警示可能相關的CVE資訊,單擊查看CVE資訊,將訪問阿里雲漏洞庫以擷取該漏洞的披露與分析資訊,並瞭解該漏洞的影響範圍及相應的升級解決方案。同時您也可在該地區查看攻擊時間警示次數警示時間警示名稱等詳細資料。

    相關警示列表

    1. 相关告警列表地區,查看警示資訊。單擊原始数据列中的payload,對警示Payload關鍵資訊進行深入分析,其中命中警示規則的部分會高亮顯示。單擊Payload右下方提供的解码工具,將原始流量中的負載部分通過不同方式進行解碼,NDR解碼工具支援按照ASCII/UTF-8/十六進位等多種方式進行解碼。image

    2. 單擊AI分析列的image,針對該條警示資訊,將通過安全AI助手自動產生並展示警示解釋,全面提升警示可讀性與響應效率。

    3. 單擊操作列的报文分析,彈出在线解析PCAP頁面查看報文分析,具體資訊,請參見報文分析管理

    4. 單擊操作列的报文检索,跳轉至攻击报文回溯頁面,根據流量五元組資訊檢索與警示相關的原始報文,並可下載相關報文的PCAP檔案做進一步分析。

    相關協議日誌

    相关协议日志地區,查看日誌概覽。單擊查看协议日志详情,跳轉到協議日誌分析中進一步溯源警示問題。

    相關報文

    相关报文地區,可進行如下操作:

    • 报文分析:在彈出的在线解析PCAP頁面查看報文分析,具體資訊,請參見報文分析管理

    • 报文检索详情:按照源IP地址與目的IP地址二元組跳轉至回溯分析頁面,檢索該警示相關的原始報文。

    • 生成PCAP:下載原始報文的PCAP檔案。

    關聯警示時間軸

    关联告警时间线地區,按照時間軸分析該警示發生前後同一嫌疑者IP與受害者IP命中的多個警示,可以研究特定警示是否與其他事件在時間上的聯絡,協助理解攻擊者的行為模式。點擊相關警示卡片中的警示名稱,即可在新頁面中查看詳細的警示資訊。

    ATT&CK技術資訊

    ATT&CK技術資訊地區,可查看該類攻擊基礎的詳細分析內容。

    ATT&CK攻擊矩陣

    ATT&CK攻击矩阵頁簽,NDR還提供基於ATT&CK標籤分析警示的能力。

    在該頁簽中,我們將為您統計不同的攻擊技術警示,高亮顯示存在警示的項,並且預設透出在上面,方便使用者查看。單擊警示項的數字,可以通過ATT&CK技術資訊氣泡框查看具體資訊。如需查看具體的警示資訊,請單擊点击查看具体告警信息,將跳轉至告警分析頁簽以擷取詳細警示資訊。

    lQLPJwgK8bkk113NBCTNCYCwAXTNUT4wQfEHI4j9jhTXAA_2432_1060.png

    配置警示白名單

    NDR威脅分析提供警示白名單功能,警示白名單模組允許對特定類型的警示進行標記,以確認這些警示為安全,或已完成必要的確認程式,不需要重複處理。通過建立白名單有效管理警示的優先順序。

    說明

    Security Center相關掃描器的IP地址已預設設定為屏蔽,且不產生警示。

    1. 登入全流量威脅檢測與響應控制台

    2. 在左側導覽列,選擇检测响应 > 威胁分析

    3. 告警白名单頁簽,單擊创建规则

    4. 告警规则过滤面板,配置相關欄位。

    5. 單擊提交

    重要

    試用期間警示日誌支援最大保留時間為90天,超過閾值的警示日誌按照最早時間覆蓋。