全流量威脅檢測與響應NDR(Network Detection and Response)可針對攻擊報文流量與核心資產流量進行全流量報文留存,支援留存攻擊事件、攻擊上下文等多種情境化留存方式,同時支援自訂配置報文留存過濾條件,滿足定製化的原始流量留存需求。
前提條件
協議解析回溯
支援HTTP/DNS/TLS等各類應用程式層協議識別與深度解析,進一步提煉協議詳細欄位並關聯雙向全流量負載資訊,滿足溯源分析需求。
在左側導覽列,選擇。
在协议解析回溯頁簽中,支援按照多種類型查看與解析日誌。您可以在左側地區選取項目具體條件式篩選日誌。
單擊操作列详情,在详情面板中查看該條流量中所包含的詳細資料。
攻擊報文回溯
自動留存攻擊事件及攻擊發生前後流量,無需人工參與,避免無用流量帶來高昂的儲存費用,兼顧留存需要與成本投入。協助您解決攻擊流量時候抓包複現難的問題。
在左側導覽列,選擇。
在攻击报文回溯頁簽中查看攻擊事件前後的流量報文留存的IP TOP10 、IP协议、端口排行情況。
留存配置:
單擊列表右上方的留存配置。
在留存配置對話方塊中根據實際業務情境選擇攻擊報文留存方式,並單擊確定。
五元組留存:按照攻擊事件留存攻擊報文。
二元組留存:當NDR檢測到嫌疑者IP對某個受害者IP進行攻擊時,還需要進一步分析本次攻擊前後嫌疑者IP對該受害者IP的其他攻擊報文。
一元組留存:當NDR檢測到嫌疑者IP對某個受害者IP進行攻擊時,還需要進一步分析本次攻擊前後嫌疑者IP對其他受害者IP進行攻擊的報文。
报文分析:定位至目標報文流,單擊其操作列的报文分析,也可以單擊報文分布圖右側的报文分析,進入在线解析PCAP頁面,具體資訊,請參見報文分析管理。
生成PCAP:
定位至目標報文流,單擊其操作列的生成PCAP,將自動建立一個PCAP產生任務,也可以單擊報文分布圖右側的生成PCAP產生所有報文,或者選擇多條報文資料單擊表格左下方的批量生成PCAP進行批量資料操作。
可以在PCAP產生任務頁簽,查看建立的PCAP的任務以及下載PCAP資料。具體操作,請參見PCAP產生任務管理。
全流量留存回溯
支援自訂配置全流量報文過濾規則,按需定製資產全流量儲存,節約成本並滿足關鍵業務原始流量複現分析。
報文留存檢索
NDR具備全流量報文自動留存的優勢,考慮到無限制留存所有原始報文,會對您造成極大的成本消耗。NDR為您提供自動和手動兩種報文留存方式,以便更加高效合理地留存需要繼續深入分析的報文資料。
自動留存方式:基於威脅警示產生的全流量報文自動留存。
手動留存方式:基於您自訂的留存過濾規則產生的全流量報文留存。
在左側導覽列,選擇。
在頁簽,查看報文留存的IP TOP10 、IP协议、端口排行情況。
报文分析:定位至目標報文流,單擊其操作列的报文分析,也可以單擊報文分布圖右側的报文分析,進入在线解析PCAP頁面,具體資訊,請參見報文分析管理。
生成PCAP:定位至目標報文流,單擊操作列生成PCAP,將自動建立一個PCAP產生任務,也可以單擊報文分布圖右側的生成PCAP產生所有報文,或者選擇多條報文資料單擊表格左下方的批量生成PCAP進行批量資料操作。
可以在PCAP產生任務頁簽,查看建立的PCAP的任務以及下載PCAP資料。具體操作,請參見PCAP產生任務管理。
配置報文留存過濾規則
根據業務中重點關注的核心資產,您可以對報文留存設定過濾規則。
在左側導覽列,選擇。
在报文过滤规则頁簽,單擊新增规则。
在报文过滤规则面板,配置相關欄位。
过滤逻辑:
白名單:匹配規則的流量將留存。黑名單:匹配規則的流量不留存,剩餘流量留存。
五元组:配置源IP和目的IP(0.0.0.0/0表示無限制),單擊
選擇单向或者双向過濾規則。目的端口:配置單個連接埠或連接埠範圍(例如80、100-200),根據左側下拉式清單內容配置連接埠過濾規則。
四层协议:配置協議過濾規則,預設選擇所有協議,根據左側下拉式清單內容配置協議過濾規則。
留存最大字节数:預設无字节数限制,您也可以選擇自定义配置單條流位元組數,預設1MB,最小1KB,最大500MB。
留存时间:預設不限制,也可選擇固定时长,单次时间段,重复周期等。
配置完成後,單擊确认。
配置後的規則即時生效。
如果您有其他需求,可以在报文过滤规则頁簽,對已增加的規則進行检索,編輯、停止與删除操作。
單擊检索,會跳轉到頁面,查看該規則下的報文留存詳細資料。
PCAP產生任務管理
在左側導覽列,選擇。
在PCAP生成任务頁簽,查看已建立PCAP產生的任務。
單擊操作列下载,將資料包下載到本地進一步分析資料。
PCAP下載最大報文數為前5000個報文,PCAP產生任務最大條目數為99個。PCAP任務保留時間30天,超過30天的任務將會被丟棄。
報文分析管理
進入在线解析PCAP頁面,可以進行如下操作:
查看資料包列表:頁面頂部地區以表格形式顯示指定時間範圍內的資料包列表。每行對應一幀,包含以下內容:序号、資料包捕獲的時間、源地址、目标地址、协议、长度與協議關鍵字段摘要信息。
系統根據下表所列規則對資料包進行顏色高亮,優先順序從高到低依次排列。若單個資料包匹配多個規則(例如同時為 HTTP 流量且包含 TCP RST 標誌),則僅應用最高優先順序對應的顏色。
顏色樣式
表示的流量類型
典型情境說明
黑底紅字
TCP 校正錯誤 / 壞包
網路丟包、鏈路異常
黃底黑字
ARP 報文
位址解析、區域網路掃描
粉底黑字
ICMP 報文
Ping、Traceroute、網路不可達
藍底白字
TCP RST(串連重設)
異常斷連、防火牆攔截
綠底黑字
HTTP 流量
Web 請求/響應
灰底黑字
TCP SYN 或 FIN
正常三向交握或四次揮手
紫底黑字
普通 TCP 流量
應用程式層資料轉送(非 HTTP)
淺藍底黑字
UDP 流量
DNS、NTP、視頻流等
在上方搜尋方塊中,可以通過輸入過濾條件式篩選資料包,支援標準顯示過濾器文法(如
http && ip.dst == 1.2.3.4)說明報文產生耗時:當報文數量較大時,產生過程可能較長。若等待超過10秒仍未完成,請關閉並重新開啟本頁面。
報文數限制:報文解析支援的最大報文數為前5000個報文。
近期時間範圍查詢限制:若查詢時間範圍的結束時間距目前時間不足5分鐘,部分報文可能尚未完成採集,系統將無法解析任何資料,請耐心等待。
會話完整性提示:即使已返回部分結果,若對應會話仍在進行中(例如長串連或大檔案傳輸),後續報文可能尚未到達。如需擷取完整會話資料,請等待一段時間後重新整理頁面。
查看資料包詳情:在上方資料包列表中單擊任一行資料包,下方將同步顯示其詳細資料,包括数据包详情與十六进制视图。
数据包详情(協議解析樹):按封裝層級自上而下展示協議結構,依次為幀(Frame)→ 乙太網路(Ethernet)→ IP → TCP/UDP → 應用程式層協議(如 HTTP、TLS)。每層列出該協議的所有欄位及其值。
協議與十六進位位元組聯動:單擊左側協議解析樹中的任意欄位,右側十六進位視圖中對應位元組將高亮顯示;單擊右側十六進位視圖中的任意位元組,左側解析樹中對應的協議欄位將高亮。 有助於直觀理解協議欄位在原始報文中的位置及編碼方式。
追蹤通訊流:對於 TCP、UDP、HTTP 或 TLS 類型的會話,可點擊数据包详情地區右側的追踪流。彈出的頁面展示該通訊流中雙方交換的載荷資料,並自動在資料包列表中應用對應的流過濾器(例如
tcp.stream eq 0),便於回溯該流的所有相關資料包。