阿里云全流量威脅檢測與響應NDR(Network Detection and Response)是一項安全產品,通過對網絡流量的全面監控與分析,識別和響應潛在的安全威脅。
接入管理
當您使用NDR進行公網資產防護時,您必須先將云上資產流量接入NDR。NDR支持自動全量接入和手動按需接入兩種接入方式,您可以根據業務實際需求,選擇合適的接入方式。
功能名稱 | 功能描述 | 相關文檔 |
互聯網側流量接入 | 支持將云上具有EIP/公網IP的ECS、SLB、NAT、ENI等資產流量一鍵接入NDR進行檢測分析,無需部署,即時開通,支持兩種接入方式:
|
報文留存
當您完成云上資產流量接入后,可以在NDR上進行攻擊報文的留存檢索,同時可以手動配置報文留存過濾規則,將重點關注的核心業務資產流量按需留存,并創建PCAP生成任務將原始流量報文下載到本地進一步分析。
功能名稱 | 功能描述 | 相關文檔 |
報文留存檢索 | NDR會自動留存告警產生的攻擊事件及攻擊發生期間的原始流量,您可以在頁面進行攻擊留存報文與資產業務流量留存報文的檢索,支持BPF等高級查詢工具。 | |
報文留存過濾規則 | 您可以按需配置重點關注的核心業務資產流量的留存規則,支持黑白名單過濾邏輯,以及對于留存規則的增刪改查。 | |
PCAP生成任務 | 統一管理創建的PCAP生成任務,您可以查看與篩選歷史的PCAP生成任務,并進行報文的本地下載。 |
威脅分析
隨著云上資產流量接入后,NDR會自動調用特征檢測、威脅情報、惡意文件及行為分析等多引擎檢測業務流量中存在的惡意攻擊與異常行為,產生告警信息并進行攻擊事件的關聯分析,通過結合Request、Response雙向全流量及ATT&CK判斷攻擊發生的階段與攻擊結果,您可以在告警詳情頁面中進行失陷問題分析。
功能名稱 | 功能描述 | 相關文檔 |
告警分析 | 針對業務流量中的惡意攻擊與異常行為進行告警分析,您可在告警詳情中查看詳細的告警信息與告警列表、在線查看攻擊報文Payload,關聯分析同一嫌疑者與受害者之間的多個告警事件,并提供攻擊報文流量的檢索與PCAP任務下載。 | |
ATT&CK攻擊矩陣 | 結合ATT&CK進行告警事件的聚合,自動判斷攻擊發生的階段與攻擊結果,并支持按照不同的攻擊技戰術查看對應聚合告警詳情內容。 | |
告警白名單 | 針對告警誤報及信任資產添加白名單,支持按照多種流信息、協議字段及規則信息進行規則配置,并提供白名單規則的增刪改查功能。 |
日志分析
協議日志分析是NDR產品基于雙向流量,所能夠提供的深度日志威脅分析基本能力。協議日志提供留存和投遞能力,能夠保障關鍵信息檢索、分析和推送給第三方產品進行進一步關聯,從而排查出關鍵攻擊特征,方便用戶使用。
功能名稱 | 功能描述 | 相關文檔 |
日志檢索 | 支持在線進行HTTP、DNS、TLS等七層協議日志與五元組日志檢索,可添加源IP、端口、協議、方向等多種篩選條件,日志詳情中會進一步呈現原始日志詳細字段與負載信息。 | |
日志過濾規則 | 提供協議日志按需過濾與留存,靈活定制核心業務流量信息,支持豐富的日志類型及字段過濾條件,可對日志過濾規則進行增刪改查。 | |
日志投遞 | 支持將所有協議日志自定義投遞到日志服務SLS中,NDR具備秒級投遞日志能力。 |