售前常見(jiàn)問(wèn)題
本文介紹使用全流量威脅檢測(cè)與響應(yīng)NDR(Network Detection and Response)前的常見(jiàn)問(wèn)題解決方案。
資產(chǎn)流量接入過(guò)程會(huì)對(duì)業(yè)務(wù)造成影響嗎?
NDR是非侵入式的旁路部署模式,通過(guò)旁路鏡像的方式采集流量,不會(huì)對(duì)業(yè)務(wù)產(chǎn)生延時(shí)、抖動(dòng)等問(wèn)題影響。
資產(chǎn)接入列表需要手動(dòng)配置或?qū)W習(xí)嗎?
資產(chǎn)列表是自動(dòng)同步呈現(xiàn)的,不需要您手動(dòng)進(jìn)行配置。
資產(chǎn)流量接入后需要手動(dòng)配置存儲(chǔ),再導(dǎo)入NDR里做分析嗎?
資產(chǎn)流量直接集成在產(chǎn)品里面進(jìn)行分析,不需要您額外配置,支持按需進(jìn)行原始報(bào)文留存與PCAP包下載。
如果在上海、杭州或北京有多個(gè)Region資產(chǎn),分析數(shù)據(jù)是統(tǒng)一還是分開(kāi)進(jìn)行?
目前NDR是按照Region部署,您在不同Region下的資產(chǎn)是分開(kāi)進(jìn)行威脅檢測(cè)分析的。請(qǐng)通過(guò)控制臺(tái)上方的地域信息切換至您所需查看的地域,以接入該地域的資產(chǎn)鏡像流量進(jìn)行威脅分析。
資產(chǎn)流量采集的時(shí)間是指采集操作開(kāi)始的時(shí)間,還是流量發(fā)生的時(shí)間?
資產(chǎn)流量采集的時(shí)間指的是采集操作開(kāi)始的時(shí)刻。NDR提供多種采集選項(xiàng),包括即時(shí)采集、未來(lái)特定時(shí)刻的采集以及定期循環(huán)采集,您可以根據(jù)需求靈活定義采集時(shí)間。
原始報(bào)文只能下載到本地打開(kāi)嗎?
目前原始報(bào)文需下載到本地查看,而威脅分析則提供在線查看報(bào)文Payload,能夠直接展示命中的字段。
Payload中有響應(yīng)的數(shù)據(jù)嗎?
NDR是雙向報(bào)文檢測(cè),請(qǐng)求和響應(yīng)的數(shù)據(jù)都包含。
命中規(guī)則的部分能否看到?
在告警卡片和告警詳情中會(huì)有命中規(guī)則的關(guān)鍵信息展示,告警列表Payload上規(guī)則命中部分也會(huì)高亮展示。
目前產(chǎn)品上是否有對(duì)告警作攻擊成功或嘗試攻擊的標(biāo)注?
目前告警分析中有攻擊結(jié)果字段,您可根據(jù)攻擊結(jié)果查看資產(chǎn)是否已經(jīng)失陷,通過(guò)對(duì)攻擊原始流量進(jìn)行上下文關(guān)聯(lián)分析,NDR能夠確認(rèn)攻擊是否成功。
協(xié)議日志過(guò)濾和報(bào)文留存過(guò)濾,邏輯上是一樣的嗎?
不一樣,日志過(guò)濾是基于協(xié)議維度的過(guò)濾,報(bào)文留存主要基于五元組進(jìn)行過(guò)濾。
NDR報(bào)文檢索效率高不高,擔(dān)心數(shù)據(jù)留存量較大時(shí)檢索體驗(yàn)會(huì)非常慢?
NDR支持3億條流在10秒內(nèi)檢索完畢,同時(shí)會(huì)對(duì)接口實(shí)時(shí)監(jiān)控,如果發(fā)現(xiàn)超時(shí)會(huì)進(jìn)行優(yōu)化。
如果我們想自定義檢測(cè)的字段,NDR的引擎是否支持?
因?yàn)樵粕蠟榧夯渴穑?dāng)前版本NDR檢測(cè)引擎都是統(tǒng)一的,暫不支持用戶自定義,如有特殊需求可以聯(lián)系售前人員進(jìn)行反饋。
協(xié)議日志如果不投遞到SLS,會(huì)存儲(chǔ)到哪個(gè)平臺(tái),是否有容量限制?
如果不進(jìn)行日志投遞,可以存儲(chǔ)到NDR本地平臺(tái),在日志分析模塊可以進(jìn)行日志篩選與檢索,正式售賣后會(huì)產(chǎn)生部分容量的成本。
NDR產(chǎn)品目前的計(jì)費(fèi)方式是怎樣的?
NDR產(chǎn)品具體計(jì)費(fèi)情況,請(qǐng)參見(jiàn)產(chǎn)品計(jì)費(fèi)。