全流量威脅檢測與響應NDR定位全景圖

功能概述

資產管理與風險管理

自動識別云環境資產上層業務服務，支持Web服務、數據庫服務、郵件服務、文件管理服務、遠程控制服務等豐富的服務類別及服務識別，基于網絡全流量優勢精準定位云上資產對外暴露盲區，及時發現每日存在高危端口暴露、弱口令登錄的資產，針對網絡中的敏感數據AK（AccessKey）、SK（Secret Access Key）、明文傳輸、弱口令、個人身份信息等暴露問題進行場景化專項治理。

攻擊報文自動留存

NDR會自動留存攻擊告警事件及攻擊發生期間的原始流量，沒有產生風險和告警的流量則不會留存，無需人工手動操作，幫助您最大化節約人力與存儲成本，具有極高的性價比，同時提供在線有效載荷（Payload）分析解讀能力，用于運維人員后續溯源分析與攻擊研判，方便安全技術人員及時發現內網中存在的攻擊問題，更加適用于重保、強對抗等特殊場景下，針對APT等高級威脅的運維分析，而傳統防護設備不具備攻擊報文自動留存的能力，安全服務團隊在事后分析時也會感到束手無策。

雙向異步全流量威脅檢測

NDR會針對雙向全流量進行流量鏡像，從而進行異步威脅檢測。

通過雙向檢測技術，加強攻擊確認和降低誤報。有些惡意行為只是掃描探測，通過對響應報文的二次檢測，可確認攻擊是否成功。某些攻擊請求的攻擊特征會分布在多個報文中，單個報文的攻擊特征非常弱，如果只檢測單個報文很難發現其惡意行為，需要將多個報文中的特征進行關聯檢測，而雙向全流量檢測可以有效檢出這類惡意威脅，彌補傳統安全設備單向流量的檢測盲點，極大增強攻擊確認能力，避免漏報造成安全隱患。

多檢測引擎關聯分析

NDR支持特征規則、威脅情報、文件沙箱、行為分析、暴露分析等多種檢測分析引擎，并可以將各個檢測模塊的結果進行關聯分析。

例如當某一流量中的惡意行為特征命中IDS規則（Intrusion Detection System Rules）時，NDR還會繼續利用威脅情報、行為分析、文件還原等技術，對該流量進行檢測，關聯舉證極大增加了告警的準確性，即使一些隱蔽性較強的惡意行為繞過靜態規則檢測，或僅命中威脅程度較弱的規則，也會被其他檢測引擎發現，而傳統防護設備不具備多維度檢測能力，一旦規則未命中或舉證力度不足則會放行，容易被運維人員所忽略，從而造成更大的安全風險。

協議日志檢索過濾與投遞

NDR可以實現對防護資產協議日志的實時采集、查詢、分析、加工和消費等一站式服務，具備秒級投遞日志能力，幫助您深入監控和保護網絡資產安全，滿足等保合規及流量審計要求。

免費試用

自2024年9月20日起，阿里云全流量威脅檢測與響應處于公測階段，針對公共云客戶，公測期間提供免費試用機會，您可接入資產流量進行深度檢測，助力云上資產暴露面與場景化風險管理，同時提供云上全流量的威脅溯源與取證能力。如您對此感興趣，請掃描下方二維碼或點擊申請鏈接參與試用，您也可以聯系售前安全解決方案工程師快速開啟該服務。公測結束時間以官網通知為準，請您留意官網公告變化。

立即申請： 全流量威脅檢測與響應公測申請表單。

二維碼：