全流量威脅檢測與響應NDR(Network Detection and Response)提供威脅分析能力,包含告警分析、ATT&CK攻擊矩陣以及告警白名單功能。本文介紹如何進行威脅分析。
威脅分析概覽
威脅分析是全流量威脅檢測與響應產品的核心能力,基于阿里云自研的入侵檢測、威脅情報、行為分析及安全沙箱等檢測引擎,可為企業用戶提供全流量的攻擊檢測與威脅分析能力,并提供告警數據的統計、聚合分析、關聯分析能力。
同時NDR產品還可以對網絡流量中傳輸的文件進行還原和風險分析,針對可疑風險文件進行告警并提供樣本數據供用戶分析。
告警分析
在左側導航欄,選擇。
在告警分析頁簽,查看當前的失陷數量與告警總數,了解每種告警的發現時間與嫌疑者、受害者的訪問關系。
您可以按照多個篩選條件查詢指定范圍的告警分析數據,并通過告警名稱、嫌疑者IP、受害者IP進行分組聚合統計,嫌疑者IP與受害者IP之間存在級聯關系。通過特定的嫌疑者IP,可以關聯到相應的受害者IP,反之亦然。選擇某一嫌疑者IP或受害者IP時,下方區域的告警數據信息將實時更新,單擊受害者IP地址,可在對話框查看具體的資產詳情。
勾選只顯示重保告警,可快速篩選出重保IP相關的告警。
告警詳細信息
告警詳情包含告警基本信息、告警詳細日志、相關報文列表、及關聯告警信息及ATT&CK技術信息五個模塊為您多維度深入剖析當前告警事件,幫助您快速研判和處置告警事件。
在告警分析頁簽,單擊加入白名單,NDR會為您預填該條告警規則。單擊具體告警的查看詳情,查看該告警的詳細信息。
基本信息
在基本信息區域,顯示該告警可能相關的CVE信息,單擊查看CVE信息,將訪問阿里云漏洞庫以獲取該漏洞的披露與分析信息,并了解該漏洞的影響范圍及相應的升級解決方案。同時您也可在該區域查看攻擊時間、告警次數、告警時間及告警名稱等詳細信息。
相關告警列表
在相關告警列表區域,查看告警信息。單擊原始數據列中的payload,對告警Payload關鍵信息進行深入分析,其中命中告警規則的部分會高亮顯示。單擊Payload右上方提供的解碼工具,將原始流量中的負載部分通過不同方式進行解碼,NDR解碼工具支持按照ASCII/UTF-8/十六進制等多種方式進行解碼。
單擊列表操作的報文檢索,跳轉至報文留存頁面,根據流量五元組信息檢索與告警相關的原始報文,并可下載相關報文的PCAP文件做進一步分析。
相關協議日志
在相關協議日志區域,查看日志概覽。單擊查看協議日志詳情,跳轉到協議日志分析中進一步溯源告警問題。
相關報文
在相關報文區域,單擊報文檢索詳情或生成PCAP,按照源IP地址與目的IP地址二元組跳轉到頁面,檢索該告警相關的原始報文及下載原始報文的PCAP文件。
相關告警
在相關告警區域,按照時間軸分析該告警發生前后同一嫌疑者IP與受害者IP命中的多個告警,可以研究特定告警是否與其他事件在時間上的聯系,幫助理解攻擊者的行為模式。點擊相關告警卡片中的告警名稱,即可在新頁面中查看詳細的告警信息。
ATT&CK技術信息
在ATT&CK技術信息區域,可查看該類攻擊基礎的詳細分析內容。
ATT&CK攻擊矩陣
在ATT&CK攻擊矩陣頁簽,NDR還提供基于ATT&CK標簽分析告警的能力。
在該頁簽中,我們將為您統計不同的攻擊技術告警,高亮顯示存在告警的項,并且默認透出在上面,方便用戶查看。單擊告警項的數字,可以通過ATT&CK技術信息氣泡框查看具體信息。如需查看具體的告警信息,請單擊點擊查看具體告警信息,將跳轉至告警分析頁簽以獲取詳細告警信息。
配置告警白名單
NDR威脅分析提供告警白名單功能,告警白名單模塊允許對特定類型的告警進行標記,以確認這些告警為安全,或已完成必要的確認程序,不需要重復處理。通過建立白名單有效的管理告警的優先級。
云安全中心相關掃描器的IP地址已默認設置為屏蔽,且不產生告警。
在左側導航欄,選擇。
在告警白名單頁簽,單擊創建規則。
在告警規則過濾面板,配置相關字段。
單擊確認。
試用期間告警日志支持最大保留時間為90天,超過閾值的告警日志按照最早時間覆蓋。