日志分析
全流量威脅檢測與響應NDR(Network Detection and Response)提供日志分析能力。
日志檢索
阿里云全流量威脅檢測與響應NDR(Network Detection and Response)基于雙向流量提供深度日志威脅分析能力,協(xié)議日志提供留存和投遞能力,能夠保障關(guān)鍵信息檢索、分析和推送給第三方產(chǎn)品進行進一步關(guān)聯(lián),進而幫助用戶排查出關(guān)鍵攻擊特征。
在公測期間,NDR僅保存最近15天的協(xié)議日志。如需保存更長時間的日志,請使用協(xié)議日志投遞功能。
在左側(cè)導航欄,選擇。
在日志檢索頁簽,查看七層協(xié)議日志或者五元組日志信息。
單擊列表右上方的自定義列表字段,選擇需要在列表中展示的字段。
在日志列表,單擊操作列詳情,查看會話詳細信息。
日志過濾規(guī)則
支持自定義過濾的日志類型具有兩種,分別是四層協(xié)議日志和七層協(xié)議日志:
四層協(xié)議日志:TCP五元組日志/UDP五元組日志/ICMP協(xié)議日志。
七層協(xié)議日志:DNS協(xié)議日志/HTTP協(xié)議日志/TLS協(xié)議日志/其他協(xié)議日志。
公測期間最大支持配置20條日志過濾規(guī)則,超過閾值后不支持繼續(xù)新增規(guī)則,且每條規(guī)則必須基于流信息中的源/目的IP地址進行配置。
不支持源IP或者目的IP設置為0.0.0.0/0,源端口或者目的端口設置為0~65535。
在左側(cè)導航欄,選擇。
在日志過濾規(guī)則頁簽,單擊創(chuàng)建規(guī)則。
在協(xié)議日志規(guī)則過濾面板,配置相關(guān)字段。
白名單:匹配規(guī)則的協(xié)議日志將留存。黑名單:匹配規(guī)則的協(xié)議日志將丟棄。
單擊確認。
配置后的規(guī)則即時生效。
開通日志投遞能力
NDR聯(lián)合日志服務推出了日志投遞和分析功能,可以實現(xiàn)對防護資產(chǎn)協(xié)議日志的實時采集、查詢、分析、加工和消費等一站式服務,具備秒級投遞日志能力,幫助您深入監(jiān)控和保護網(wǎng)絡資產(chǎn)安全,滿足等保合規(guī)及流量審計要求。
NDR默認在所在Region開啟SLS,創(chuàng)建Project和Logstore,每個Project下創(chuàng)建兩個Logstore:
五元組日志(含TCP、UDP),命名格式ndr_log_5tuple,默認存儲180天,可修改存儲天數(shù)。
七層日志(含HTTP、TLS、DNS、ICMP、其他協(xié)議),命名格式ndr_log_protocol,默認存儲30天,可修改存儲天數(shù)。
您也可以按需選擇五元組日志和七層日志的存儲天數(shù),單擊立即開通后即可開始進行日志投遞。
開啟日志投遞能力后,NDR不會收取任何費用,所有日志費用由SLS計費和出賬。如果您將來關(guān)閉或釋放NDR實例,日志服務不會自動釋放,您可在日志服務SLS控制臺手動單獨關(guān)閉或釋放。
在日志投遞頁簽,可以配置五元組日志、七層日志的存儲詳情。
單擊日志投遞字段,針對不同協(xié)議日志字段自定義配置。日志投遞存儲天數(shù)可進行修改,最小值為7天,最大值為730天。
協(xié)議日志支持類型
協(xié)議日志支持類型主要分為四層協(xié)議日志和七層協(xié)議日志。
日志投遞字段主要支持的字段類型有五元組日志、ICMP日志、HTTP日志、DNS日志、TLS日志、其他日志。您可以單擊日志投遞字段,選擇所需的字段,并且協(xié)議日志支持的字段類型可以獨立選擇開啟或關(guān)閉投遞。具體支持的字段類型如下圖所示:
