阿里云全流量威胁检测与响应NDR(Network Detection and Response)是一项安全产品,通过对网络流量的全面监控与分析,识别和响应潜在的安全威胁。
接入管理
当您使用NDR进行公网资产防护时,您必须先将云上资产流量接入NDR。NDR支持自动全量接入和手动按需接入两种接入方式,您可以根据业务实际需求,选择合适的接入方式。
功能名称 | 功能描述 | 相关文档 |
互联网侧流量接入 | 支持将云上具有EIP/公网IP的ECS、SLB、NAT、ENI等资产流量一键接入NDR进行检测分析,无需部署,即时开通,支持两种接入方式:
|
报文留存
当您完成云上资产流量接入后,可以在NDR上进行攻击报文的留存检索,同时可以手动配置报文留存过滤规则,将重点关注的核心业务资产流量按需留存,并创建PCAP生成任务将原始流量报文下载到本地进一步分析。
功能名称 | 功能描述 | 相关文档 |
报文留存检索 | NDR会自动留存告警产生的攻击事件及攻击发生期间的原始流量,您可以在页面进行攻击留存报文与资产业务流量留存报文的检索,支持BPF等高级查询工具。 | |
报文留存过滤规则 | 您可以按需配置重点关注的核心业务资产流量的留存规则,支持黑白名单过滤逻辑,以及对于留存规则的增删改查。 | |
PCAP生成任务 | 统一管理创建的PCAP生成任务,您可以查看与筛选历史的PCAP生成任务,并进行报文的本地下载。 |
威胁分析
随着云上资产流量接入后,NDR会自动调用特征检测、威胁情报、恶意文件及行为分析等多引擎检测业务流量中存在的恶意攻击与异常行为,产生告警信息并进行攻击事件的关联分析,通过结合Request、Response双向全流量及ATT&CK判断攻击发生的阶段与攻击结果,您可以在告警详情页面中进行失陷问题分析。
功能名称 | 功能描述 | 相关文档 |
告警分析 | 针对业务流量中的恶意攻击与异常行为进行告警分析,您可在告警详情中查看详细的告警信息与告警列表、在线查看攻击报文Payload,关联分析同一嫌疑者与受害者之间的多个告警事件,并提供攻击报文流量的检索与PCAP任务下载。 | |
ATT&CK攻击矩阵 | 结合ATT&CK进行告警事件的聚合,自动判断攻击发生的阶段与攻击结果,并支持按照不同的攻击技战术查看对应聚合告警详情内容。 | |
告警白名单 | 针对告警误报及信任资产添加白名单,支持按照多种流信息、协议字段及规则信息进行规则配置,并提供白名单规则的增删改查功能。 |
日志分析
协议日志分析是NDR产品基于双向流量,所能够提供的深度日志威胁分析基本能力。协议日志提供留存和投递能力,能够保障关键信息检索、分析和推送给第三方产品进行进一步关联,从而排查出关键攻击特征,方便用户使用。
功能名称 | 功能描述 | 相关文档 |
日志检索 | 支持在线进行HTTP、DNS、TLS等七层协议日志与五元组日志检索,可添加源IP、端口、协议、方向等多种筛选条件,日志详情中会进一步呈现原始日志详细字段与负载信息。 | |
日志过滤规则 | 提供协议日志按需过滤与留存,灵活定制核心业务流量信息,支持丰富的日志类型及字段过滤条件,可对日志过滤规则进行增删改查。 | |
日志投递 | 支持将所有协议日志自定义投递到日志服务SLS中,NDR具备秒级投递日志能力。 |