阿里云全流量威胁检测与响应NDR(Network Detection and Response),是一款公共云原生网络检测与响应产品,操作简单一键接入,无需部署,即开即用,可以快速检测网络流量中存在的威胁。
云原生NDR相比开源软件及传统商业化NDR产品优势
特性 | 阿里云NDR | 传统商业化NDR软件 | 开源NDR软件 |
部署速度 | 快速 分钟级 | 部署耗时 涉及底层资源开通 | 相对快速 配置复杂 |
成本效益 | 高 SaaS订阅,CAPEX低 | 中 CAPEX+OPEX高 | 中 额外机器成本,OPEX高 |
运营效率 | 高 原生化集成 | 中 单独采购,消耗IT资源 | 低 二次开发 |
维护更新 | 实时 分钟级 | 自动 依赖供应商 | 手动 依赖社区 |
灵活扩展 | 弹性 PAYU | 低 额外采购License | 手动 自行管理 |
无需部署、即时开通、一键接入
无需部署、一键接入:无需复杂的引流配置,支持一键接入模式,帮您节省大量运维时间,满足多种接入需求。
非侵入式旁路部署:云上全量资产自动同步,不受限网络架构环境,按需选择随用随开,全程旁路接入对业务零影响。
私网流量东西向检测:解决内部网络中威胁横向扩散与未授权敏感数据传输检测难题,帮助您快速定位失陷资产,提高内网安全。
攻击报文自动留存与检索
攻击报文流量自动留存:自动留存攻击事件及攻击发生前后流量,无需人工参与,攻击流量自动留存相比全流量留存仅有其万分之一大小,避免无用流量带来高昂的存储费用,兼顾留存需要与成本投入。
核心资产流量定制留存:支持自定义报文过滤规则,按需定制节约成本,满足内外部合规审计与异常复现举证,帮助安全团队加速事件响应效率。
流量报文高效检索:支持BPF高级检索组件、3亿条日志10秒内检索完毕、在线攻击Payload分析及PCAP生成,减少本地重复下载步骤,增强检索页面使用体验,查询结果响应效率直线上升。
全流量威胁检测与多引擎关联分析能力
双向异步全流量威胁检测:Request、Response双向全流量分析,增强RCE、SQLI、LFI攻击确认能力,提升高级威胁应对能力,补全请求回包、响应流量等检测盲点,极大降低威胁噪声,减轻运维团队误报排查负担。
多检测引擎关联分析:特征规则、威胁情报、文件沙箱、行为分析、暴露分析等多引擎检测,时间轴呈现告警,覆盖更广泛的威胁类型,快速识别异常和关联威胁事件,提高安全运营效率,加快安全团队的响应速度。
结合ATT&CK推导攻击意图:了解攻击者使用的技术与工具,识别入侵路径、确认攻击者身份与攻击目的,支撑安全团队快速识别系统漏洞,加强系统补丁更新,优化防火墙策略,关闭暴露服务,必要时举证追究攻击者法律责任。
全面资产服务梳理与场景化风险管理
场景化资产服务暴露面梳理:公网资产暴露常常伴随黑客利用与监管通报处罚,NDR可自动识别云资产上层业务服务,精准定位云上资产对外暴露盲区,自动发现每日存在的高危端口暴露与弱口令登录风险问题。
敏感数据暴露风险管理:NDR可基于流量检测资产服务中存在敏感数据暴露风险,识别风险资产区域,评估潜在的数据泄露问题,提升安全团队业务资产风险运营的效率。
协议日志检索、过滤与投递
协议日志检索:支持HTTP、DNS、TLS等七层协议日志与五元组日志检索,进一步提炼原始日志详细字段与负载信息,无需安装分析软件,可视化追溯异常流量行为,满足各类合规与监管要求。
协议日志过滤:协议日志按需过滤与留存,灵活定制核心业务流量信息,支持丰富的日志类型选择及五元组过滤条件,极大降低日志分析与存储成本,提升运维管理效率。
协议日志投递:具备秒级投递日志能力,自定义日志投递字段及存储天数。