本文介绍使用全流量威胁检测与响应NDR(Network Detection and Response)前的常见问题解决方案。
资产流量接入过程会对业务造成影响吗?
NDR是非侵入式的旁路部署模式,通过旁路镜像的方式采集流量,不会对业务产生延时、抖动等问题影响。
资产接入列表需要手动配置或学习吗?
资产列表是自动同步呈现的,不需要您手动进行配置。
资产流量接入后需要手动配置存储,再导入NDR里做分析吗?
资产流量直接集成在产品里面进行分析,不需要您额外配置,支持按需进行原始报文留存与PCAP包下载。
如果在上海、杭州或北京有多个Region资产,分析数据是统一还是分开进行?
目前NDR是按照Region部署,您在不同Region下的资产是分开进行威胁检测分析的。请通过控制台上方的地域信息切换至您所需查看的地域,以接入该地域的资产镜像流量进行威胁分析。
资产流量采集的时间是指采集操作开始的时间,还是流量发生的时间?
资产流量采集的时间指的是采集操作开始的时刻。NDR提供多种采集选项,包括即时采集、未来特定时刻的采集以及定期循环采集,您可以根据需求灵活定义采集时间。
原始报文只能下载到本地打开吗?
目前原始报文需下载到本地查看,而威胁分析则提供在线查看报文Payload,能够直接展示命中的字段。
Payload中有响应的数据吗?
NDR是双向报文检测,请求和响应的数据都包含。
命中规则的部分能否看到?
在告警卡片和告警详情中会有命中规则的关键信息展示,告警列表Payload上规则命中部分也会高亮展示。
目前产品上是否有对告警作攻击成功或尝试攻击的标注?
目前告警分析中有攻击结果字段,您可根据攻击结果查看资产是否已经失陷,通过对攻击原始流量进行上下文关联分析,NDR能够确认攻击是否成功。
协议日志过滤和报文留存过滤,逻辑上是一样的吗?
不一样,日志过滤是基于协议维度的过滤,报文留存主要基于五元组进行过滤。
NDR报文检索效率高不高,担心数据留存量较大时检索体验会非常慢?
NDR支持3亿条流在10秒内检索完毕,同时会对接口实时监控,如果发现超时会进行优化。
如果我们想自定义检测的字段,NDR的引擎是否支持?
因为云上为集群化部署,当前版本NDR检测引擎都是统一的,暂不支持用户自定义,如有特殊需求可以联系售前人员进行反馈。
协议日志如果不投递到SLS,会存储到哪个平台,是否有容量限制?
如果不进行日志投递,可以存储到NDR本地平台,在日志分析模块可以进行日志筛选与检索,正式售卖后会产生部分容量的成本。
NDR产品目前的计费方式是怎样的?
NDR产品具体计费情况,请参见产品计费。
文档内容是否对您有帮助?