什么是全流量威胁检测与响应

全流量威胁检测与响应(Network Detection and Response,简称NDR),是一款公共云云原生网络检测与响应产品,通过旁路镜像网络流量,使用流量过滤、全流量留存、关联溯源、威胁分析等能力,可以快速检测和响应高级网络威胁,补齐云上环境业务资产流量安全的最后一道防线。

全流量威胁检测与响应NDR定位全景图

image

功能概述

资产管理与风险管理

自动识别云环境资产上层业务服务,支持Web服务、数据库服务、邮件服务、文件管理服务、远程控制服务等丰富的服务类别及服务识别,基于网络全流量优势精准定位云上资产对外暴露盲区,及时发现每日存在高危端口暴露、弱口令登录的资产,针对网络中的敏感数据AK(AccessKey)、SK(Secret Access Key)、明文传输、弱口令、个人身份信息等暴露问题进行场景化专项治理。

攻击报文自动留存

NDR会自动留存攻击告警事件及攻击发生期间的原始流量,没有产生风险和告警的流量则不会留存,无需人工手动操作,帮助您最大化节约人力与存储成本,具有极高的性价比,同时提供在线有效载荷(Payload)分析解读能力,用于运维人员后续溯源分析与攻击研判,方便安全技术人员及时发现内网中存在的攻击问题,更加适用于重保、强对抗等特殊场景下,针对APT等高级威胁的运维分析,而传统防护设备不具备攻击报文自动留存的能力,安全服务团队在事后分析时也会感到束手无策。

双向异步全流量威胁检测

NDR会针对双向全流量进行流量镜像,从而进行异步威胁检测。

通过双向检测技术,加强攻击确认和降低误报。有些恶意行为只是扫描探测,通过对响应报文的二次检测,可确认攻击是否成功。某些攻击请求的攻击特征会分布在多个报文中,单个报文的攻击特征非常弱,如果只检测单个报文很难发现其恶意行为,需要将多个报文中的特征进行关联检测,而双向全流量检测可以有效检出这类恶意威胁,弥补传统安全设备单向流量的检测盲点,极大增强攻击确认能力,避免漏报造成安全隐患。

多检测引擎关联分析

NDR支持特征规则、威胁情报、文件沙箱、行为分析、暴露分析等多种检测分析引擎,并可以将各个检测模块的结果进行关联分析。

例如当某一流量中的恶意行为特征命中IDS规则(Intrusion Detection System Rules)时,NDR还会继续利用威胁情报、行为分析、文件还原等技术,对该流量进行检测,关联举证极大增加了告警的准确性,即使一些隐蔽性较强的恶意行为绕过静态规则检测,或仅命中威胁程度较弱的规则,也会被其他检测引擎发现,而传统防护设备不具备多维度检测能力,一旦规则未命中或举证力度不足则会放行,容易被运维人员所忽略,从而造成更大的安全风险。

协议日志检索过滤与投递

NDR可以实现对防护资产协议日志的实时采集、查询、分析、加工和消费等一站式服务,具备秒级投递日志能力,帮助您深入监控和保护网络资产安全,满足等保合规及流量审计要求。

免费试用

自2024年9月20日起,阿里云全流量威胁检测与响应处于公测阶段,针对公共云客户,公测期间提供免费试用机会,您可接入资产流量进行深度检测,助力云上资产暴露面与场景化风险管理,同时提供云上全流量的威胁溯源与取证能力。如您对此感兴趣,请扫描下方二维码或点击申请链接参与试用,您也可以联系售前安全解决方案工程师快速开启该服务。公测结束时间以官网通知为准,请您留意官网公告变化。

说明

公测期间,产品团队将对实际用户接入流量进行合理控制,以确保不影响用户体验。最终解释权归阿里云安全产品团队所有。

立即申请: 全流量威胁检测与响应公测申请表单

二维码:

image