流量溯源设置

背景信息

在公共云典型架构中，“多对一”的网络关系普遍存在：数十甚至上百台 ECS 实例可能通过同一个 NAT 网关访问公网；对外业务也可能由多台 ECS 实例通过 ALB/CLB 提供，互联网用户看到的目的地址仅为 SLB 公网IP。在这种架构下，仅靠传统旁路镜像或公网流量日志，NDR 只能获取 NAT/SLB 的公网 IP，无法判断哪台 ECS 实例在尝试连接已知 C2 域名、哪个容器对外触发了暴力破解、攻击者横移到了内网哪台资产，以及业务侧投诉的可疑访问究竟由哪条业务链路触发。

功能优势

流量溯源功能在不改变客户业务路径的前提下，旁路采集 NAT、ALB/CLB 等共享出口的会话级关联关系，自动将公网侧五元组与私网侧真实资产做精准映射，使 NDR 告警可以“直达资产、直达进程”。它是 Agentic NDR 攻击事件聚合、登录行为分析、一键封禁等高级能力的基础底座。

解决的核心问题

• 资产盲区问题：将 NDR 检出的告警从“公网 IP 维度”升级到“云上资产维度”，使每条事件都能直接绑定到具体的 ECS 或容器实例。

• 溯源效率问题：传统排查需要客户在 NAT/SLB 日志中手工检索时间戳与五元组才能定位资产，流量溯源功能可自动化完成该过程，有效提高溯源效率。

• 事件聚合问题：跨多 NAT、跨 VPC 的同一攻击链路常被切割成多条孤立告警，溯源后可在事件中心进行正确的归并与因果排序。

• 多账号/多 VPC 场景问题：在跨账号、跨地域的资产场景下，仍能通过 NDR 控制台一站式获取统一的资产视角。

适用范围

• 支持的资产类型：仅支持为公网 NAT 网关、应用型负载均衡（ALB）与传统型负载均衡（CLB）三类公网资产配置流量溯源。

• 前置配置要求：在开启溯源功能前，需确保已将对应的公网资产接入 Agentic NDR。

操作步骤

1. 开启对应云产品的日志功能：

   • 公网NAT网关：前往NAT网关控制台，进入实例详情页，在监控和日志 > 会话日志页面启用会话日志，具体操作，请参见配置会话日志。

   • ALB与CLB：前往负载均衡控制台，开启对应实例的访问日志功能，具体操作，请参见ALB访问日志与CLB访问日志。

     说明

     • 日志类型限制：对于ALB与CLB，仅支持记录应用层请求，网络层流量无法通过访问日志溯源。

     • 计费提示：开启以上日志功能将产生相关日志费用，由日志服务产品收取。

     • 溯源时效说明：以上日志在捕获与投递过程中存在一定延迟。为保障安全响应的实时性，NDR 最多容忍 90 秒的溯源等待时间。若相关会话日志未能在 90 秒内投递至 SLS，NDR 将终止本次溯源操作。该机制仅表示未能成功关联私网 IP，原始的流量检测与告警数据仍会完整保存，不会发生任何数据丢失。

2. 配置NDR流量溯源：返回Agentic NDR控制台，前往接入 > 公网流量接入页签，单击页面右上角流量溯源设置，然后在弹出的页面开启对应资产的溯源开关。

   • 攻击告警溯源：启用后，系统将在检测 > 事件 与检测 > 告警页面展示私网溯源的结果，以替换原有的 NAT 网关或负载均衡公网 IP 地址。

   • 敏感数据溯源：启用后，系统将在风险 > 敏感数据 页面展示私网溯源的结果，以替换原有的 NAT 网关或负载均衡公网 IP 地址。

常见问题