全流量威胁检测与响应NDR(Network Detection and Response)提供威胁分析能力,包含告警分析、ATT&CK攻击矩阵以及告警白名单功能。本文介绍如何进行威胁分析。
威胁分析概览
威胁分析是全流量威胁检测与响应产品的核心能力,基于阿里云自研的入侵检测、威胁情报、行为分析及安全沙箱等检测引擎,可为企业用户提供全流量的攻击检测与威胁分析能力,并提供告警数据的统计、聚合分析、关联分析能力。
同时NDR产品还可以对网络流量中传输的文件进行还原和风险分析,针对可疑风险文件进行告警并提供样本数据供用户分析。
告警分析
在左侧导航栏,选择。
在告警分析页签,查看当前的失陷数量与告警总数,了解每种告警的发现时间与嫌疑者、受害者的访问关系。
您可以按照多个筛选条件查询指定范围的告警分析数据,并通过告警名称、嫌疑者IP、受害者IP进行分组聚合统计,嫌疑者IP与受害者IP之间存在级联关系。通过特定的嫌疑者IP,可以关联到相应的受害者IP,反之亦然。选择某一嫌疑者IP或受害者IP时,下方区域的告警数据信息将实时更新,单击受害者IP地址,可在对话框查看具体的资产详情。
勾选只显示重保告警,可快速筛选出重保IP相关的告警。
告警详细信息
告警详情包含告警基本信息、告警详细日志、相关报文列表、及关联告警信息及ATT&CK技术信息五个模块为您多维度深入剖析当前告警事件,帮助您快速研判和处置告警事件。
在告警分析页签,单击加入白名单,NDR会为您预填该条告警规则。单击具体告警的查看详情,查看该告警的详细信息。
基本信息
在基本信息区域,显示该告警可能相关的CVE信息,单击查看CVE信息,将访问阿里云漏洞库以获取该漏洞的披露与分析信息,并了解该漏洞的影响范围及相应的升级解决方案。同时您也可在该区域查看攻击时间、告警次数、告警时间及告警名称等详细信息。
相关告警列表
在相关告警列表区域,查看告警信息。单击原始数据列中的payload,对告警Payload关键信息进行深入分析,其中命中告警规则的部分会高亮显示。单击Payload右上方提供的解码工具,将原始流量中的负载部分通过不同方式进行解码,NDR解码工具支持按照ASCII/UTF-8/十六进制等多种方式进行解码。
单击列表操作的报文检索,跳转至报文留存页面,根据流量五元组信息检索与告警相关的原始报文,并可下载相关报文的PCAP文件做进一步分析。
相关协议日志
在相关协议日志区域,查看日志概览。单击查看协议日志详情,跳转到协议日志分析中进一步溯源告警问题。
相关报文
在相关报文区域,单击报文检索详情或生成PCAP,按照源IP地址与目的IP地址二元组跳转到页面,检索该告警相关的原始报文及下载原始报文的PCAP文件。
相关告警
在相关告警区域,按照时间轴分析该告警发生前后同一嫌疑者IP与受害者IP命中的多个告警,可以研究特定告警是否与其他事件在时间上的联系,帮助理解攻击者的行为模式。点击相关告警卡片中的告警名称,即可在新页面中查看详细的告警信息。
ATT&CK技术信息
在ATT&CK技术信息区域,可查看该类攻击基础的详细分析内容。
ATT&CK攻击矩阵
在ATT&CK攻击矩阵页签,NDR还提供基于ATT&CK标签分析告警的能力。
在该页签中,我们将为您统计不同的攻击技术告警,高亮显示存在告警的项,并且默认透出在上面,方便用户查看。单击告警项的数字,可以通过ATT&CK技术信息气泡框查看具体信息。如需查看具体的告警信息,请单击点击查看具体告警信息,将跳转至告警分析页签以获取详细告警信息。
配置告警白名单
NDR威胁分析提供告警白名单功能,告警白名单模块允许对特定类型的告警进行标记,以确认这些告警为安全,或已完成必要的确认程序,不需要重复处理。通过建立白名单有效的管理告警的优先级。
云安全中心相关扫描器的IP地址已默认设置为屏蔽,且不产生告警。
在左侧导航栏,选择。
在告警白名单页签,单击创建规则。
在告警规则过滤面板,配置相关字段。
单击确认。
试用期间告警日志支持最大保留时间为90天,超过阈值的告警日志按照最早时间覆盖。