Agentic NDR可针对攻击报文流量与核心资产流量进行全流量报文留存,支持留存攻击事件、攻击上下文等多种场景化留存方式,同时支持自定义配置报文留存过滤条件,满足定制化的原始流量留存需求。
前提条件
协议会话
支持HTTP/DNS/TLS等各类应用层协议识别与深度解析,进一步提炼协议详细字段并关联双向全流量负载信息,满足溯源分析需求。
在左侧导航栏,选择。
在协议会话页签中,支持按照多种类型查看与解析日志。您可以在左侧区域选择具体条件筛选日志。
单击操作列详情,在详情面板中查看该条流量中所包含的详细数据。
攻击取证
自动留存攻击事件及攻击发生前后流量,无需人工参与,避免无用流量带来高昂的存储费用,兼顾留存需要与成本投入。帮助您解决攻击流量时候抓包复现难的问题。
在左侧导航栏,选择。
在攻击取证页签中查看攻击事件前后的流量报文留存的IP TOP10 、IP协议、端口排行情况。
留存配置:
单击列表右上方的留存配置。
在留存配置对话框中根据实际业务场景选择攻击报文留存方式,并单击确定。
五元组留存:按照攻击事件留存攻击报文。
二元组留存:当Agentic NDR检测到嫌疑者IP对某个受害者IP进行攻击时,还需要进一步分析本次攻击前后嫌疑者IP对该受害者IP的其他攻击报文。
一元组留存:当Agentic NDR检测到嫌疑者IP对某个受害者IP进行攻击时,还需要进一步分析本次攻击前后嫌疑者IP对其他受害者IP进行攻击的报文。
报文分析:定位至目标报文流,单击其操作列的报文分析,也可以单击报文分布图右侧的报文分析,进入在线解析PCAP页面,具体信息,请参见报文分析管理。
生成PCAP:
定位至目标报文流,单击其操作列的生成PCAP,将自动创建一个PCAP生成任务,也可以单击报文分布图右侧的生成PCAP生成所有报文,或者选择多条报文数据单击表格左下方的批量生成PCAP进行批量数据操作。
可以在PCAP生成任务页签,查看创建的PCAP的任务以及下载PCAP数据。具体操作,请参见PCAP生成任务管理。
全流量留存回溯
支持自定义配置全流量报文过滤规则,按需定制资产全流量存储,节约成本并满足关键业务原始流量复现分析。
报文留存检索
Agentic NDR具备全流量报文自动留存的优势,考虑到无限制留存所有原始报文,会对您造成极大的成本消耗。Agentic NDR为您提供自动和手动两种报文留存方式,以便更加高效合理地留存需要继续深入分析的报文数据。
自动留存方式:基于威胁告警产生的全流量报文自动留存。
手动留存方式:基于您自定义的留存过滤规则产生的全流量报文留存。
在左侧导航栏,选择调查。
在页签,查看报文留存的IP TOP10 、IP协议、端口排行情况。
报文分析:定位至目标报文流,单击其操作列的报文分析,也可以单击报文分布图右侧的报文分析,进入在线解析PCAP页面,具体信息,请参见报文分析管理。
生成PCAP:定位至目标报文流,单击操作列生成PCAP,将自动创建一个PCAP生成任务,也可以单击报文分布图右侧的生成PCAP生成所有报文,或者选择多条报文数据单击表格左下方的批量生成PCAP进行批量数据操作。
可以在PCAP生成任务页签,查看创建的PCAP的任务以及下载PCAP数据。具体操作,请参见PCAP生成任务管理。
配置报文留存过滤规则
根据业务中重点关注的核心资产,您可以对报文留存设置过滤规则。
在左侧导航栏,选择调查。
在页签,单击新增规则。
在报文留存过滤规则面板,配置相关字段。
过滤逻辑:
白名单:匹配规则的流量将留存。黑名单:匹配规则的流量不留存,剩余流量留存。
五元组:配置源IP和目的IP(0.0.0.0/0表示无限制),单击
选择单向或者双向过滤规则。目的端口:配置单个端口或端口范围(例如80、100-200),根据左侧下拉列表内容配置端口过滤规则。
四层协议:配置协议过滤规则,默认选择所有协议,根据左侧下拉列表内容配置协议过滤规则。
留存最大字节数:默认无字节数限制,您也可以选择自定义配置单条流字节数,默认1MB,最小1KB,最大500MB。
留存时间:默认不限制,也可选择固定时长,单次时间段,重复周期等。
配置完成后,单击确认。
配置后的规则即时生效。
如果您有其他需求,可以在抓包策略页签,对已增加的规则进行检索,复制、停止与删除操作。
单击检索,会跳转到页面,查看该规则下的报文留存详细信息。
PCAP生成任务管理
在左侧导航栏,选择调查。
在PCAP任务页签,查看已创建PCAP生成的任务。
单击操作列下载,将数据包下载到本地进一步分析数据。
PCAP下载最大报文数为前5000个报文,PCAP生成任务最大条目数为99个。PCAP任务保留时间30天,超过30天的任务将会被丢弃。
报文分析管理
进入在线解析PCAP页面,可以进行如下操作:
查看数据包列表:页面顶部区域以表格形式显示指定时间范围内的数据包列表。每行对应一帧,包含以下内容:序号、数据包捕获的时间、源地址、目标地址、协议、长度与协议关键字段摘要信息。
系统根据下表所列规则对数据包进行颜色高亮,优先级从高到低依次排列。若单个数据包匹配多个规则(例如同时为 HTTP 流量且包含 TCP RST 标志),则仅应用最高优先级对应的颜色。
颜色样式
表示的流量类型
典型场景说明
黑底红字
TCP 校验错误 / 坏包
网络丢包、链路异常
黄底黑字
ARP 报文
地址解析、局域网扫描
粉底黑字
ICMP 报文
Ping、Traceroute、网络不可达
蓝底白字
TCP RST(连接重置)
异常断连、防火墙拦截
绿底黑字
HTTP 流量
Web 请求/响应
灰底黑字
TCP SYN 或 FIN
正常三次握手或四次挥手
紫底黑字
普通 TCP 流量
应用层数据传输(非 HTTP)
浅蓝底黑字
UDP 流量
DNS、NTP、视频流等
在上方搜索框中,可以通过输入过滤条件筛选数据包,支持标准显示过滤器语法(如
http && ip.dst == 1.2.3.4)说明报文生成耗时:当报文数量较大时,生成过程可能较长。若等待超过10秒仍未完成,请关闭并重新打开本页面。
报文数限制:报文解析支持的最大报文数为前5000个报文。
近期时间范围查询限制:若查询时间范围的结束时间距当前时间不足5分钟,部分报文可能尚未完成采集,系统将无法解析任何数据,请耐心等待。
会话完整性提示:即使已返回部分结果,若对应会话仍在进行中(例如长连接或大文件传输),后续报文可能尚未到达。如需获取完整会话数据,请等待一段时间后刷新页面。
查看数据包详情:在上方数据包列表中单击任一行数据包,下方将同步显示其详细信息,包括数据包详情与十六进制视图。
数据包详情(协议解析树):按封装层级自上而下展示协议结构,依次为帧(Frame)→ 以太网(Ethernet)→ IP → TCP/UDP → 应用层协议(如 HTTP、TLS)。每层列出该协议的所有字段及其值。
协议与十六进制字节联动:单击左侧协议解析树中的任意字段,右侧十六进制视图中对应字节将高亮显示;单击右侧十六进制视图中的任意字节,左侧解析树中对应的协议字段将高亮。 有助于直观理解协议字段在原始报文中的位置及编码方式。
追踪通信流:对于 TCP、UDP、HTTP 或 TLS 类型的会话,可点击数据包详情区域右侧的追踪流。弹出的页面展示该通信流中双方交换的载荷数据,并自动在数据包列表中应用对应的流过滤器(例如
tcp.stream eq 0),便于回溯该流的所有相关数据包。