全流量威胁检测与响应NDR(Network Detection and Response)可针对攻击报文流量与核心资产流量进行全流量报文留存,支持留存攻击事件、攻击上下文等多种场景化留存方式,同时支持自定义配置报文留存过滤条件,满足定制化的原始流量留存需求。
前提条件
协议解析回溯
支持HTTP/DNS/TLS等各类应用层协议识别与深度解析,进一步提炼协议详细字段并关联双向全流量负载信息,满足溯源分析需求。
在左侧导航栏,选择。
在协议解析回溯页签中,支持按照多种类型查看与解析日志。您可以在左侧区域选择具体条件筛选日志。
单击操作列详情,在详情面板中查看该条流量中所包含的详细数据。
攻击报文回溯
自动留存攻击事件及攻击发生前后流量,无需人工参与,避免无用流量带来高昂的存储费用,兼顾留存需要与成本投入。帮助您解决攻击流量时候抓包复现难的问题。
在左侧导航栏,选择。
在攻击报文回溯页签中查看攻击事件前后的流量报文留存的IP TOP10 、IP协议、端口TOP10排行情况。
生成PCAP
单击操作列生成PCAP,会自动为您创建一个PCAP生成任务,也可以单击报文分布图右侧的生成PCAP生成所有报文,或者选择多条报文数据单击表格左下方的批量生成PCAP进行批量数据操作。
您可以在PCAP生成任务页签,查看创建的PCAP的任务以及下载PCAP数据。具体操作,请参见PCAP生成任务管理。
留存配置
单击列表右上方的留存配置。
在留存配置对话框中根据实际业务场景选择攻击报文留存方式,并单击确定。
五元组留存:按照攻击事件留存攻击报文。
二元组留存:当NDR检测到嫌疑者IP对某个受害者IP进行攻击时,还需要进一步分析本次攻击前后嫌疑者IP对该受害者IP的其他攻击报文。
一元组留存:当NDR检测到嫌疑者IP对某个受害者IP进行攻击时,还需要进一步分析本次攻击前后嫌疑者IP对其他受害者IP进行攻击的报文。
容量升级
如果您的报文存储容量不足,可以单击页面右上角的升级容量。
在云防火墙变配页面购买全流量存储容量。
全流量留存回溯
支持自定义配置全流量报文过滤规则,按需定制资产全流量存储,节约成本并满足关键业务原始流量复现分析。
报文留存检索
NDR具备全流量报文自动留存的优势,考虑到无限制留存所有原始报文,会对您造成极大的成本消耗。NDR为您提供自动和手动两种报文留存方式,以便更加高效合理地留存需要继续深入分析的报文数据。
自动留存方式:基于威胁告警产生的全流量报文自动留存。
手动留存方式:基于您自定义的留存过滤规则产生的全流量报文留存。
在左侧导航栏,选择。
在页签,查看报文留存的IP TOP10 、IP协议、端口TOP10排行情况。
单击操作列生成PCAP,会自动为您创建一个PCAP生成任务,也可以单击报文分布图右侧的生成PCAP生成所有报文,或者选择多条报文数据单击表格左下方的批量生成PCAP进行批量数据操作。
您可以在PCAP生成任务页签,查看创建的PCAP的任务以及下载PCAP数据。具体操作,请参见PCAP生成任务管理。
配置报文留存过滤规则
根据业务中重点关注的核心资产,您可以对报文留存设置过滤规则。
在左侧导航栏,选择。
在报文留存过滤规则页签,单击新增规则。
在报文留存过滤规则面板,配置相关字段。
过滤逻辑:
白名单:匹配规则的流量将留存。黑名单:匹配规则的流量不留存,剩余流量留存。
五元组:配置源IP和目的IP(0.0.0.0/0表示无限制),单击
选择单向或者双向过滤规则。目的端口:配置单个端口或端口范围(例如80、100-200),根据左侧下拉列表内容配置端口过滤规则。
四层协议:配置协议过滤规则,默认选择所有协议,根据左侧下拉列表内容配置协议过滤规则。
留存最大字节数:默认无字节数限制,您也可以选择自定义配置单条流字节数,默认1MB,最小1KB,最大500MB。
留存时间:默认不限制,也可选择固定时长,单次时间段,重复周期等。
配置完成后,单击确定。
配置后的规则即时生效。
您可以在报文留存过滤规则页签列表右侧区域,单击全局配置,可以影响手动留存报文的存储生命周期,从而为您节约成本。
如果您有其他需求,可以在报文留存过滤规则页签,对已增加的规则进行检索,编辑、停止与删除操作。
单击检索,会跳转到页面,查看该规则下的报文留存详细信息。
PCAP生成任务管理
在左侧导航栏,选择。
在PCAP生成任务页签,查看已创建PCAP生成的任务。
单击操作列下载,将数据包下载到本地进一步分析数据。
PCAP下载最大报文数为前5000个报文,PCAP生成任务最大条目数为99个。PCAP任务保留时间30天,超过30天的任务将会被丢弃。