全流量威胁检测与响应NDR(Network Detection and Response)可针对攻击报文流量与核心资产流量进行全流量报文留存,支持留存攻击事件、攻击上下文等多种场景化留存方式,同时支持自定义配置报文留存过滤条件,满足定制化的原始流量留存需求。
前提条件
资产流量已接入至NDR。具体操作,请参见接入管理。
未接入流量或停止流量采集会影响NDR针对该资产报文留存。
报文留存检索
NDR具备全流量报文自动留存的优势,考虑到无限制留存所有原始报文,会对您造成极大的成本消耗。NDR为您提供自动和手动两种报文留存方式,以便更加高效合理地留存需要继续深入分析的报文数据。
自动留存方式:基于威胁告警产生的全流量报文自动留存。
手动留存方式:基于您自定义的留存过滤规则产生的全流量报文留存。
在左侧导航栏,选择。
在报文留存检索页签,查看报文留存的IP TOP10 、IP协议、端口TOP10排行情况。
在自动留存和手动留存页签,查看不同留存方式下报文数分布统计图以及报文留存详细信息列表。
单击操作列生成PCAP,会自动为您创建一个PCAP生成任务。
您可以在PCAP生成任务页签,查看创建的PCAP的任务以及下载PCAP数据。具体操作,请参见PCAP生成任务管理。
PCAP生成任务管理
在左侧导航栏,选择。
在PCAP生成任务页签,查看已创建PCAP生成的任务。
单击操作列下载,将数据包下载到本地进一步分析数据。
试用期间我们提供最大报文留存容量为10 TB。超过阈值的报文按照最早时间进行覆盖,PCAP下载最大报文数为前5000个报文,PCAP生成任务最大条目数为99个。PCAP任务保留时间30天,超过30天的任务将会被丢弃。
配置报文留存过滤规则
根据业务中重点关注的核心资产,您可以对报文留存设置过滤规则。
在左侧导航栏,选择。
在报文留存过滤规则页签,单击新增规则。
在报文留存过滤规则面板,配置相关字段。
白名单:匹配规则的流量将留存。黑名单:匹配规则的流量不留存,剩余流量留存。
配置完成后,单击确定。
配置后的规则即时生效。
您可以在报文留存过滤规则页签列表右侧区域,单击全局配置,可以影响手动留存报文的存储生命周期,从而为您节约成本。
如果您有其他需求,可以在报文留存过滤规则页签,对已增加的规则进行检索,编辑、停止与删除操作。
单击检索,会跳转到页面,查看该规则下的报文留存详细信息。