全流量威胁检测与响应NDR(Network Detection and Response)提供日志分析能力。
日志检索
阿里云全流量威胁检测与响应NDR(Network Detection and Response)基于双向流量提供深度日志威胁分析能力,协议日志提供留存和投递能力,能够保障关键信息检索、分析和推送给第三方产品进行进一步关联,进而帮助用户排查出关键攻击特征。
在公测期间,NDR仅保存最近15天的协议日志。如需保存更长时间的日志,请使用协议日志投递功能。
在左侧导航栏,选择。
在日志检索页签,查看七层协议日志或者五元组日志信息。
单击列表右上方的自定义列表字段,选择需要在列表中展示的字段。
在日志列表,单击操作列详情,查看会话详细信息。
日志过滤规则
支持自定义过滤的日志类型具有两种,分别是四层协议日志和七层协议日志:
四层协议日志:TCP五元组日志/UDP五元组日志/ICMP协议日志。
七层协议日志:DNS协议日志/HTTP协议日志/TLS协议日志/其他协议日志。
公测期间最大支持配置20条日志过滤规则,超过阈值后不支持继续新增规则,且每条规则必须基于流信息中的源/目的IP地址进行配置。
不支持源IP或者目的IP设置为0.0.0.0/0,源端口或者目的端口设置为0~65535。
在左侧导航栏,选择。
在日志过滤规则页签,单击创建规则。
在协议日志规则过滤面板,配置相关字段。
白名单:匹配规则的协议日志将留存。黑名单:匹配规则的协议日志将丢弃。
单击确认。
配置后的规则即时生效。
开通日志投递能力
NDR联合日志服务推出了日志投递和分析功能,可以实现对防护资产协议日志的实时采集、查询、分析、加工和消费等一站式服务,具备秒级投递日志能力,帮助您深入监控和保护网络资产安全,满足等保合规及流量审计要求。
NDR默认在所在Region开启SLS,创建Project和Logstore,每个Project下创建两个Logstore:
五元组日志(含TCP、UDP),命名格式ndr_log_5tuple,默认存储180天,可修改存储天数。
七层日志(含HTTP、TLS、DNS、ICMP、其他协议),命名格式ndr_log_protocol,默认存储30天,可修改存储天数。
您也可以按需选择五元组日志和七层日志的存储天数,单击立即开通后即可开始进行日志投递。
开启日志投递能力后,NDR不会收取任何费用,所有日志费用由SLS计费和出账。如果您将来关闭或释放NDR实例,日志服务不会自动释放,您可在日志服务SLS控制台手动单独关闭或释放。
在日志投递页签,可以配置五元组日志、七层日志的存储详情。
单击日志投递字段,针对不同协议日志字段自定义配置。日志投递存储天数可进行修改,最小值为7天,最大值为730天。
协议日志支持类型
协议日志支持类型主要分为四层协议日志和七层协议日志。
日志投递字段主要支持的字段类型有五元组日志、ICMP日志、HTTP日志、DNS日志、TLS日志、其他日志。您可以单击日志投递字段,选择所需的字段,并且协议日志支持的字段类型可以独立选择开启或关闭投递。具体支持的字段类型如下图所示:
