风险管理

全流量威胁检测与响应NDR(Network Detection and Response)风险管理对接入的网络流量进行检测,发现存在的端口暴露、弱口令登录及敏感数据泄露风险,用于帮企业用户评估潜在的数据泄露问题,提升安全团队业务资产风险运营的效率。

前提条件

资产流量已接入NDR。具体操作,请参见接入管理

未接入流量或停止流量采集会影响NDR针对该资产风险的识别与检测。

统计已接入资产的风险情况

NDR从端口暴露、敏感数据暴露、弱口令风险三个维度汇总显示了资产的风险情况。您可以根据该数据快速了解资产风险情况,并根据自身业务的优先级设置相关的风险修复方案。

image

资产端口暴露风险

NDR自动检测接入资产暴漏在公网的端口及对应的服务信息。其中高危端口指内网业务端口对外暴露且该内网业务端口可以被公网任意访问成功的情况,非常容易被外部攻击者入侵利用,具备极大的风险性,建议您优先处理标注为高危的端口暴露风险。

  1. 登录全流量威胁检测与响应控制台

  2. 在左侧导航栏,选择资产中心 > 风险管理

  3. 端口暴露页签,查看已接入资产对外暴露具体实例ID/名称IP地址端口四层协议服务服务类型流量统计趋势以及风险识别时间等信息,同时单击资产列表右上方的image图标,支持任务下载功能。

    支持按照服务类型端口风险等级四层协议实例ID实例名称IP地址端口等条件筛选数据。

    image

    • 查看资产详情

      在端口暴露列表,单击IP地址列的地址,查看指定IP的资产详情,包括资产名称资产类型公网IP地址操作系统服务类型与服务等信息。

      资产详情对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析报文留存。单击查看资产详情,可在资产管理页面,查看该IP地址的具体信息,具体详情,请参见资产管理

    • 查看近12小时的流量变化趋势

      在端口暴露列表,单击流量统计趋势列的image图标,查看指定资产的流量趋势。通过流量趋势可以判断内部业务端口在出入方向的流量访问情况。

      可以通过风险识别时间了解该端口首次对外暴露及最近是否仍存在对外暴露情况,从而判断该端口暴露风险问题的治理效果。

      image

    • 查看资产暴露端口相关的协议日志

      在端口暴露列表,单击操作列的查看日志,了解该端口被外部访问的具体情况,帮助您进一步溯源端口暴露问题。

敏感数据暴露风险

NDR会自动检测已接入资产存在的明文AK(AccessKey)、SK(Secret Access Key)、泄露的AK/SK、身份证号、手机号、银行卡号等敏感数据暴露风险。

说明

敏感数据的分类与等级定义和数据安全中心保持一致。具体信息,请参见数据安全中心数据

  1. 登录全流量威胁检测与响应控制台

  2. 在左侧导航栏,选择资产中心 > 风险管理

  3. 敏感数据暴露页签,查看已接入资产暴露的实例ID/名称IP地址端口四层协议服务类型方向风险等级敏感信息类型敏感信息数量风险识别时间等信息。同时单击资产列表右上方的image图标,支持任务下载功能。

    支持按照服务类型四层协议方向敏感数据类型实例ID实例名称IP地址端口等条件筛选数据。

1e320182f207da9e6aabc09abe08e2ed

说明

数据安全等级的定义与阿里云数据安全中心产品保持一致。

通过资产暴露信息,协助您评估每个资产中各类敏感数据的暴露持续时间及其访问频率。

  • 查看资产详情

    1. 在敏感数据列表,单击IP地址列的地址,查看指定IP的资产详情,包括资产名称资产类型公网IP地址操作系统服务类型与服务等信息。

    2. 资产详情对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析报文留存。单击查看资产详情,可在资产管理页面,查看该IP地址的具体信息,具体详情,请参见资产管理

  • 查看资产敏感数据暴露详情

    1. 在敏感数据暴露列表,单击操作详情,在详情面板,查看目标资产的风险详情信息,其中包含所有访问该资产敏感数据的全部会话列表。

    2. 在敏感信息风险详情列表,单击风险识别时间敏感信息数量image图标,对数据进行排序,列表默认优先以敏感信息数量进行排序。单击敏感信息数量列的具体数字可以看到实际的敏感数据信息。

    3. 定位到目标敏感信息,单击操作查看Payload,可查看该条会话的详细Payload信息。

  • 查看资产敏感数据相关的协议日志。

    在敏感信息风险详情列表,单击操作列的查看日志,了解该资产的敏感数据被外部访问的具体情况。

资产存在弱口令风险

NDR会基于流量发现已成功登录的弱口令风险问题,帮助您治理系统中存在的弱口令风险。

  1. 登录全流量威胁检测与响应控制台

  2. 在左侧导航栏,选择资产中心 > 风险管理

  3. 弱口令风险页签,查看已接入资产存在弱口令风险的实例ID名称IP地址端口四层协议服务类型账号弱口令信息登录次数风险识别时间等信息。同时单击资产列表右上方的image图标,支持任务下载功能。

    支持按照服务类型四层协议实例ID实例名称IP地址端口账号等条件筛选数据。

    通过弱口令风险信息,判断各个资产存在弱口令成功登录行为的持续时间与数量。image

    • 查看资产详情

      1. 在弱口令风险列表,单击IP地址列的地址,可查看指定IP的资产详情,包括资产名称资产类型公网IP地址操作系统服务类型与服务等信息。

      2. 资产详情对话框下方区域,单击威胁分析协议日志报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析日志分析报文留存。单击查看资产详情,可在资产管理页面,查看该IP地址的具体信息,具体详情,请参见资产管理

    • 查看弱口令风险详情

      1. 在弱口令风险列表,单击操作详情,在详情面板,查看目标资产的弱口令风险详情信息。

      2. 在弱口令风险详情列表,单击敏感信息数量列的具体数字可以看到实际的敏感数据信息。

      3. 定位到目标敏感信息,单击操作查看Payload,可查看该条会话的详细Payload信息。

    • 查看资产敏感数据被访问的协议日志。

      在敏感信息风险详情列表,单击操作列的查看日志,了解该资产的敏感数据被外部访问的具体情况。

导出风险列表

  1. 风险管理页面,单击风险列表右上方的image图标,会下发当前页签的导出任务到页面右上方的下载任务

  2. 单击下载任务,在任务列表面板下拉框中选择下载的风险类型,查看导出任务名任务状态创建时间过期时间文件大小等信息。

  3. 在对应的操作列,单击下载,将当前筛选条件下的资产列表信息以CSV文件下载到本地。同时支持删除下载任务。