全流量威胁检测与响应NDR(Network Detection and Response)风险管理对接入的网络流量进行检测,发现存在的端口暴露、弱口令登录及敏感数据泄露风险,用于帮企业用户评估潜在的数据泄露问题,提升安全团队业务资产风险运营的效率。
前提条件
资产流量已接入NDR。具体操作,请参见接入管理。
未接入流量或停止流量采集会影响NDR针对该资产风险的识别与检测。
统计已接入资产的风险情况
NDR从端口暴露、敏感数据暴露、弱口令风险三个维度汇总显示了资产的风险情况。您可以根据该数据快速了解资产风险情况,并根据自身业务的优先级设置相关的风险修复方案。
资产端口暴露风险
NDR自动检测接入资产暴漏在公网的端口及对应的服务信息。其中高危端口指内网业务端口对外暴露且该内网业务端口可以被公网任意访问成功的情况,非常容易被外部攻击者入侵利用,具备极大的风险性,建议您优先处理标注为高危的端口暴露风险。
在左侧导航栏,选择。
在端口暴露页签,查看已接入资产对外暴露具体端口、协议、服务类型、流量统计趋势以及风险识别时间等信息,同时单击资产列表右上方的
图标,支持任务下载功能。支持按照服务类型、端口风险等级、四层协议、实例ID、实例名称、IP地址、端口等条件筛选数据。
查看资产详情
在端口暴露列表,单击IP地址列的地址,查看指定IP的资产详情,包括资产名称、资产类型、公网IP地址、操作系统、服务类型与服务等信息。
在资产详情对话框下方区域,单击威胁分析、协议日志或报文检索跳转至对应页面,对当前指定IP进行分析。具体详情,请参见威胁分析、日志分析、报文留存。单击查看资产详情,可在资产管理页面,查看该IP地址的具体信息,具体详情,请参见资产管理。
查看近12小时的流量变化趋势
在端口暴露列表,单击流量统计趋势列的
图标,查看指定资产的流量趋势。通过流量趋势可以判断内部业务端口在出入方向的流量访问情况。可以通过风险识别时间了解该端口首次对外暴露及最近是否仍存在对外暴露情况,从而判断该端口暴露风险问题的治理效果。
查看资产暴露端口相关的协议日志
在端口暴露列表,单击操作列的查看日志,了解该端口被外部访问的具体情况,帮助您进一步溯源端口暴露问题。
敏感数据暴露风险
NDR会自动检测已接入资产存在的明文AK(AccessKey)、SK(Secret Access Key)、泄露的AK/SK、身份证号、手机号、银行卡号等敏感数据暴露风险。
敏感数据的分类与等级定义和数据安全中心保持一致。具体信息,请参见数据安全中心数据。
在左侧导航栏,选择。
在敏感数据暴露页签,查看已接入资产暴露的敏感数据类型、数据安全等级、敏感数据数量、IP、端口、协议、方向、风险识别时间等信息。同时单击资产列表右上方的
图标,支持任务下载功能。
说明数据安全等级的定义与阿里云数据安全中心产品保持一致。
通过资产暴露信息,协助您评估每个资产中各类敏感数据的暴露持续时间及其访问频率。
查看资产详情
查看资产敏感数据暴露详情
在敏感数据暴露列表,单击操作列详情,在详情面板,查看目标资产的风险详情信息,其中包含所有访问该资产敏感数据的全部会话列表。
在敏感信息风险详情列表,单击风险识别时间或敏感信息数量列
图标,对数据进行排序,列表默认优先以敏感信息数量进行排序。单击敏感信息数量列的具体数字可以看到实际的敏感数据信息。定位到目标敏感信息,单击操作列查看Payload,可查看该条会话的详细Payload信息。
查看资产敏感数据相关的协议日志。
在敏感信息风险详情列表,单击操作列的查看日志,了解该资产的敏感数据被外部访问的具体情况。
资产存在弱口令风险
NDR会基于流量发现已成功登录的弱口令风险问题,帮助您治理系统中存在的弱口令风险。
在左侧导航栏,选择。
在弱口令风险页签,查看已接入资产存在弱口令风险的实例ID名称、IP地址、弱口令信息、登录次数、账号、端口、四层协议、风险识别时间等信息。同时单击资产列表右上方的
图标,支持任务下载功能。通过弱口令风险信息,判断各个资产存在弱口令成功登录行为的持续时间与数量。
查看资产详情
查看弱口令风险详情
在弱口令风险列表,单击操作列详情,在详情面板,查看目标资产的弱口令风险详情信息。
在弱口令风险详情列表,单击敏感信息数量列的具体数字可以看到实际的敏感数据信息。
定位到目标敏感信息,单击操作列查看Payload,可查看该条会话的详细Payload信息。
查看资产敏感数据被访问的协议日志。
在敏感信息风险详情列表,单击操作列的查看日志,了解该资产的敏感数据被外部访问的具体情况。