AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云防火墙 全流量威胁检测与响应NDR 操作指南 接入管理

接入管理

更新时间:
产品详情
我的收藏

本文主要介绍如何将资产流量接入全流量威胁检测与响应系统。

适用场景

  • 资产公网流量接入:适用于具有EIP与公网IP的公网资产流量接入。例如具有EIP与公网IPECS、SLB、NAT、ENI、ALB、NLB等云服务类型。

  • 资产私网流量接入:适用于所有 ECS 资产的私网流量接入。通过自动创建VPC流量镜像、私网连接等组件,将私网流量镜像到 NDR,简化资产私网流量接入流程。

说明

NDR采用旁路流量镜像方式,不会对用户当前运行的线上业务流量产生任何影响。

接入公网资产流量

手动接入资产场景(推荐)

支持公网IP资产接入NDR进行防护。

  1. 登录全流量威胁检测与响应控制台

  2. 在左侧导航栏,单击接入管理

  3. 公网流量接入页签,单击手动接入

  4. 手动接入面板,根据业务需要,选择需要接入的资产,并单击确认接入

说明

  • 建议优先接入小流量EIP进行测试,待稳定后再逐步接入所有需要保护的流量。

  • 手动接入适用于需要对特定流量进行威胁分析的场景。此方式能够满足您对特定业务流量的留存和分析溯源需求。

全量接入资产场景

  1. 在左侧导航栏,单击接入管理

  2. 公网流量接入页签,单击全量接入

  3. 操作对话框,单击确定

说明

  • 全量接入资产可能会有较大流量接入,建议在业务低峰期进行操作。

  • 全量接入的原理为旁路复制通过相关EIP的南北向进出阿里云的流量,方式为非侵入式。

  • 全量接入适用于用户在合规监管要求下,需要全量接入流量以进行报文留存和威胁溯源的场景,或在不明确哪些业务存在风险时的应用。

查看接入资产

当您完成资产接入后,NDR将开始为您的云上资产持续进行全流量威胁检测防护。您可以在接入管理列表查看接入的IP实例ID/名称资产类型/地域绑定资产协议/端口采集状态采集时间等信息。您也可以在指定实例的操作列中对目标实例进行编辑停止操作。

image

可执行操作

  • 筛选:支持按照协议、云服务、采集状态、资产ID、IP、资产名称等条件筛选数据。

  • 停止:单击操作列的停止,关闭云服务的流量采集。

  • 编辑:单击操作列的编辑,修改云服务流量采集的端口、协议类型、流量阈值和采集时间等。

接入私网资产流量

资产流量接入

  1. 登录全流量威胁检测与响应控制台

  2. 在左侧导航栏,单击接入管理

  3. 私网流量接入页签,查看总资产数已采集资产未采集资产以及专有网络列表。

  4. 选择需要接入流量的专有网络,在操作列,单击接入

  5. 接入面板中,按照配置向导完成以下配置。

    image

    配置流程

    配置项

    说明

    可执行操作

    定义镜像参数

    网络配置

    为了确保您的业务的高可用性,NDR必须在两个不同的可用区内分别创建独立的虚拟交换机,以便在一个区域发生故障时,另一个区域仍然能够继续提供服务。NDR虚拟交换机的网段必须是您的VPC网段的子集,并且掩码长度需要在2429位之间。

    说明

    例如,如果您的VPC网段是192.168.0.0/16,则可以在192.168.0.0/24192.168.0.0/29之间选择合适的子网段。建议使用29位掩码的子网,该规格可以提供约60Gbps的接入能力,可以满足绝大多数情况的需要,避免浪费该VPC下的IP资源。

    • 分别在两个可用区中配置子网段。NDR会根据当前专有网络的网段和已有的虚拟交换机子网段,计算出两个符合条件的最小范围的子网段并填入。

      说明

      如果该VPC子网段资源不足,NDR将无法自动计算符合条件的子网段,此时会提示“该网段与当前专有网络下其他交换机的网段重叠”,需要您手动释放部分虚拟交换机子网段后继续接入。

    • 单击查看当前VPCVSW,查看当前VPC下交换机的详细信息。

    镜像宽带阈值

    设置镜像带宽阈值。

    根据您的实际业务情况,在下拉列表中选择合适的带宽。

    高级配置 > 流量阈值

    配置接入流量阈值,超出流量阈值将停止流量接入。

    • 设置具体流量阈值。

    • 勾选不限制

    高级配置 > 时间段类型

    设置流量接入时间段类型。

    • 不限制:持续采集流量。

      说明

      当您设置时间段类型为不限制,NDR会持续采集流量。如果您设置了流量阈值,那么在到达流量阈值时将会停止采集。

    • 单次时间段:设置流量接入时间范围。

    • 重复周期:设置周期性接入流量。

    配置镜像流量资产

    勾选需要接入流量的镜像资产。

    1. 选择需要镜像流量的资产。

    2. 单击确认

    3. 计费提示对话框中单击确定

      重要

      创建流量镜像会产生费用。由VPC计费和出账。计费详情,请参见流量镜像

  6. 单击关闭

    在接入资产的过程中,您可以单击专有网络ID/名称列的接入中,查看资产接入情况。完成私网流量接入后,NDR会自动为接入资产配置一条默认的流量过滤规则,您也可以根据实际业务自定义过滤规则。具体操作,请参见自定义流量过滤规则

查看接入资产

  1. 操作列单击详情

  2. 详情面板中,查看镜像参数和专有网络下镜像流量资产接入情况。

  3. 在镜像参数页签中,可进行如下操作。

    • 查看NDR采集交换机,单击交换机名称可以跳转至专有网络控制台,查看交换机详细信息。

    • 单击修改,修改镜像带宽阈值。

    • 高级配置中单击编辑信息,可修改接入流量阈值时间段类型

  4. 在镜像流量资产页签中,查看已采集和未采集的资产。

    • 对于未采集资产,可单击操作列的引流,接入该资产流量。

    • 对于已采集资产,在过滤规则列中单击铅笔图标,根据实际业务情况修改流量过滤规则。您也可以单击新建规则,自定义流量过滤规则。具体操作,请参见自定义流量过滤规则

自定义流量过滤规则

通过定义允许或拒绝特定流量的条件(例如方向、IP地址、端口、协议等),实现对私网流量采集的精细化控制。

操作步骤

  1. 在资产列表右上角,单击过滤规则

    image

  2. 过滤规则面板中,单击新建规则

  3. 新建规则面板中,配置规则名称规则条件

  4. 单击添加规则条件,按照如下内容配置规则条件。

    配置项

    说明

    方向

    流量过滤方向。选择入方向或出方向。

    协议类型

    选择流量规律协议类型。支持选择ALL(所有协议类型)、ICMP、TCP、UDP等。

    源网段

    配置源网段。

    源端口

    配置源端口号。端口范围为 1~65535,使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80。

    目的网段

    配置目的网段。

    目的端口

    配置目的端口号。端口范围为 1~65535,使用正斜线(/)隔开起始端口和终止端口,格式为1/200、80/80。

    是否采集

    配置是否采集规则过滤的流量。

    • :仅采集通过规则过滤的流量。

    • :不采集通过规则过滤的流量。其他流量正常采集。

    优先级

    设置过滤规则优先级。数值越小优先级越高。

其他操作

  • 编辑规则:单击操作详情,查看或修改规则基本信息,对于已配置的规则条件进行修改和删除操作,也可以添加规则条件。

  • 删除规则:单击操作删除,删除未被引用的自定义过滤规则。

上一篇:操作指南下一篇:检测响应