更新时间:2025-09-04 GMT+08:00
使用NDR进行威胁溯源和分析
应用场景
NDR实时对流经主机的流量进行威胁检测,过程中都检测到什么威胁,威胁进展到了什么阶段,需要用户对攻击的过程、进展和结果进行分析判断,然后做出相应的处理。
方案架构
本节介绍解决方案架构,为了更直观,建议采用图+文字的形式,图中需要体现本方案的工作原理、涉及的资源、资源分布region、不同资源之间的关系、以及架构中的安全设计部分。
方案优势
本节提供方案优势,基于前文介绍的方案架构,着重结合当前场景面临的技术痛点,从技术痛点逐条切入,分析我们提供的方案有哪些优势,可以为客户带来什么价值。
约束与限制
介绍整体方案层面的约束与限制。
资源和成本规划
需要用到的资源,例如:
|
资源 |
资源说明 |
数量 |
成本说明 |
|---|---|---|---|
|
云模式WAF(ELB接入) |
用于接入网站,提供Web、CC攻击防护。 |
1 |
WAF的计费方式及标准请参考。 |
|
DDoS原生高级防护 |
用于防护接入WAF的网站类业务,提供DDoS攻击防护。 |
1 |
DDoS原生高级防护的计费方式及标准请参考。 |
步骤一:查看整体安全状态
- 登录NDR服务控制台。
- 在左侧导航树,选择“安全分析”。
- 通过查看近1小时、近24小时和近7天的检测情况,了解NDR整体安全状态。
步骤二:分析攻击趋势
- 在左侧导航树,选择。
- 查看“外部访问”、“主动外联访问”、“内部访问”的攻击趋势,获取攻击集中的时间段、攻击类型分布和攻击次数等信息。
步骤三:分析攻击阶段
- 在左侧导航树,选择。
- 查看网络攻击的技术类型,并展开分析该技术类型下的攻击日志。
步骤四:分析攻击者画像
- 在左侧导航树,选择。
- 展开分析攻击者IP相关信息,实现攻击溯源,并对攻击源IP进行处理。
