什么是网络检测与响应服务
网络检测与响应(Network Detection and Response,简称NDR)是基于华为多年攻防经验,运用特征规则、大数据分析、AI模型和威胁情报等技术,对企业网络流量进行实时检测、捕获、解码、审计,发现企业网络和系统中存在的安全风险和威胁,及时开展威胁响应处置,保障云资产安全。
产品功能
|
功能分类 |
功能模块 |
功能描述 |
|
流量分析 |
Itnernet访问分析 |
查看特定时间内所有租户或某一租户的Internet访问流量详情。 |
|
主外联访问分析 |
查看特定时间内所有租户或某一租户的主动外联访问流量详情。 |
|
|
内部访问分析 |
查看特定时间内所有租户或某一租户的内部访问流量详情。 |
|
|
安全分析 |
安全总览 |
查看产生告警和阻断的次数和趋势、TOP5的攻击源信息和地理分布等安全信息。 |
|
Internet 访问的攻击趋势 |
查看Internet访问场景下,特定时间内所有租户或某一租户的网络攻击趋势、攻击类型分布和TOP攻击类型排行。 |
|
|
主动外联访问的攻击趋势 |
查看主动外联访问场景下,特定时间内所有租户或某一租户的网络攻击趋势和外联TOP IP信息。 |
|
|
内部访问的攻击趋势 |
查看内部访问场景下,特定时间内所有租户或某一租户的网络攻击趋势和攻击类型信息。 |
|
|
ATT&CK 攻击矩阵 |
对发现的攻击进行ATT&CK模型分类展示,快速查看指定时间段内使用某一类ATT&CK技术攻击情况。 |
|
|
安全事件管理 |
对海量威胁告警进行归集汇总呈现为安全事件,安全管理人员可快速对安全事件进行研判出来,给出处理意见,提升效率。 |
|
|
日志分析 |
攻击事件日志 |
查看攻击事件日志,定位攻击源、被攻击目标等信息。 |
|
阻断日志 |
查看阻断日志,获取所有被阻断访问的源IP、传输协议等信息。 |
|
|
流量日志 |
查看流量日志,获取被检测流量的源IP、源端口、目的IP、目的端口、应用协议、字节数和报文数等统计信息。 |
|
|
审计日志 |
查看被审计日志,获取该访问请求命中的规则详情、流量方向、传输协议、应用协议等信息。 |
|
|
攻击者画像分析 |
攻击者画像 |
对攻击者提供画像和溯源,可帮助用户查看攻击者地理分布、攻击源IP等信息,基于攻击者视角快速定位和威胁溯源。 |
|
威胁响应 |
基础防护策略 |
配置观察和拦截模式,是否开通威胁情报等设置,保护资产,提升安全性。 |
|
阻断规则 |
通过配置源IP,目的IP,目的端口,动作,过期时间等信息,精准阻断攻击威胁。 |
|
|
白名单管理 |
白名单中的IP地址只会被检测并记录,不会被NDR拦截。 |
|
|
配置主机检测策略(租户) |
支持对已经安装hss的业务主机,开启或关闭流量检测和加密流量检测,支持选择和自定义待开展加密流量安全检测进程。 |
|
|
威胁检测管理 |
检测任务管理 |
支持灵活图形交互界面,通过拖拉拽确定输入,处理逻辑和输出,创建威胁检测和分析任务。 |
|
特征库更新 |
支持特征库版本信息的查看,手动更新特征库,包含检测任务、威胁情报,AI模型和Suricata规则。 |
|
|
主机插件管理(租户) |
在HSS底座安装、更新、变更、卸载NDR检测插件,实现对NDR流量威胁检测插件的全生命周期管理。 |
产品架构
NDR系统共分为三层,分别是平台层,业务层和应用层,如图1所示。
- 平台层:提供东西向+南北向的流量采集能力,提供日志传输总线、阻断拦截、实时分析和数据存储的能力,是流量安全分析的基础底座。
- 业务层:NDR的核心任务是对流量型威胁进行入侵检测和流量监控。入侵防御方面,可实现对嗅探行为、爆破攻击和漏洞利用等威胁检测,依赖规则特征、威胁情报和检测模型;流量监控方面,可对云平台和租户的流量进行汇总统计,含五元组信息和字节报文数统计等,辅助安全业务人员分析流量异常和威胁研判。
- 应用层:结合业务层的分析数据,为安全业务人员提供可视化能力,包含风险视图报表,日志查询分析系,威胁研判处置等功能,最终实现威胁的响应及处置。
