安装NDR插件并开启加密流量检测

操作流程

本章节介绍如何配置NDR加密流量检测，流程如图1所示。

图1 操作流程

准备事项

1. 在使用服务之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云和实名认证。

   如果您已开通华为云并进行实名认证，请忽略此步骤。

2. 请确保已为账号赋予相关权限。具体操作请参见创建用户并授权使用NDR。
   

   如果用户已有符合要求的ECS服务器，可重复使用，无需再次创建。

步骤一：准备主机

用于加密流量检测的ECS服务器需要安装Agent，本文以购买一台ECS并免费试用1个月主机安全基础防护（默认安装了Agent）为例进行介绍。

如果用户已有符合要求的ECS服务器，可重复使用，无需再次创建。

1. 登录ECS服务控制台，进入购买弹性云服务器页面。
2. 在购买弹性云服务页面，设置购买参数。

   表1 购买参数设置

   参数	示例	说明
   区域	华北-北京四	请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。ECS购买后无法更换区域，请谨慎选择。
   计费模式	包年/包月	该模式需先付费再使用，按照订单的购买周期进行结算。在购买之前，需确保账户余额充足。 更多信息，请参见计费说明。
   可用区	随机分配	选择“随机分配”后，云平台会基于用户的UUID（Universally Unique Identifier）选择一个默认的可用区。ECS购买后无法更换可用区。
   CPU架构	x86计算	弹性云服务器提供x86和鲲鹏架构的多种类型的实例规格。
   实例筛选	c6.xlarge.2	请根据业务需要选择合适的规格。更多信息，请参见规格清单。
   镜像	公共镜像 > Huawei Cloud EulerOS 2.0 标准版 64位(40 GiB)	华为云提供的Linux类型公共镜像，该镜像免费。
   开启安全防护	勾选“开启完全防护”，并选择“基础防护”	免费体验一个月企业主机安全基础版功能，提供口令检测、漏洞检测等功能。
   其他参数	-	请根据实际情况设置。参数配置详情，请参见快速购买和使用Linux ECS。

3. 确认所有信息无误后，单击“立即购买”，在提示框中单击“同意并立即购买”，支付完成后，云服务器将自动创建，并默认开机。

   云服务器状态为“运行中”后，将自动安装企业主机安全的Agent并开启“基础版”防护，这个过程预计需要20分钟左右。

步骤二：购买NDR插件

1. 登录NDR控制台。
2. 单击“购买网络检测与响应”。
   图2 开通服务
   

3. 根据实际配置服务参数。

   表2 参数说明

   参数	示例	说明
   区域	华北-北京四	选择需要检测流量的HSS主机所在区域。
   计费模式	包年/包月	当前只支持包年/包月。
   插件规格	专业版	基础版：支持检测未加密流量的攻击特征和全流量的流量记录，可扩容。 专业版：在基础版的基础上，支持检测加密流量的攻击特征，可扩容。
   购买数量	1	需要购买的插件数量。
   其他参数	-	请根据实际设置，参数说明请参考购买NDR插件。

4. 单击“下一步”。
5. 确认配置无误，单击“去支付”，根据提示完成购买。

步骤三：开启加密流量检测

1. 在左侧导航树中，选择“检测管理 > 检测策略”，进入“检测策略”页面。
2. 在目标服务器所在行，单击“安装”，选择需要安装的NDR插件。
   图3 安装插件
   

   表3 参数说明

   参数	示例	说明
   插件规格	专业版	选择已购买的专业版插件。
   其他参数	-	请根据实际设置。

3. 确认配置无误，单击“确认”。
4. 勾选已安装插件的目标主机，单击“开启加密流量检测”按钮，开启加密流量检测。
5. 在弹窗中单击“确定”。

步骤四：配置加密检测进程

本文以检测加密系统默认进程为例，介绍如何配置加密检测进程。

1. 在目标服务器所在行，单击“加密进程配置”。
2. 在“系统内置”页签，打开“默认进程检测”的开关。
   图4 默认进程检测
   

3. 在弹窗中，单击“确定”。

步骤五：查看检测结果

1. 在左侧导航栏，选择“日志审计 > 日志分析 ”，进入“攻击事件日志”页面。
2. 在筛选框中选择需要查看的时间范围，“流量类型”选择“加密”，即可查看攻击检测结果。
   图5 检测结果
   

相关信息

• 关于流量检测策略的更多配置请参见配置流量检测策略。
• 如果您希望通过更多方式管理加密进程，请参见管理加密进程。