更新时间:2025-12-03 GMT+08:00
配置流量检测策略
NDR支持对指定VPC内的ECS主机配置流量检测策略,开启检测策略后,检测到的攻击将会记录到攻击事件日志。
加密流量检测场景下,NDR支持开启内置进程加密,也支持用户对指定进程进行加密。
用户将服务器运行中的进程配置为加密进程后,NDR将对加密后的进程进行加密流量检测,进一步提高系统的安全性。针对无需检测加密流量的进程,可以通过配置黑名单目录,NDR将不再对该目录下的进程进行加密流量检测。
前提条件
- 已购买NDR插件,具体操作请参考购买NDR插件。
- 目标HSS主机已安装Agent,具体操作请参考为主机安装Agent。
步骤一:安装NDR插件
- 登录NDR控制台。
- 在左侧导航树中,选择,进入“检测策略”页面。
NDR在流量检测过程中,需要访问其他云服务资源,如果您未创建委托,请根据界面提示创建委托。
图1 检测策略
- 在目标服务器所在行,单击“安装”,进入“主机插件”页面。
- 在目标服务器所在行,单击“安装”,选择需要安装的NDR插件。
图2 安装插件
表1 参数说明 参数
说明
插件规格
需要安装的插件规格,根据业务需要选择。
- 基础版:支持检测未加密流量的攻击特征和全流量的流量记录。
- 专业版:在基础版的基础上,支持检测加密流量的攻击特征。
插件版本
选择插件的版本。
配额ID
根据需要选择随机绑定配额或指定配额ID的插件。
可单击“插件配额”页面,查看该配额ID下的插件到期时间。
- 确认配置无误,单击“确认”。
步骤二:开启流量检测
- 在左侧导航树中,选择,进入“检测策略”页面。
- 勾选已安装插件的目标主机,单击对应按钮,开启流量检测。
图3 开启检测
表2 检测策略 插件类型
流量检测策略
说明
基础版/专业版
开启流量检测
检测网络流量和未加密流量的攻击特征。
开启全流量检测
检测全部流量。如果流量过大会导致服务器资源消耗增加。关闭后只检查以下高危端口的流量:
- Web服务:80、8080、8081、3128、9080。
- 数据库服务:3306、1433、1521、5000、5432、5236、6379、11211、27017。
- 其他常用协议:21、22、23、25、110、139、587、873、993、3389。
专业版
开启加密流量检测
检测加密流量的攻击特征。
- 在弹窗中单击“确定”。
