概述
全流量检测与响应(NDR)模块以旁路镜像流量为输入,提供威胁检测、文件沙箱检测、流量风险分析、资产指纹识别、协议解析与存储五项检测分析能力,覆盖从流量还原、实时检出、文件维度判定,到资产暴露面识别与风险收敛的完整检测链路。
说明:
威胁检测
全流量检测与响应(NDR)基于多引擎能力,可对南北向与东西向双向流量进行深度分析检测,补齐传统边界防护的盲区,包括 APT 攻击、0day 漏洞利用、内部横向渗透等高级威胁。威胁检测告警统一汇入 告警中心,不单独建立告警队列。
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 威胁检测。
2. 在功能动态区域,可以查看规则动态和漏洞动态的更新说明,单击更新历史可查看历史完整动态列表。
3. 在 NDR 威胁检测规则配置区域,可以进行如下操作:
单击全部重置,系统将恢复所有规则的默认开关状态与默认动作,即时生效。
单击具体规则 ID,可查看规则具体信息。
单击具体规则操作列的开关,可启用或停用所选规则,停用后流量将不再匹配该规则。
说明:
开启及关闭开关会影响全部生效范围(包含互联网边界防火墙、NAT 边界防火墙、VPC 边界防火墙、全流量检测与响应)。
4. 在 NDR 威胁检测规则配置区域,单击查看告警详情,将跳转至告警中心页面并筛选防火墙类型为全流量检测与响应的告警事件。告警中心的具体操作详情请参见 攻击告警事件查看与处理。
5. 在 NDR 威胁检测规则配置区域,单击查看检测白名单,将跳转至入侵防御 > 白名单策略页面。白名单策略的具体操作详情请参见 管理防御操作。
文件沙箱检测
全流量检测与响应(NDR)支持敏感数据泄露风险检测、弱口令风险检测、端口风险检测等多维度风险分析,帮助企业收敛暴露面、降低安全风险。
说明:
静态文件检测、动态文件沙箱、Skill 投毒检测均支持加密流量场景,需在流量接入侧开启 NDR 加密流量检测开关后方可生效。
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 文件沙箱检测。
2. 在文件检测配置区域,可开启文件检测配置:
文件还原开关:开启后,系统将还原网络流量中传输的文件,作为后续文件检测的基础。需先开启该开关,才能配置静态文件检测、动态文件沙箱与 Skill 投毒检测;关闭后上述配置将不可用。
静态文件检测开关:开启后,联动威胁情报云查检测引擎扫描,精准识别恶意文件。
动态文件沙箱开关:开启后,基于腾讯自研的沙箱分析引擎对文件进行动态行为分析,包括但不限于网络行为、进程行为、文件行为等。
Skill 投毒检测开关:开启后,基于静态威胁情报与动态沙箱进行 Skill(AI Agent 工具/技能定义)投毒检测,检测能力更丰富。
3. 在文件检测配置区域,单击查看告警详情,将跳转至告警中心页面并筛选防火墙类型为全流量检测与响应、判断来源为文件检测的告警事件。告警中心的具体操作详情请参见 攻击告警事件查看与处理。
4. 在文件检测配置区域,单击查看日志详情,将跳转至全流量检测与响应日志 > 文件检测日志 > 文件告警日志页面。日志审计的具体操作详情请参见 日志审计。
5. 在检测能力区域,可查看文件检测的检测能力,具体支持的检测能力以页面展示为准。
流量风险分析
全流量检测与响应(NDR)支持敏感数据泄露风险检测、弱口令风险检测、端口风险检测等,降低企业风险。
敏感数据泄露风险
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 流量风险分析 > 敏感数据泄露检测。
2. 在敏感数据泄露检测开关区域,可开启敏感数据泄露检测开关。开启后,可实时分析敏感数据泄露风险,检测入向和出向敏感信息泄露风险。
3. 在敏感数据泄露检测开关区域,单击查看风险详情,将跳转至风险中心 > 敏感数据泄露风险页面。风险中心的具体操作详情请参见 风险中心。
4. 在敏感数据泄露检测开关区域,单击查看日志详情,将跳转至全流量检测与响应日志 > 流量风险日志 > 敏感数据泄露页面。日志审计的具体操作详情请参见 日志审计。
5. 在检测策略区域,可自定义开启所需敏感数据检测策略。
弱口令风险检测
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 流量风险分析 > 弱口令风险检测。
2. 在弱口令风险检测开关区域,可开启弱口令风险检测开关。开启后,可发现企业弱口令传输,防止低安全账号密码被攻击者利用。
3. 在弱口令风险检测开关区域,单击查看风险详情,将跳转至风险中心 > 弱口令风险页面。风险中心的具体操作详情请参见 风险中心。
4. 在弱口令风险检测开关区域,单击查看日志详情,将跳转至全流量检测与响应日志 > 流量风险日志 > 弱口令风险页面。日志审计的具体操作详情请参见 日志审计。
5. 在检测规则区域,可查看复杂度检测规则和字典检测规则,具体的检测规则以页面展示为准。
端口风险检测
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 流量风险分析 > 端口风险检测。
2. 在端口风险检测开关区域,可开启端口风险检测开关。开启后,可发现高危端口暴露情况,精准定位访问源、目的 IP 和目的端口。
3. 在端口风险检测开关区域,单击查看风险详情,将跳转至风险中心 > 端口风险页面。风险中心的具体操作详情请参见 风险中心。
4. 在 NDR 识别端口风险说明区域,可查看 NDR 识别端口风险说明,具体的 NDR 识别端口风险说明以页面展示为准。
资产指纹识别
全流量检测与响应(NDR)可针对网络流量深度特征分析,结合持续动态更新的资产指纹规则库,帮助企业精准识别盘点各类资产及应用组件,构建全维度资产感知能力。
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 资产指纹识别。
2. 在资产指纹识别配置区域,可开启资产指纹识别开关。开启后,支持通过流量指纹识别资产,被动识别,对业务无侵入。开启 NDR 加密流量检测开关,可支持 AI 应用资产识别。
3. 在资产指纹识别配置区域,单击查看资产,将跳转至资产中心 > 按服务类型页面。服务类型的具体操作详情请参见 服务类型。
4. 在资产指纹识别分类区域,可查看资产指纹识别支持的可识别大类和具体细分类别组件,具体的可识别大类和具体细分类别组件以页面展示为准。
协议解析与存储
全流量检测与响应(NDR)支持丰富协议解析,企业版及以上用户支持自定义日志存储方案。
协议解析
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 协议解析与存储 > 协议解析。
2. 在协议解析页面,可查看支持的解析范围,具体的解析范围以页面展示为准。
AI 流量日志审计
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 协议解析与存储 > AI 流量日志审计。
2. 在 AI 流量日志审计页面,可开启 AI 流量日志审计开关。开启后,支持 AI 全流量日志解析及存储。
日志自定义解析
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 协议解析与存储 > 日志自定义解析。
2. 在日志自定义解析页面,支持自定义解析 HTTP Header 中的特殊字段,最多可解析 3个 自定义字段。操作步骤如下:
2.1 在自定义解析字段列表中,选择目标自定义解析字段,单击操作列的编辑。
2.2 在对应行自定义解析字段文本框中输入特殊字段,单击操作列的保存。
2.3 保存后会新增至流量日志中;也可在日志审计、日志分析页面检索自定义字段。
3. 在日志自定义解析页面,单击查看流量分析日志,将跳转至全流量检测与响应日志 > 流量分析日志页面。日志审计的具体操作详情请参见 日志审计。
日志存储
1. 登录 云防火墙控制台,在左侧导航栏中,选择全流量检测与响应 > 协议解析与存储 > 日志存储。
2. 在日志存储页面,企业版及以上用户可以修改日志存储类型和存储时长,每 1 个月仅可修改 1 次。
参数名称 | 参数说明 | |
流量报文存储配置 | 原始流量包存储 | 支持设置 req_hex、rsp_hex、http_request_body、http_response_body 字段的存储长度,默认 1024 字节。 可选值:64、128、256、512、1024 字节。 |
流量日志存储配置 | 流量日志存储时长 | 跳转至日志存储类型设置页面,默认180天。 可选值:7、30、60、90、180 天。 |
| 流量日志存储类型 | 跳转至日志存储类型设置页面,可在入向流量、出向流量、东西向流量中进行多选。 |
| Payload 存储 | 开启时:HTTP 解析数据全保存; 关闭时:只保留 HTTP 协议请求和响应头部,不保留 HTTP Payload 详情和 TCP 请求和响应包。 |
| 协议日志存储范围 | 设置存储 NDR 流量日志的网络协议范围,实际的网络协议范围以页面展示为准。 |
告警日志存储配置 | 告警/风险日志存储时长 | 跳转至日志存储类型设置页面,可设置日志保留天数为 7、30、60、90、180 天。 |
| 告警日志存储类型 | 跳转至日志存储类型设置页面,可在威胁情报、基础防御、虚拟补丁、封禁列表、安全基线、网络蜜罐中进行多选。 |
| 风险日志存储类型 | 全流量检测与响应风险日志不支持配置存储类型,默认为弱口令和 API 敏感信息传输,为勾选状态,不可修改。 |
