概述
全流量检测与响应(NDR)通过镜像出入服务器的网络流量,结合入侵防御引擎进行实时检测分析与告警,并记录完整的流量日志(包括数据包头与有效载荷)。支持 CVM、容器集群及公网流量(GAAP)三类资产,可按资产或节点粒度灵活开启。开启前,系统会自动校验地域、实例、网络、配额、Agent 等多项前置条件,确保环境就绪。同时支持开启加密流量检测功能,对 HTTPS 等加密流量进行深度分析。
本文档介绍如何配置全流量检测与响应开关、查看资产运行状态与性能监控,以及如何对基础设置、存储设置、文件检测、风险策略、通知和日志解析等进行配置管理。
开启全流量检测与响应
说明:
以 CVM 资产为例,进行相关操作说明,其他资产操作同理。
若需为公网流量 GAAP 资产开启全流量检测与响应,请先开启该资产对应的云防火墙开关。单击去开启,快速跳转至云防火墙控制台完成配置。
前置检查
在开启 NDR 流量解析前,系统会自动拉取并校验账号、地域、实例、网络、配额、带宽、Agent、容器权限等状态,并根据校验结果将资产分为以下三种状态:
可开启:所有检查项均通过,可正常开启 NDR。
可开启(有风险):存在一定风险(如带宽余量不足),但仍可开启,系统会展示风险提示信息。
不可开启:存在阻断性问题(如地域不支持、操作系统不兼容、配额不足等),需根据引导解决所有问题后才可开启。
检查维度 | 检查方式 | 检查内容 |
区域与产品可用性 | 预先检查 | 地域是否支持流量分析服务 |
资源存在性与基础信息 | 预先检查 / 触发检查 | 实例子网 ID 有效、实例无冲突镜像绑定 |
实例与操作系统兼容性 | 预先检查 | 实例机型是否支持镜像模式;操作系统是否在支持列表 |
网络与带宽健康度 | 触发检查 | 实例实时带宽与阈值;账户购买的带宽上限 |
配额与资源上限 | 预先检查 | 实例开启数量上限 |
容器场景与权限 | 预先检查 | 容器集群 KubeConfig 访问权限;DaemonSet 状态与 Pod 健康 |
账号与白名单 | 预先检查 | 是否已开通 VPC 流量镜像白名单 |
实例终端自动化助手 / Agent 状态 | 预先检查 | 是否已安装终端自动化助手 |
说明:
预先检查:系统每 5 分钟自动检测一次资产是否满足开启条件。
触发检查:用户选择资产后开启 NDR 开关或加密流量检测开关时触发校验,校验完成后同步更新前置检测状态。
单个 CVM 资产
在 全流量检测与响应 > CVM 页面,单击操作列中的开启 NDR 开关,云防火墙将镜像该服务器的出入向流量进行深度分析:所有流量会经过入侵防御引擎,基于入侵防御规则进行检测并产生告警;同时系统会记录所有进出服务器的流量日志,包括数据包头(Header)和有效载荷(Payload),其中对于非加密流量,还会对 Payload 进行协议与应用层还原解析,每个报文最大记录 1000 字节。
说明:
在操作列中关闭对应的开关即可停止该资产的全流量检测与响应。
多个 CVM 资产
在 全流量检测与响应 > CVM 页面,单击全部开启或全部关闭,可开启或关闭所有 CVM 资产的全流量检测与响应开关。
说明:
全部开启时,系统会对每个资产执行前置检查。前置检查状态为不可开启的资产将被跳过,系统会提示跳过原因。
若只需对部分 CVM 资产开启或关闭全流量检测与响应开关,可通过以下步骤操作:
1.1 勾选需要配置的 CVM 资产。
说明:
1.2 单击批量开启或批量关闭。
若需要对新资产开启加密全流量检测与响应开关,可参考 基础设置。
资产状态说明
状态列 | 可能的状态值 | 说明 |
NDR 开关状态 | 已开启、已关闭、可开启-有风险、不可开启、开启失败、开启中、关闭中 | 展示 NDR 流量采集的开启状态及异常情况。 |
当状态为异常时(如开启失败、不可开启、终端 Agent 异常等),页面会显示红色警示图标及异常信息 ,提示当前检测不可用。鼠标悬停在状态上可查看具体原因和操作指引,异常信息及指引包括:
失败原因分类 | 解决方案 |
当前地域暂不支持流量分析服务 | |
资产实例子网 ID 不存在 | |
资产实例 IP 地址格式无效 | |
当前操作系统类型暂不支持 | |
未检测到终端自动化助手 | |
网络带宽已达上限 | 实时带宽已达购买上限。建议: 1. 关闭非必要流量解析开关 2. 前往 续费中心 升级全流量检测规格或等待流量回落后再试。 |
资产实例开启数量已达上限 | |
单机带宽超载运行 | 当前服务器实时带宽使用率>40%(即实时带宽用量和镜像流量共占总带宽超过80%),系统已自动限制流量解析功能。建议: 1. 等待10分钟后重试。 2. 前往 实例 页面升级实例规格。 |
当前实例机型不支持流量镜像模式 | |
流量镜像功能尚未开通 | |
已存在关联流量镜像资源 | |
流量镜像数量超出配额限制 | |
服务器开小差,请稍后重试 | |
终端 Agent 装载异常 | |
终端 Agent 异常 | 1. Agent 网络可能存在异常,请检查 安全组 等是否放通。 2. Agent 进程运行可能存在异常,请确认操作系统运行情况。 3. 检查无异常请 提交工单 联系技术支持。 |
资产性能监控
监控指标 | 说明 | 告警阈值 |
带宽 | 展示资产的实时带宽使用情况。 | 超过 40% 时展示限制红线。 |
CPU 占用 | 展示资产的 CPU 使用率。 | - |
内存使用量 | 展示资产的内存使用情况。 | - |
Agent CPU 占用 | 展示 NDR Agent 的 CPU 使用率(开启加密流量检测时可见)。 | 超过 50% 时展示限制红线。 |
Agent 内存占用 | 展示 NDR Agent 的内存使用情况(开启加密流量检测时可见)。 | 超过 600 MB 时展示限制红线。 |
说明:
当监控指标超出限制阈值时,系统会在监控图表中展示对应的风险提示,帮助及时发现和处理潜在的资源瓶颈问题。
全流量检测与响应设置
基础设置
1. 在 全流量检测与响应 页面,单击右上角的全流量检测与响应设置,进入后选择基础设置。
2. 可在此对新资产流量解析设置、全流量检测与响应带宽设置及全流量检测与响应超量处置进行配置。
新资产流量解析设置:支持设置新资产是否自动开启全流量检测与响应开关和自动启用加密流量解析。
资产类型设置为全部新资产时
自动开启全流量检测与响应开关开启时,发现新的公网与非公网的 CVM、容器,以及公网流量资产后,会自动开启流量解析。
自动开启全流量检测与响应开关关闭时,发现新资产(公网与非公网的 CVM、容器,以及公网流量资产)后,不会自动开启流量解析。
自动开启加密流量解析开关开启时,发现新的公网与非公网的 CVM、容器,以及公网流量资产后,会自动开启加密流量解析。
自动开启加密流量解析开关关闭时,发现新资产(公网与非公网的 CVM、容器,以及公网流量资产)后,不会自动开启加密流量解析。
资产类型设置为仅新公网资产时
自动开启全流量检测与响应开关开启时,发现新公网 CVM 资产和公网流量资产后会自动开启流量解析,非公网资产不会自动开启流量解析。
自动开启全流量检测与响应开关关闭时,发现新资产(公网与非公网的 CVM、容器,以及公网流量资产)后不会自动开启流量解析。
自动开启加密流量解析开关开启时,发现新公网 CVM 资产和公网流量资产后会自动开启流量解析,非公网资产不会自动开启加密流量解析。
自动开启加密流量解析开关关闭时,发现新资产(公网与非公网的 CVM、容器,以及公网流量资产)后不会自动开启加密流量解析。
全流量检测与响应带宽设置
总流量 = 各实例的出入流量峰值之和,请确保流量分析带宽或弹性分析带宽大于总流量。
弹性防护:支持设置弹性分析带宽,当流量小于弹性分析带宽时进行分析,当流量大于弹性分析带宽时,进行超量处置。计费及超量处置说明请详见 带宽相关。根据需要调整弹性分析带宽数值。单击编辑进行修改,完成后单击确认调整保存设置。
全流量检测与响应超量处置:流量分析带宽超量不会导致客户业务流量丢包或影响流量速率,但将无法提供全流量检测与响应功能。
带宽规格超量限流与恢复机制
权重范围:0 - 100(默认 50),值越大优先级越高。
限流机制:实时带宽 > 购买规格时,系统优先自动关闭高权重解析(权重相同则按峰值带宽降序关闭),直至实时带宽降至购买规格内。
恢复机制:实时带宽 ≤ 购买规格时,系统优先自动开启高权重解析(权重相同则按峰值带宽降序开启),自动开启全流量检测与响应开关。
单机带宽过载自保护与恢复机制
冷却时间:默认 24 小时,最短 10 分钟,最长 7 天,支持自定义配置。
自保护机制:每隔 30s 检测服务器带宽使用率,当服务器带宽使用率 > 40%(因镜像流量,对应总带宽使用率 > 80%),系统关闭该服务器全流量检测与响应开关。
恢复机制:每隔 30s 检测服务器带宽使用率,当服务器带宽使用率在冷却时间的最后 2 分钟内均 ≤ 40%,系统自动开启全流量检测与响应开关。
可以对权重进行批量编辑。
带宽规格超量会进行系统横幅提醒,超量告警及超量处置均会按照在 通知设置 中的配置信息发送通知。
存储设置
1. 在 全流量检测与响应 页面,单击右上角的全流量检测与响应设置,进入后选择存储设置。
2. 可在此对流量报文存储、流量日志存储及告警日志存储进行配置。
注意:
企业版及以上用户可以修改日志存储类型和存储时长,每 1 个月仅可修改 1 次,修改后预计10分钟内生效。
参数名称 | 参数说明 | |
流量报文存储配置 | 原始流量包存储 | 支持设置 req_hex、rsp_hex、http_request_body、http_response_body 字段的存储长度,默认1024 字节。 可选值:64、128、256、512、1024 字节。 |
流量日志存储配置 | 流量日志存储时长 | 跳转至日志存储类型设置页面,默认180天。 可选值:7、30、60、90、180 天。 |
流量 | 流量日志存储类型 | 跳转至日志存储类型设置页面,可在入向流量、出向流量、东西向流量中进行多选。 |
| Payload 存储 | 开启时:HTTP 解析数据全保存; 关闭时:只保留 HTTP 协议请求和响应头部,不保留 HTTP Payload 详情和 TCP 请求和响应包。 |
| 协议日志存储范围 | 设置存储 NDR 流量日志的网络协议范围。 基础协议类:ICMP、TCP、UDP 邮件类:SMTP、SMTPS 互联网类:HTTP、HTTPS、DNS 文件传输类:FTP、SMB、FTP-DATA 登录认证类:TLS 远程管理类:SSH、DCERPC |
告警日志存储配置 | 告警/风险日志存储时长 | 跳转至日志存储类型设置页面,可设置日志保留天数为 7、30、60、90、180 天。 |
| 告警日志存储类型 | 跳转至日志存储类型设置页面,可在威胁情报、基础防御、虚拟补丁、封禁列表、安全基线、网络蜜罐中进行多选。 |
| 风险日志存储类型 | 全流量检测与响应风险日志不支持配置存储类型,默认为弱口令和 API 敏感信息传输,为勾选状态,不可修改。 |
文件检测设置
1. 在 全流量检测与响应 页面,单击右上角的全流量检测与响应设置,进入后选择文件检测设置。
2. 可在此开启异常文件传输检测功能。异常文件传输检测功能能够对网络流量中传输的文件进行完整还原,并联动威胁情报与云沙箱动态行为检测引擎,对可疑文件进行深度扫描,从而精准识别和判定安全威胁。
风险策略设置
1. 在 全流量检测与响应 页面,单击右上角的全流量检测与响应设置,进入后选择风险策略设置。
2. 可在此对端口风险、弱口令风险、敏感数据泄漏风险进行开关操作:
端口风险检测开关:实时发现高危端口暴露情况,精准定位访问源、目的 IP 和目的端口,辅助判断资产暴露面是否收敛。
弱口令风险检测开关:发现弱口令传输,定位低安全度账户。单击规则配置可查看具体检测规则。
敏感数据泄漏风险检测开关:实时分析敏感数据泄露风险,检测对外开放的 API 接口是否泄漏敏感信息、内对外访问 AI 应用是否泄漏敏感信息。单击策略配置可打开或关闭具体检测策略。
通知设置
1. 在 全流量检测与响应 页面,单击右上角的全流量检测与响应设置,进入后选择通知设置。
2. 可在此对带宽规格超量及单机带宽过载进行设置:
接收通知:开启后将接收相关告警通知,关闭后不再接收。
告警对象:从子账户列表中勾选需通知的子账户,并可同时勾选主账号一并通知。
告警时段:设定告警推送的有效时间段,此时段外的告警将默认忽略,请谨慎设置。单个时间段最小间隔为1小时,最多可同时配置5个不同时段。
日志解析设置
1. 在 全流量检测与响应 页面,单击右上角的全流量检测与响应设置,进入后选择日志解析设置。
2. 在自定义解析字段列表中,选择目标自定义解析字段,单击编辑,即可对 HTTP Header 中的特殊字段进行自定义解析,并将其新增至流量日志中。当前最多支持解析 3 个自定义字段。
全流量检测与响应检出告警
新版告警中心
旧版告警中心
全流量检测与响应检出日志
在 全流量检测与响应 页面,选择目标 CVM、容器集群或公网流量实例,在其操作栏中单击查看告警日志或查看流量日志,即可跳转至该实例对应的详细告警日志或流量日志界面。日志页面的具体操作指引请参见 查看全流量检测与响应日志。
在 全流量检测与响应日志 页面,可查看全流量检测与响应相关的核心日志信息,包括:流量分析日志、流量告警日志、流量风险日志、文件检测日志。该页面提供基础日志概览功能,具体操作指引请参见 查看全流量检测与响应日志。
在 日志分析 页面,可获取过去存储的全部全流量检测与响应日志完整信息、基于自定义检索语句快速定位目标日志、通过报表与统计分析服务,对日志数据进行深度分析与价值洞察。该页面支持高级分析与可视化功能,具体操作指引请参见 日志分析。
