什么是NDR

網絡檢測和響應 (NDR) 是一門從曾經被稱為網絡流量分析的學科發展而來的學科。基本上，隨著網絡流量變得更加復雜——并且更有可能是惡意的——網絡流量分析必須采取更加以安全為中心的軌跡。NDR 不依賴人工監控器或更簡單的行為分析，而是依賴機器學習和自動化來改進威脅搜尋和事件響應。

與防火墻等基于規則的安全工具不同，NDR 專注于非基于簽名的機器學習和分析技術。這些工具必須能夠基于連續的實時原始流量和流量分析對網絡行為進行建模，警告可能代表故障或攻擊者的異常行為和流量模式。他們還必須將分析超出傳統范圍，同時監控南北和東西流量。

與專注于監控入侵者周邊并在檢測到攻擊時發出警報的傳統入侵檢測系統 (IDS) 類似，NDR 解決方案也專注于分析網絡通信以檢測和調查威脅。但主要區別之一是 NDR 包括自動響應，例如觸發防火墻命令以丟棄可疑流量或手動響應，例如提供威脅搜尋和事件響應信息以進行更深入的挖掘。

確保完整的NDR可見性

優化 NDR 工具性能的最佳方法是確保它獲得盡可能多的信息或數據包可見性。

根據Gartner 的網絡檢測和響應市場指南，“網絡檢測和響應 (NDR) 仍然是一個“擁擠”的市場，進入門檻很低，因為許多供應商可以將常見的分析技術應用于從 SPAN 端口監控的流量。

SPAN（代表交換機端口分析器）是網絡交換機上的專用端口。SPAN 端口將數據包鏡像到帶外安全工具（如 NDR）以進行分析。

如果您的 NDR 工具沒有獲得正確的數據，它將無法為您的網絡建立一個良好的基線——這意味著將更難檢測潛在的網絡異常。我們知道，許多供應商考慮從 SPAN 端口鏡像流量并將分析技術應用于輸出，這可能會捕獲潛在的惡意流量。盡管您可能對結果感到滿意，但您的可見性可能存在漏洞。

以下是 SPAN 的問題：

• 鏡像可以改變數據包內的信息以及數據包時間。

• SPAN 的可用性較低、交換機可以在流量大的時候重新分配優先級。

• 當端口超額訂閱時，SPAN 端口可能會丟棄數據包。

• SPAN 端口不會超過千兆范圍。

• SPAN 的雙向流量存在額外的安全漏洞。

SPAN 有它的用途。在低帶寬應用程序以及不重要的應用程序中，SPAN 將很好地發揮作用。但是，它并不適用于NDR。為了使 NDR 最有效地工作，它需要您提供的所有信息，盡可能準確。然而SPAN 端口無法做到這一點。

卓越的網絡可見性技術

當 IT 安全團隊設計 NDR 部署時，構建適當的連接和數據包可見性最佳實踐對于成功至關重要。這包括檢測網絡 TAP 以提供完整的數據包可見性，以確保沒有威脅或異常隱藏在丟棄的數據包或盲點中。

虹科的網絡 TAP 具有單向數據二極管電路，可確保生產網絡和監控工具的安全。將網絡 TAP 與網絡數據包代理配對可提供流量減少功能，例如聚合和重復數據刪除，可提高 NDR 工具的性能。提供這種可見性基礎可確保按計劃進行持續的實時原始流量分析功能。

虹科專注于做我們最擅長的事情——提供簡單易用的創新網絡 TAP 和數據包代理，旨在將數據包傳送到 NDR 部署。希望為您的 NDR 部署添加安全的 TAP 可見性？

虹科提供完整的網絡可見性解決方案，包括網絡TAP，ByPass交換機和匯聚分流設備。網絡可見性對保證NTA/NDR工具準確性至關重要。網絡可見性方案可以復制來自網絡任何部分的相關數據，包括內部、云和虛擬環境中的數據。通過網絡匯聚分流設備，數據可被有效地傳遞到網絡監控，安全和分析解決方案，以確保沒有“盲點”。

往期推薦

【虹科】進階-端到端的網絡流量監控

【虹科】-網絡監控協議總結

【虹科】使用nprobe+ntopng監控上百個路由器流量

【虹科】-使用Allegro快速分析網絡負載問題