NDR — 网络检测与响应
KYRA MDR 收集器代理包含内置的网络检测与响应(NDR)功能。同一个收集器二进制文件在处理日志收集的同时,还执行深度包检测、流跟踪、行为基线和威胁检测 — 无需单独部署 NDR 传感器。
架构
处理流水线
网络流量通过六阶段分析流水线:
flowchart LR
CAPTURE["捕获\nTAP / SPAN\n镜像"]
PARSE["解析\nL3-L7\n协议解析器"]
FLOW["流跟踪\n五元组\n双向跟踪"]
BASELINE["基线\n滚动\n小时统计"]
DETECT["检测\n规则\n引擎"]
EMIT["输出\n告警"]
CAPTURE --> PARSE --> FLOW --> BASELINE --> DETECT --> EMIT
- 捕获 — 从 TAP/SPAN/镜像端口以混杂模式捕获原始数据包
- 解析 — DNS、TLS、HTTP、SMB、SSH、RDP、Kerberos、DHCP 的协议解析
- 流跟踪 — 基于五元组识别的双向流组装
- 基线 — 用于行为异常检测的滚动小时统计
- 检测 — 包括签名、行为和威胁情报匹配的多种检测引擎
- 告警输出 — 检测告警通过与日志事件相同的收集器管道传递
协议支持
| 协议 | 分析能力 |
|---|---|
| DNS | 查询/响应日志、DGA 检测、隧道检测、可疑域名解析 |
| TLS/SSL | JA3/JA3S 指纹、证书验证、过期/自签名证书检测 |
| HTTP | URL 分析、User-Agent 画像、可疑下载检测 |
| SMB | 文件共享访问监控、横向移动检测 |
| SSH | 会话跟踪、暴力破解检测、异常密钥交换 |
| RDP | 远程访问监控、暴力破解检测 |
| Kerberos | 认证监控、黄金/白银票据检测 |
| DHCP | 设备发现、流氓 DHCP 检测 |
检测能力
基于签名的检测
- 已知恶意软件通信模式
- 命令与控制(C2)信标检测
- 漏洞利用工具包流量识别
- 已知恶意 IP/域名匹配
行为检测
- 流量异常(每主机的字节数、数据包、连接数)
- 异常协议使用(非标准端口上的 DNS、异常端口上的加密流量)
- 横向移动模式
- 数据泄露指标(大型出站传输、异常上传比率)
- 信标检测(定期出站连接)
MITRE ATT&CK 映射
所有 NDR 检测均映射到 MITRE ATT&CK 技术:
| 战术 | 示例检测 |
|---|---|
| 初始访问 | 利用面向公众的应用、钓鱼链接点击 |
| 执行 | 可疑脚本下载、恶意软件获取 |
| 持久化 | C2 信标建立 |
| 横向移动 | SMB/RDP 跳转、哈希传递 |
| 数据泄露 | DNS 隧道、向外部 IP 大量传输数据 |
| 命令与控制 | 信标、DGA 域名、加密 C2 通道 |
部署
网络要求
- 在网络交换机上配置 TAP、SPAN 或镜像端口
- 收集器主机上的专用网络接口用于流量捕获
- 最低 1 Gbps 接口(高流量环境推荐 10 Gbps)
性能
| 指标 | 能力 |
|---|---|
| 吞吐量 | 最高 1 Gbps 持续流量分析 |
| 流跟踪 | 500,000+ 并发流 |
| 内存 | NDR 模块额外约 200 MB |
| 延迟 | 亚毫秒级数据包处理 |
功能控制
NDR 是按租户启用的附加功能。当 NDR 未启用时:
- NDR 事件在采集层被拒绝
- NDR 流量单独跟踪,不计入日志采集配额
- 收集器报告 NDR 功能状态,以便平台显示适当的配置选项