Entry № 805
NDR(网络检测与响应)
NDR(网络检测与响应) 是什么?
NDR(网络检测与响应)通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
网络检测与响应(NDR)在关键网络位置(骨干、边界、云 VPC、东西向区段)部署传感器,检查数据包、流记录(NetFlow、IPFIX、Zeek 日志)以及解密流量。NDR 基于主机、用户和协议构建行为基线,结合机器学习、签名与威胁情报匹配,发现命令与控制、横向移动、数据外泄以及异常协议使用等端点工具难以察觉的活动。NDR 与 EDR/XDR、SIEM、SOAR 紧密集成,可通过 TAP 阻断、ACL 调整、主机隔离实现自动化响应。常见厂商包括 Vectra AI、Darktrace、ExtraHop 和 Corelight。
● 示例
- 01
Vectra AI 检测到内部主机通过 HTTPS 向低信誉域名发起心跳通信。
- 02
基于 Zeek 的 NDR 在两个桌面子网之间发现 RDP 横向移动并发出告警。
● 常见问题
NDR(网络检测与响应) 是什么?
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。 它属于网络安全的 防御与运营 分类。
NDR(网络检测与响应) 是什么意思?
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
如何防御 NDR(网络检测与响应)?
针对 NDR(网络检测与响应) 的防御通常结合技术控制与运营实践,详见上方完整定义。
NDR(网络检测与响应) 还有哪些其他名称?
常见的别称包括: 网络流量分析, NTA。