什么是网络检测和响应？

随着分布式网络的发展，IDS/IPS 等基于签名的安全工具已不足以确保企业安全。除了基于签名的检测，安全团队已经认识到需要更广泛的分析工具来检测和应对系统级威胁，这样的威胁专注于攻击先前没有签名的网络自身。NDR 解决方案利用高级行为分析、机器学习和 AI，来为本地部署环境和云环境提供额外一层的保护。

最先进的 NDR 解决方案将带来众多优势：

• 全面了解受到的威胁：安全团队可以在本地部署环境和云环境中看到威胁从入侵到横向移动的整个过程。
• 减少误报：企业可以减少误报数量，这样安全团队能够专注于阻止实际入侵。
• 更快地防御或阻止入侵：NDR 使用 AI 和机器学习实时运行，并快速检测和阻止威胁。
• 完整呈现攻击：借助网络中完整的入侵蓝图和详细的威胁时间线，安全团队可以快速了解攻击的范围并确定资源的优先级。

作为 NDR 领域的领导者，VMware NSX Network Detection and Response 提供了一组紧密集成的网络检测和响应功能，可为数据中心和多云环境中的东西向流量实现安全保护。VMware NDR 解决方案具备最广泛的检测功能，涵盖全面分布的 IDS/IPS、基于行为的网络流量分析和基于全系统模拟的网络沙箱。

NDR 持续地跨多个资产和跃点提取和关联大量的网络流量和安全事件。从网络边界（涵盖南北向流量）和网络中的传感器（涵盖东西向流量）收集数据后，NDR 解决方案利用 AI 和机器学习来获得对正常网络流量的基本了解，并因此能够检测不符合正常模式的恶意活动。

AI 驱动的 NDR 工具可持续学习和进行调整，以便自动检测复杂和不断演变的威胁。

如果检测到攻击，NDR 解决方案可以对攻击时间线进行端到端取证分析（从最初的渗透到网络中的横向移动），并且可以自动触发防御和降低风险工作流。

企业通常会根据更偏爱以下哪一种解决方案来做出总体决策：

• 代管 NDR 解决方案，在此解决方案中，第三方供应商以服务的形式提供保护，并与您可能已部署的其他供应商产品提供一定程度的集成。
• 内部 NDR 解决方案，在此解决方案中，您拥有和管理系统，并将系统与其他安全技术集成。这是过去的典型解决方案，但随着威胁形势的扩大，却越来越成为一种负担。
• 自动化 NDR 解决方案（如 SOAR 产品），这是一种比 NDR 更为复杂的系统，可通过多种安全技术和自动化突发事件响应来提供全面的数据收集。