# Deep Discovery Inspector(DDI) 趨勢科技（Trend Micro）的Deep Discovery Inspector(DDI)，它是一種網絡安全設備，用於檢測和響應高級持續威脅（APT）和目標攻擊。DDI能夠實時監控網絡流量，分析並檢測惡意活動，並提供詳細的報告和響應選項。 ### 主要功能包括： 1. 高級威脅檢測：通過多層次的分析技術，包括沙箱、文件和網頁的深度檢測，識別複雜的惡意軟件和零日攻擊。 1. 網絡流量監控：實時監控網絡流量，檢測異常行為和潛在的攻擊。 1. 威脅情報整合：集成全球威脅情報數據，幫助識別和阻止已知的威脅。 1. 自動化響應：提供自動化的響應機制，可以立即隔離受感染的系統，防止攻擊擴散。 1. 詳細報告：生成詳細的事件報告，幫助安全團隊理解攻擊的性質和範圍，並採取相應的防禦措施。 ### DDI 上線前置作業 **監控的 Mirror Data Port** 預備工作： * Core Switch 已設定完畢的 Mirror Port（VLAN / Ports） * 網路線材（電） **上線步驟：** * DDI 設備上線後，直接將 Mirror 線路接上 DDI 的 Data Port 即可進入監控狀態。 **DDI 監控範圍說明** 針對 APT 攻擊的監控五大關鍵範圍： **上網總出口**： * 監控範圍：Core Switch 到 Firewall、Client 到 Proxy **具中控管理派送之系統標的**： * 監控範圍：AD、資產管理系統、軟派等（需考慮該網段連外，內對內兩種層級） **公司重要資產伺服器**： * 監控範圍：存有帳號、權限、公司重要資料之設備 **DMZ 往內網的流量**： * 監控範圍：Service Port 是正常的，但具有 Remote Control (RDP Terminal) 或檔案傳遞的流量需要特別注意 **IT 網段進出**： * 監控範圍：IT 人員因為具有權限，向來是攻擊的目標。 ## 使用指南 * **啟動與設定 DDI** 1. 網路設定：配置 DDI 的管理 IP、子網路遮罩和預設閘道。 1. 沙盒設定：分配沙盒專用的獨立 IP，確保其能模擬對外惡意連線和下載惡意程式。 1. 連接與測試：將核心交換機的 Mirror 埠連接至 DDI，並進行初步測試，確認監控流量正常。 * **監控與分析** 1. 流量監控：使用 Sniffer 模式監控網絡流量，注意包括網頁訪問、漏洞掃描等多種流量。 1. 威脅檢測：定期檢視和分析靜態與動態偵測報告，識別潛在威脅。 1. 回溯分析：利用攻擊軌跡回溯機制（Retro Scan），追查並分析已知和未知的惡意連線行為。 * **報表與告警** 1. 設定告警：配置 Email 告警通知，設定高風險事件的通報和處理建議。 1. 定期報告：生成日報、週報和月報，統計和分析事件，提供管理性建議。 1. 進階搜尋：使用進階搜尋功能針對特定事件或範圍進行深入分析。 * **聯防與改進** 1. 威脅情資共享：將檢測到的威脅情資共享至第三方設備或趨勢科技的聯防機制。 1. 持續改進：基於分析結果和報告，持續改善企業網絡安全體質，進行定期員工安全教育訓練。