2021年3月17日，中國新一代網(wǎng)絡(luò)安全公司代表、中國威脅情報(bào)領(lǐng)軍企業(yè)微步在線召開了主題為“邁向XDR”的融資暨產(chǎn)品發(fā)布會。微步在線的終端檢測響應(yīng)產(chǎn)品OneEDR在會上首度亮相。

XDR（Extended Detection and Response）是近兩年內(nèi)全球網(wǎng)絡(luò)安全公司競相探索、嘗試的方向。在Gartner《Innovation Insight for Extended Detection and Response》中，XDR被描述為安全威脅檢測和事件響應(yīng)SaaS工具，可以從終端、流量、蜜罐、網(wǎng)關(guān)等處發(fā)現(xiàn)網(wǎng)絡(luò)威脅，并與云端威脅情報(bào)、簽名、規(guī)則庫、特征庫等數(shù)據(jù)進(jìn)行聯(lián)動比對，通過機(jī)器學(xué)習(xí)等技術(shù)，過濾數(shù)據(jù)噪聲，減少誤報(bào)和漏報(bào)，將告警自動聚合為完整安全事件，并實(shí)現(xiàn)一鍵處置。一般情況下，XDR需要包括的安全產(chǎn)品有EDR、NTA/NDR、UBA、蜜罐等，某些安全廠商會把SIEM和SOAR也囊括在XDR的范圍內(nèi)。本次微步在線推出終端檢測響應(yīng)產(chǎn)品OneEDR，是微步在線邁向XDR的一大步。

OneEDR有哪些功能？

EDR產(chǎn)品在國內(nèi)經(jīng)過了至少五年發(fā)展，已經(jīng)成為各大安全廠商和新興安全公司持續(xù)發(fā)力的方向。深信服、天融信、奇安信等大型綜合類安全廠商紛紛增開EDR產(chǎn)品線，安全狗、青藤云安全、杰思安全等網(wǎng)絡(luò)安全創(chuàng)業(yè)公司也選擇從EDR和CWPP起步。做為EDR領(lǐng)域的后起之秀，微步在線的OneEDR目前具備了哪些功能？

OneEDR的產(chǎn)品負(fù)責(zé)人在發(fā)布會現(xiàn)場介紹說，得益于微步在線在威脅發(fā)現(xiàn)領(lǐng)域多年的技術(shù)積累，OneEDR的入侵檢測能力已經(jīng)比較完善，具有業(yè)界領(lǐng)先水平。其創(chuàng)新的入侵鏈路可視化技術(shù)更是提供了無與倫比的威脅溯源能力，結(jié)合一鍵處置，能夠做到快速響應(yīng)。同時(shí)，OneEDR也搭載了微步在線的網(wǎng)絡(luò)威脅情報(bào)模塊、具備自適應(yīng)的機(jī)器學(xué)習(xí)能力、支持日志調(diào)查自定義檢索、多視角可視化跟蹤主機(jī)入侵過程，并且自動化聚合攻擊事件完整鏈路。

目前OneEDR能夠全面檢測Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時(shí)能將安全運(yùn)營人員的處置記錄作為反饋信息，利用機(jī)器學(xué)習(xí)算法持續(xù)優(yōu)化、自適應(yīng)更新檢測算法，打造專屬該企業(yè)的檢測引擎系統(tǒng)，有針對性地加強(qiáng)企業(yè)檢測能力。

值得一提的是，OneEDR和微步在線的流量檢測響應(yīng)產(chǎn)品TDP具備深度結(jié)合的能力，不僅能讓安全運(yùn)維人員“看到”終端和流量中的網(wǎng)絡(luò)威脅，還能夠把終端和流量中獲得的威脅信息統(tǒng)一管理、分析，聚合出安全事件的完整攻擊鏈。

相較市面產(chǎn)品，OneEDR具備哪些優(yōu)勢？

根據(jù)產(chǎn)品負(fù)責(zé)人的介紹，OneEDR的優(yōu)勢體現(xiàn)為檢測能力強(qiáng)、可視化效果好、占用戶資源少等三個(gè)方面。

OneEDR具備全面的檢測能力?；谖⒉皆诰€專業(yè)威脅情報(bào)、啟發(fā)式的漏洞、木馬行為特征檢測、文件靜態(tài)和動態(tài)監(jiān)測、基于AI的終端行為數(shù)據(jù)異常分析模型等機(jī)制，微步在線OneEDR全面檢測Webshell、反彈Shell、木馬后門、主機(jī)提權(quán)、僵尸網(wǎng)絡(luò)、挖礦威脅、勒索病毒、虛假內(nèi)核、遠(yuǎn)控工具、惡意環(huán)境變量、漏洞利用、惡意進(jìn)程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時(shí)，OneEDR能夠?qū)⑺袉吸c(diǎn)檢測告警進(jìn)行關(guān)聯(lián)，生成攻擊事件，并對一次攻擊事件進(jìn)行全鏈路取證，明確黑客攻擊鏈路方才告警，做到極少誤報(bào)。

OneEDR能夠以可視化的方式清晰展現(xiàn)安全事件的來龍去脈，幫助分析人員快速掌握當(dāng)前攻擊狀態(tài)與手法。首先，OneEDR能夠智能挖掘告警之間的關(guān)聯(lián)關(guān)系，自動聚合多條告警，以“威脅事件”為維度顯示整體攻擊的上下文，對同一團(tuán)伙的告警進(jìn)行是識別和分類，幫助安全運(yùn)維人員在大量告警中更高效地理清安全事件的脈絡(luò)，更有針對性地去處理安全事件。其次，在處理安全事件的過程中，OneEDR提供“事件圖”和“進(jìn)程鏈圖”，實(shí)現(xiàn)對安全事件的可視化，理清安全事件的來龍去脈，直觀展示安全事件涉及的用戶、主機(jī)、進(jìn)程、IP等實(shí)體的關(guān)聯(lián)關(guān)系，同時(shí)將每個(gè)告警和事件按照ATT&CK模型進(jìn)行映射。

此外，OneEDR不斷收集用戶的處置反饋，學(xué)習(xí)誤報(bào)告警特征，不斷優(yōu)化機(jī)器學(xué)習(xí)算法，使其具備針對單一用戶環(huán)境的自適應(yīng)性，進(jìn)一步降低誤報(bào)。“在企業(yè)上云戰(zhàn)略和黑客專業(yè)化的大環(huán)境下, 主機(jī)安全已成為一個(gè)強(qiáng)對抗的領(lǐng)域。”OneEDR產(chǎn)品負(fù)責(zé)人陳杰表示，“對攻擊行為的全鏈路監(jiān)控，結(jié)合機(jī)器學(xué)習(xí)的動態(tài)建模能力是應(yīng)對強(qiáng)對抗的有效解決方案。”

在實(shí)現(xiàn)上述功能和優(yōu)勢的同時(shí)，OneEDR占用戶網(wǎng)絡(luò)和軟硬件資源極小。OneEDR對用戶Agent CPU消耗控制在1%以下，內(nèi)存消耗控制在70MB，同時(shí)在終端上應(yīng)用數(shù)據(jù)過濾和壓縮技術(shù)，可控制采集數(shù)據(jù)量平均在每天10M左右，對CPU性能和網(wǎng)絡(luò)帶寬的影響極小。

目前，OneEDR能夠精準(zhǔn)發(fā)現(xiàn)入侵，威脅事件檢出率高達(dá)99%，情報(bào)引擎準(zhǔn)確率達(dá)99.9%，事件聚合準(zhǔn)確率達(dá)到90%以上。

OneEDR的發(fā)布，邁向XDR的一大步

微步在線創(chuàng)始人、CEO薛鋒此前在公開演講中多次指出，網(wǎng)絡(luò)安全云化是必然趨勢，網(wǎng)絡(luò)安全供應(yīng)商應(yīng)當(dāng)將自身安全能力和產(chǎn)品完成云化，然后賦能給客戶。微步在線希望做到全面、精準(zhǔn)的威脅檢測，就要實(shí)現(xiàn)“云+端點(diǎn)+流量”場景的全面覆蓋，因此，在微步在線的流量檢測產(chǎn)品Threat Detection Platform（TDP）已經(jīng)廣泛被業(yè)內(nèi)認(rèn)可和使用后，推出端點(diǎn)威脅檢測與響應(yīng)產(chǎn)品，是微步在線必然要走的一步棋。

作為長期、持續(xù)專注于威脅情報(bào)領(lǐng)域的網(wǎng)絡(luò)安全公司，微步在線數(shù)年來一直在將威脅情報(bào)能力產(chǎn)品化，覆蓋多個(gè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)場景，如端點(diǎn)檢測、流量檢測、DNS防護(hù)、本地威脅情報(bào)管理、威脅情報(bào)批量查詢等。OneEDR將成為微步在線網(wǎng)絡(luò)安全云化版圖中的重要一環(huán)，也將是微步在線構(gòu)建全方位威脅檢測產(chǎn)品體系的支柱產(chǎn)品。