當前位置：安全 → 云安全 → 正文

微步在線OneEDR新品探秘：邁向XDR的一大步

責任編輯：zhaoxiaoqin |來源：企業網D1Net 2021-03-19 14:14:46 原創文章企業網D1Net

2021年3月17日，中國新一代網絡安全公司代表、中國威脅情報領軍企業微步在線召開了主題為“邁向XDR”的融資暨產品發布會。微步在線的終端檢測響應產品OneEDR在會上首度亮相。

XDR(Extended Detection and Response)是近兩年內全球網絡安全公司競相探索、嘗試的方向。在Gartner《Innovation Insight for Extended Detection and Response》中，XDR被描述為安全威脅檢測和事件響應SaaS工具，可以從終端、流量、蜜罐、網關等處發現網絡威脅，并與云端威脅情報、簽名、規則庫、特征庫等數據進行聯動比對，通過機器學習等技術，過濾數據噪聲，減少誤報和漏報，將告警自動聚合為完整安全事件，并實現一鍵處置。一般情況下，XDR需要包括的安全產品有EDR、NTA/NDR、UBA、蜜罐等，某些安全廠商會把SIEM和SOAR也囊括在XDR的范圍內。本次微步在線推出終端檢測響應產品OneEDR，是微步在線邁向XDR的一大步。

　　OneEDR有哪些功能?

EDR產品在國內經過了至少五年發展，已經成為各大安全廠商和新興安全公司持續發力的方向。深信服、天融信、奇安信等大型綜合類安全廠商紛紛增開EDR產品線，安全狗、青藤云安全、杰思安全等網絡安全創業公司也選擇從EDR和CWPP起步。做為EDR領域的后起之秀，微步在線的OneEDR目前具備了哪些功能?

OneEDR的產品負責人在發布會現場介紹說，得益于微步在線在威脅發現領域多年的技術積累，OneEDR的入侵檢測能力已經比較完善，具有業界領先水平。其創新的入侵鏈路可視化技術更是提供了無與倫比的威脅溯源能力，結合一鍵處置，能夠做到快速響應。同時，OneEDR也搭載了微步在線的網絡威脅情報模塊、具備自適應的機器學習能力、支持日志調查自定義檢索、多視角可視化跟蹤主機入侵過程，并且自動化聚合攻擊事件完整鏈路。

目前OneEDR能夠全面檢測Webshell、反彈Shell、木馬后門、主機提權、僵尸網絡、挖礦威脅、勒索病毒、虛假內核、遠控工具、惡意環境變量、漏洞利用、惡意進程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時能將安全運營人員的處置記錄作為反饋信息，利用機器學習算法持續優化、自適應更新檢測算法，打造專屬該企業的檢測引擎系統，有針對性地加強企業檢測能力。

值得一提的是，OneEDR和微步在線的流量檢測響應產品TDP具備深度結合的能力，不僅能讓安全運維人員“看到”終端和流量中的網絡威脅，還能夠把終端和流量中獲得的威脅信息統一管理、分析，聚合出安全事件的完整攻擊鏈。

　　相較市面產品，OneEDR具備哪些優勢?

根據產品負責人的介紹，OneEDR的優勢體現為檢測能力強、可視化效果好、占用戶資源少等三個方面。

OneEDR具備全面的檢測能力?；谖⒉皆诰€專業威脅情報、啟發式的漏洞、木馬行為特征檢測、文件靜態和動態監測、基于AI的終端行為數據異常分析模型等機制，微步在線OneEDR全面檢測Webshell、反彈Shell、木馬后門、主機提權、僵尸網絡、挖礦威脅、勒索病毒、虛假內核、遠控工具、惡意環境變量、漏洞利用、惡意進程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時，OneEDR能夠將所有單點檢測告警進行關聯，生成攻擊事件，并對一次攻擊事件進行全鏈路取證，明確黑客攻擊鏈路方才告警，做到極少誤報。

OneEDR能夠以可視化的方式清晰展現安全事件的來龍去脈，幫助分析人員快速掌握當前攻擊狀態與手法。首先，OneEDR能夠智能挖掘告警之間的關聯關系，自動聚合多條告警，以“威脅事件”為維度顯示整體攻擊的上下文，對同一團伙的告警進行是識別和分類，幫助安全運維人員在大量告警中更高效地理清安全事件的脈絡，更有針對性地去處理安全事件。其次，在處理安全事件的過程中，OneEDR提供“事件圖”和“進程鏈圖”，實現對安全事件的可視化，理清安全事件的來龍去脈，直觀展示安全事件涉及的用戶、主機、進程、IP等實體的關聯關系，同時將每個告警和事件按照ATT&CK模型進行映射。

此外，OneEDR不斷收集用戶的處置反饋，學習誤報告警特征，不斷優化機器學習算法，使其具備針對單一用戶環境的自適應性，進一步降低誤報。“在企業上云戰略和黑客專業化的大環境下, 主機安全已成為一個強對抗的領域。”OneEDR產品負責人陳杰表示，“對攻擊行為的全鏈路監控，結合機器學習的動態建模能力是應對強對抗的有效解決方案。”

在實現上述功能和優勢的同時，OneEDR占用戶網絡和軟硬件資源極小。OneEDR對用戶Agent CPU消耗控制在1%以下，內存消耗控制在70MB，同時在終端上應用數據過濾和壓縮技術，可控制采集數據量平均在每天10M左右，對CPU性能和網絡帶寬的影響極小。

目前，OneEDR能夠精準發現入侵，威脅事件檢出率高達99%，情報引擎準確率達99.9%，事件聚合準確率達到90%以上。

　　OneEDR的發布，邁向XDR的一大步

微步在線創始人、CEO薛鋒此前在公開演講中多次指出，網絡安全云化是必然趨勢，網絡安全供應商應當將自身安全能力和產品完成云化，然后賦能給客戶。微步在線希望做到全面、精準的威脅檢測，就要實現“云+端點+流量”場景的全面覆蓋，因此，在微步在線的流量檢測產品Threat Detection Platform(TDP)已經廣泛被業內認可和使用后，推出端點威脅檢測與響應產品，是微步在線必然要走的一步棋。