【51CTO.com原創(chuàng)稿件】通過防火墻或者防病毒軟件來把惡意攻擊攔截在企業(yè)環(huán)境之外的防疫手段顯然已經不足以應對當今復雜的安全環(huán)境。因為大多數的黑客都能夠利用定制的惡意軟件繞過傳統的防毒解決方案，所以，采取主動防御的方式保護端點安全越來越有必要。

EDR技術憑借檢測更為深入、不間斷性、實時可視化程度更高等強大的功能，受到了眾多企業(yè)的青睞。在國內，EDR產品經過五年的發(fā)展，已經成為各大安全廠商和新興安全公司持續(xù)發(fā)力的方向。致力于成為企業(yè)客戶的威脅發(fā)現和響應專家的微步在線，于近日正式發(fā)布了主機威脅檢測響應產品OneEDR，與微步在線旗下基于網絡流量檢測的威脅感知平臺TDP、互聯網安全接入服務OneDNS、本地多源威脅情報管理平臺TIP等共同構成微步在線的“云+流量+端點”威脅檢測響應產品矩陣。

那么，微步在線的OneEDR有何不同呢？

重磅推出OneEDR：邁向XDR的一大步

據OneEDR的產品負責人介紹，OneEDR 是一款關注于主機入侵檢測的新型檢測與響應平臺，基于輕量級的終端采集和分析Agent，通過收集終端的網絡、進程、文件等行為事件，在平臺側利用威脅情報，文件檢測與行為分析等技術手段，實現對主機入侵行為的精準發(fā)現、攻擊路徑自動化回溯，并支持對終端海量行為進行檢索，同時支持對惡意入侵行為進行響應阻斷。

的確，近年來隨著網絡規(guī)模不的斷擴大，業(yè)務服務部署模式日益復雜，傳統IDC 機房、私有云、公有云通常在一個企業(yè)中以混合結構出現。且云架構帶來的多層的工作負載環(huán)境產生了數以萬計的服務器，伴隨而來的問題便是保障服務器主機安全的難度增大。服務器主機作為企業(yè)的核心資產，沒有服務器主機安全就沒有業(yè)務安全。無論是云主機還是傳統IDC 中的實體服務器，其安全保障受到越來越多的關注，已經成為企業(yè)安全的“最后一道防線”。服務器失守帶來的安全失控，不僅影響潛在的系統穩(wěn)定性，導致業(yè)務運行可能出現終端，更有可能帶來信息泄露，進一步導致經濟和品牌價值的損失。對主機入侵的實時檢測和快速
響，是目前企業(yè)安全建設的重要方向，在傳統殺毒之外，更加有效的針對服務器設計的EDR是當前安全環(huán)境下的大勢所趨。這也正是微步在線推出OneEDR產品的初衷。

目前OneEDR能夠全面檢測Webshell、反彈Shell、木馬后門、主機提權、僵尸網絡、挖礦威脅、勒索病毒、虛假內核、遠控工具、惡意環(huán)境變量、漏洞利用、惡意進程、賬號爆破等多種幾十種威脅類型，全面檢測已知和未知的攻擊和威脅。同時能將安全運營人員的處置記錄作為反饋信息，利用機器學習算法持續(xù)優(yōu)化、自適應更新檢測算法，打造專屬該企業(yè)的檢測引擎系統，有針對性地加強企業(yè)檢測能力。

值得一提的是，OneEDR和微步在線的流量檢測響應產品TDP具備深度結合的能力，不僅能讓安全運維人員“看到”終端和流量中的網絡威脅，還能夠把終端和流量中獲得的威脅信息統一管理、分析，聚合出安全事件的完整攻擊鏈。

同時，OneEDR占用戶網絡和軟硬件資源極小。OneEDR對用戶Agent CPU消耗控制在1%以下，內存消耗控制在70MB，同時在終端上應用數據過濾和壓縮技術，可控制采集數據量平均在每天10M左右，對CPU性能和網絡帶寬的影響極小。據介紹，目前，OneEDR能夠精準發(fā)現入侵，威脅事件檢出率高達99%，情報引擎準確率達99.9%。

內核級的結合，打造“端點+流量”的檢測響應模式

針對“無效報警太多的痛點”，微步在線正式對外發(fā)布旗下威脅感知平臺Threat Detection Platform（TDP）的新版本，在該版本中，基于流量做檢測響應的TDP能夠實現與微步在線旗下終端檢測響應產品OneEDR的內核級結合，形成“端點+流量”的檢測響應模式。

據微步在線技術合伙人、TDP產品負責人趙林林介紹，微步在線將TDP與OneEDR結合，是將網絡流量監(jiān)測和端點監(jiān)測兩部分聯動，可以相互告知已獲得的告警和敏感行為。 “一般NDR和EDR的聯動，只能做到兩者互為彼此的眼睛，但卻無法使用同一個大腦來分析”。而微步在線實現的聯動，不僅能讓兩者共享數據，還能在分析層面參照兩方面的信息，其背后正是微步在線強大的“云安全大腦”——基于海量數據和分析的情報引擎。

[[390320]]

微步在線技術合伙人、TDP產品負責人趙林林

全面邁向XDR

在Gartner《Innovation Insight for Extended Detection and Response》報告中，XDR被描述為安全威脅檢測和事件響應SaaS工具，它從終端、流量、蜜罐、網關等處發(fā)現網絡威脅，并與云端威脅情報、簽名、規(guī)則庫、特征庫等數據進行聯動比對，通過機器學習等技術，過濾數據噪聲，減少誤報和漏報，將告警自動聚合為完整安全事件，并實現一鍵處置。

目前，微步在線旗下的基于網絡流量檢測的威脅感知平臺TDP、主機威脅檢測響應產品OneEDR、互聯網安全接入服務OneDNS、本地多源威脅情報管理平臺TIP等產品，共同構成微步在線的“云+流量+端點”威脅檢測響應產品矩陣，為全面邁向XDR打下了堅持基礎。

微步在線創(chuàng)始人兼CEO薛鋒表示：“為應對未知的網絡安全威脅，微步在線正在邁向“XDR”，“XDR”代表了一種檢測技術的大融合，因為在任何一個單點上，看到的東西都是不全面的，有失偏頗的。所以“XDR”的“X”代表了拓展，它能把很多不同方向東西匯集在一起進行全面檢測。這個是未來的大的方向。”

微步在線創(chuàng)始人兼CEO薛鋒

3月17日，微步在線宣布完成E輪5億元人民幣融資，此前，微步在線于2020年9月完成了3億元人民幣的D輪融資。僅僅半年時間，完成兩次融資，金額累積達8億。在2017-2020年，微步在線連續(xù)三次入選Gartner《全球威脅情報市場指南》。這些亮眼的成績，也是對微步在線對未來安全趨勢的把控、產品的打磨，以及商業(yè)模式、市場布局的肯定。

【51CTO原創(chuàng)稿件，合作站點轉載請注明原文作者和出處為51CTO.com】