微步在线OneEDR新品探秘：迈向XDR的一大步

2021年3月17日，中国新一代网络安全公司代表、中国威胁情报领军企业微步在线召开了主题为“迈向XDR”的融资暨产品发布会。微步在线的终端检测响应产品OneEDR在会上首度亮相。

XDR（Extended Detection and Response）是近两年内全球网络安全公司竞相探索、尝试的方向。在Gartner《Innovation Insight for Extended Detection and Response》中，XDR被描述为安全威胁检测和事件响应SaaS工具，可以从终端、流量、蜜罐、网关等处发现网络威胁，并与云端威胁情报、签名、规则库、特征库等数据进行联动比对，通过机器学习等技术，过滤数据噪声，减少误报和漏报，将告警自动聚合为完整安全事件，并实现一键处置。一般情况下，XDR需要包括的安全产品有EDR、NTA/NDR、UBA、蜜罐等，某些安全厂商会把SIEM和SOAR也囊括在XDR的范围内。本次微步在线推出终端检测响应产品OneEDR，是微步在线迈向XDR的一大步。

OneEDR有哪些功能？

EDR产品在国内经过了至少五年发展，已经成为各大安全厂商和新兴安全公司持续发力的方向。深信服、天融信、奇安信等大型综合类安全厂商纷纷增开EDR产品线，安全狗、青藤云安全、杰思安全等网络安全创业公司也选择从EDR和CWPP起步。做为EDR领域的后起之秀，微步在线的OneEDR目前具备了哪些功能？

OneEDR的产品负责人在发布会现场介绍说，得益于微步在线在威胁发现领域多年的技术积累，OneEDR的入侵检测能力已经比较完善，具有业界领先水平。其创新的入侵链路可视化技术更是提供了无与伦比的威胁溯源能力，结合一键处置，能够做到快速响应。同时，OneEDR也搭载了微步在线的网络威胁情报模块、具备自适应的机器学习能力、支持日志调查自定义检索、多视角可视化跟踪主机入侵过程，并且自动化聚合攻击事件完整链路。

目前OneEDR能够全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、虚假内核、远控工具、恶意环境变量、漏洞利用、恶意进程、账号爆破等多种几十种威胁类型，全面检测已知和未知的攻击和威胁。同时能将安全运营人员的处置记录作为反馈信息，利用机器学习算法持续优化、自适应更新检测算法，打造专属该企业的检测引擎系统，有针对性地加强企业检测能力。

值得一提的是，OneEDR和微步在线的流量检测响应产品TDP具备深度结合的能力，不仅能让安全运维人员“看到”终端和流量中的网络威胁，还能够把终端和流量中获得的威胁信息统一管理、分析，聚合出安全事件的完整攻击链。

相较市面产品，OneEDR具备哪些优势？

根据产品负责人的介绍，OneEDR的优势体现为检测能力强、可视化效果好、占用户资源少等三个方面。

OneEDR具备全面的检测能力。基于微步在线专业威胁情报、启发式的漏洞、木马行为特征检测、文件静态和动态监测、基于AI的终端行为数据异常分析模型等机制，微步在线OneEDR全面检测Webshell、反弹Shell、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、虚假内核、远控工具、恶意环境变量、漏洞利用、恶意进程、账号爆破等多种几十种威胁类型，全面检测已知和未知的攻击和威胁。同时，OneEDR能够将所有单点检测告警进行关联，生成攻击事件，并对一次攻击事件进行全链路取证，明确黑客攻击链路方才告警，做到极少误报。

OneEDR能够以可视化的方式清晰展现安全事件的来龙去脉，帮助分析人员快速掌握当前攻击状态与手法。首先，OneEDR能够智能挖掘告警之间的关联关系，自动聚合多条告警，以“威胁事件”为维度显示整体攻击的上下文，对同一团伙的告警进行是识别和分类，帮助安全运维人员在大量告警中更高效地理清安全事件的脉络，更有针对性地去处理安全事件。其次，在处理安全事件的过程中，OneEDR提供“事件图”和“进程链图”，实现对安全事件的可视化，理清安全事件的来龙去脉，直观展示安全事件涉及的用户、主机、进程、IP等实体的关联关系，同时将每个告警和事件按照ATT&CK模型进行映射。

此外，OneEDR不断收集用户的处置反馈，学习误报告警特征，不断优化机器学习算法，使其具备针对单一用户环境的自适应性，进一步降低误报。“在企业上云战略和黑客专业化的大环境下, 主机安全已成为一个强对抗的领域。”OneEDR产品负责人陈杰表示，“对攻击行为的全链路监控，结合机器学习的动态建模能力是应对强对抗的有效解决方案。”

在实现上述功能和优势的同时，OneEDR占用户网络和软硬件资源极小。OneEDR对用户Agent CPU消耗控制在1%以下，内存消耗控制在70MB，同时在终端上应用数据过滤和压缩技术，可控制采集数据量平均在每天10M左右，对CPU性能和网络带宽的影响极小。

目前，OneEDR能够精准发现入侵，威胁事件检出率高达99%，情报引擎准确率达99.9%，事件聚合准确率达到90%以上。

OneEDR的发布，迈向XDR的一大步

微步在线创始人、CEO薛锋此前在公开演讲中多次指出，网络安全云化是必然趋势，网络安全供应商应当将自身安全能力和产品完成云化，然后赋能给客户。微步在线希望做到全面、精准的威胁检测，就要实现“云+端点+流量”场景的全面覆盖，因此，在微步在线的流量检测产品Threat Detection Platform（TDP）已经广泛被业内认可和使用后，推出端点威胁检测与响应产品，是微步在线必然要走的一步棋。

作为长期、持续专注于威胁情报领域的网络安全公司，微步在线数年来一直在将威胁情报能力产品化，覆盖多个网络安全实战场景，如端点检测、流量检测、DNS防护、本地威胁情报管理、威胁情报批量查询等。OneEDR将成为微步在线网络安全云化版图中的重要一环，也将是微步在线构建全方位威胁检测产品体系的支柱产品。