2021年3月17日,中国新一代网络安全企业代表、中国领先的威胁情报公司微步在线举办了一场主题为“迈向XDR”的发布会。"融资和产品发布。微步在线的终端检测与响应产品OneEDR在大会上首次亮相。XDR(ExtendedDetectionandResponse)是全球网络安全公司近两年来一直在探索和尝试的方向。在Gartner《Innovation Insight for Extended Detection and Response》中,XDR被描述为一种安全威胁检测和事件响应SaaS工具,可以从终端、流量、蜜罐、网关等方面发现网络威胁,数据进行链接比对,使用机器学习等技术过滤数据噪声,减少误报和漏报,自动将告警聚合成完整的安全事件,实现一键处置。一般XDR需要包含的安全产品包括EDR、NTA/NDR、UBA、honeypot等,一些安全厂商也会将SIEM和SOAR包含在XDR的范围内。此次微步推出终端检测与响应产品OneEDR,是微步向XDR迈进的一大步。OneEDR有哪些功能?经过在国内至少五年的发展,EDR产品已经成为各大安全厂商和新兴安全公司不断发力的方向。深信服、天融信、奇安信等大型综合安全厂商纷纷加入EDR产品线,安全狗、青藤云安全、杰思安全等网络安全初创企业也选择从EDR和CWPP入手。作为EDR领域的后起之秀,微步在线的OneEDR目前有哪些功能?OneEDR产品经理在发布会上表示,得益于微步在线在威胁发现领域多年的技术积累,OneEDR的入侵检测能力已经比较完备,处于行业领先水平。其创新的入侵链路可视化技术,提供无可比拟的威胁溯源能力,结合一键处置,实现快速响应。同时,OneEDR还搭载了微步在线的网络威胁情报模块,具备自适应机器学习能力,支持自定义检索日志排查,多视角可视化跟踪主机入侵过程,自动聚合攻击事件全链路。目前OneEDR可以全面检测Webshel??ls、反向shells、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、假内核、远程控制工具、恶意环境变量、exploits、恶意进程、爆号等十种威胁类型,全面检测已知和未知的攻击和威胁。同时,可以将安全运营人员的处置记录作为反馈信息,利用机器学习算法不断优化和自适应更新检测算法,打造企业专属的检测引擎系统,强化企业的检测能力。企业有针??对性。值得一提的是,OneEDR与微步在线的流量检测与响应产品TDP具有深度融合的能力,不仅可以让安全运维人员“看到”终端和流量中的网络威胁,还可以从终端和流量中获取信息.威胁信息统一管理和分析,聚合完整的安全事件攻击链。与市场上的产品相比,OneEDR有哪些优势?据产品负责人介绍,OneEDR的优势体现在三个方面:检测能力强、可视化效果好、用户资源少。OneEDR具有全面的检测能力。基于微步在线专业的威胁情报、启发式漏洞、木马行为特征检测、文件静态动态监控、基于AI的终端行为数据异常分析模型等机制,微步在线OneEDR全面检测Webshel??ls、反弹壳、木马后门、主机提权、僵尸网络、挖矿威胁、勒索病毒、假内核、远程控制工具、恶意环境变量、漏洞利用、恶意进程、爆号等数十种威胁类型,全面检测已知和未知的攻击威胁。同时,OneEDR可以关联所有单点检测告警,生成攻击事件,对攻击事件进行全链路取证,只有在黑客攻击链路清晰时才报警,误报率极低。OneEDR能够将安全事件的来龙去脉以可视化的方式清晰展现,帮助分析人员快速掌握当前的攻击状态和手段。首先,OneEDR可以智能挖掘告警之间的关联性,自动聚合多条告警,从“威胁事件”维度展示整体攻击的上下文,对同组告警进行识别分类,助力安全运维人员在大量报警中,可以更高效地梳理安全事件的上下文,更有针对性地处理安全事件。其次,在安全事件处理过程中,OneEDR提供“事件图”和“流程链图”,实现安全事件的可视化,理清安全事件的来龙去脉,直观展示用户、主机、进程、安全事件涉及的IP同时,每个告警和事件都按照ATT&CK模型进行映射。此外,OneEDR不断收集用户反馈,学习误报特征,不断优化机器学习算法,使其适应单一用户环境,进一步减少误报。“在企业上云战略和黑客专业化的环境下,主机安全成为强强对决的领域。OneEDR产品经理陈杰表示,“攻击行为的全链路监控,结合机器学习的动态建模能力,是强对抗的有效解决方案。”“在实现上述功能和优势的同时,OneEDR占用的用户网络和软硬件资源非常少。OneEDR将用户Agent的CPU占用控制在1%以下,内存占用控制在70MB。同时时间,在终端应用数据过滤和压缩技术,平均每天采集的数据量可以控制在10M左右,对CPU性能和网络带宽的影响最小。威胁事件率高达99%,智能引擎准确率达到99.9%,事件聚合准确率达到90%以上,OneEDR的发布是迈向XDR的一大步微步创始人兼CEO薛峰在线,在公开演讲中多次指出,网络安全云化是必然趋势,网络安全提供商应整合自身安全能力和产品被云化,然后授权给客户。微步在线希望实现全面准确的威胁检测,必须实现“云+端+流量”场景的全覆盖。因此,在微步在线的流量检测产品威胁检测平台(TDP)得到业界广泛认可和使用后,端点威胁检测及响应产品的推出是微步在线的必然之举。作为一家长期持续专注于威胁情报领域的网络安全公司,微步在线已经将威胁情报能力产品化数年,涵盖端点检测、流量检测、DNS防护、本地等多个网络安全场景。威胁情报管理、威胁情报批量查询等。OneEDR将成为微步在线网络安全云图的重要组成部分,也将是微步在线构建全面威胁检测产品体系的支柱产品。
